Винаги съм смятал, че безопасността никога не вреди и никога не е достатъчна (Ето защо елав Той ме определя като обсебващ и психотичен маниак на сигурността ...), така че дори когато използвам GNU / Linux, не пренебрегвам сигурността на системата си, паролите си (произволно генерирани с pwgen) и др ..
Освен това, дори когато системите са тип Unix са несъмнено много безопасни, препоръчва се без съмнение да се използва Firewall, конфигурирайте го правилно, за да бъде възможно най-добре защитен 🙂
Тук ще ви обясня без много караница, заплитания или сложни подробности как да знаете основите на IPTABLES.
Но … Какво по дяволите са iptables?
IPTABLES Това е частта от ядрото на Linux (модул), която се занимава с филтриране на пакети. Това казано по друг начин, означава това IPTABLES Това е частта от ядрото, чиято работа е да знае каква информация / данни / пакет искате да въведете в компютъра си и каква не (и прави повече неща, но нека се съсредоточим върху това засега хехе).
Ще обясня това по друг начин 🙂
Много от техните дистрибуции използват защитни стени, Firestarter o firehol, но тези защитни стени всъщност „отзад“ (на заден план) използване IPTABLES, тогава ... защо да не използваме директно IPTABLES?
И това ще обясня накратко тук 🙂
Засега има ли съмнение? 😀
Да работя с IPTABLES необходимо е да имате административни разрешения, така че тук ще използвам Sudo (но ако въведете харесва корен, няма нужда).
За да бъде компютърът ни наистина защитен, трябва само да позволим това, което искаме. Вижте компютъра си така, сякаш е ваш собствен дом, в дома си по подразбиране НЕ позволявате на никого да влиза, само определени конкретни хора, които сте одобрили преди, могат да влязат, нали? С защитните стени се случва по същия начин, по подразбиране никой не може да влезе в нашия компютър, само тези, които искат да влязат, могат да влязат 🙂
За да постигна това, обяснявам, ето стъпките:
1. Отворете терминал, в него поставете следното и натиснете [Въведете]:
sudo iptables -P INPUT DROP
Това ще бъде достатъчно, за да може никой, абсолютно никой да не може да влезе във вашия компютър ... и това „никой“ включва и вас самите 😀
Обяснение на предишния ред: С него посочваме на iptables, че политиката по подразбиране (-P) за всичко, което иска да влезе в нашия компютър (INPUT), е да го игнорира, да го игнорира (DROP)Никой не е съвсем общ, абсолютен всъщност, нито вие самите няма да можете да сърфирате в интернет или нещо подобно, затова трябва в този терминал да поставим следното и да натиснем [Въведете]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... не разбирам лайна, Какво правят тези две странни линии сега? ...
Просто 🙂
Първият ред, който пише, е, че самият компютър (-i lo ... между другото, lo = localhost) може да прави каквото си поиска. Нещо очевидно, което може да изглежда дори абсурдно ... но повярвайте ми, то е толкова важно, колкото въздуха хаха.
Вторият ред ще обясня, използвайки примера / сравнението / метафората, който използвах преди, имам предвид да сравня компютъра с къщата 🙂 Например, да предположим, че живеем с повече хора в нашата къща (майка, баща, братя, приятелка и т.н.). Ако някой от тези хора напусне къщата, очевидно / логично ли е, че ще ги пуснем, след като се върнат, нали?
Точно това прави този втори ред. Всички връзки, които инициираме (които идват от нашия компютър), когато чрез тази връзка искате да въведете някои данни, IPTABLES ще пусне тези данни. Поставяйки още един пример за обяснение, ако използваме нашия браузър, ние се опитваме да сърфираме в Интернет, без тези 2 правила няма да можем, ами да ... браузърът ще се свърже с интернет, но когато се опита да изтегли данни ( .html, .gif и т.н.) на нашия компютър, за да ни го покажете, няма да можете IPTABLES Той ще откаже въвеждането на пакети (данни), докато с тези правила, тъй като ние инициираме връзката отвътре (от нашия компютър) и същата тази връзка е тази, която се опитва да въведе данни, тя ще позволи достъп.
С това готово, ние вече декларирахме, че никой няма достъп до която и да е услуга на нашия компютър, никой освен самия компютър (127.0.0.1) и освен връзките, които са стартирани на самия компютър.
Сега ще обясня още една подробност набързо, защото 2-рата част на този урок ще обясни и обхване повече за това хехе, не искам да напредвам твърде много 😀
Случва се например да имат публикуван уебсайт на компютъра си и искат този уебсайт да бъде видян от всички, както преди декларирахме, че всичко по подразбиране НЕ е разрешено, освен ако не е посочено друго, никой няма да може да види нашия уебсайт. Сега ще направим така, че всеки да може да вижда уебсайта или уебсайтовете, които имаме на компютъра си, за това поставяме:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Това е много лесно да се обясни 😀
С този ред ние декларираме, че приемате или разрешавате (-j ПРИЕМ) целият трафик към порт 80 (–Доклад 80) направи го TCP (-p tcp), и че това е и входящ трафик (-А ВХОД). Сложих порт 80, защото това е портът на уеб хоста, тоест ... когато браузър се опита да отвори сайт на компютър X, той винаги изглежда по подразбиране на този порт.
Сега ... какво да правя, когато знаете какви правила да зададете, но когато рестартираме компютъра, виждаме, че промените не са запазени? ... е, за това вече направих още един урок днес:
Как да стартирам правилата на iptables автоматично
Там го обяснявам подробно 😀
И тук завършва 1-ви урок за iptables за начинаещи, любопитни и заинтересовани 😉 ... не се притеснявайте, няма да е последният хе-хе, следващият ще се занимава със същите, но по-конкретни правила, като подробно описва всичко малко и увеличава сигурността. Не искам да разширявам това много повече, защото в действителност е необходимо основите (това, което сте прочели тук в началото) да го разбират перфектно 🙂
Поздрави и ... хайде, изяснявам съмненията, стига да знаете отговора LOL !! (Не съм експерт по това далеч хахаха)
Много добре! Просто въпрос? Имате ли представа какви са настройките по подразбиране? Въпросът е параноичен, че съм просто: D.
Благодаря Ви много.
По подразбиране, а по подразбиране той приема всичко. С други думи, услуга, която поставяте на компютъра си ... услуга, която ще бъде публична за останалите 😀
Разбираш?
Така че ... когато не искате уебсайтът на X да го вижда И вашият приятел, или определен IP, идва защитната стена, htaccess или някакъв метод за отказване на достъп.
С уважение,
Брат, отлично !!!! Сега ще прочета първата ...
Благодаря за вашата помощ…
Дисла
Благодаря за урока, той е полезен.
Единственото нещо, което бих искал да знам или да се уверя, е че ако с тези инструкции няма да имам проблеми да правя p2p трансфери, да изтегля файлове или да правя видео разговори, например. От това, което прочетох не, не би трябвало да има проблеми, но предпочитам да се уверя, преди да вляза в редовете.
Благодаря от сега.
Поздрави.
Не би трябвало да имате проблеми, но това е доста основна конфигурация, в следващия урок ще ви обясня по-пълно как да добавите свои собствени правила, в зависимост от необходимостта на всяко едно и т.н. 🙂
Но повтарям, не би трябвало да имате проблеми, ако имате такива, просто рестартирайте компютъра и voila, сякаш никога не сте конфигурирали iptables 😀
Рестартирам ? Звучи много прозоречно. В най-лошия случай просто трябва да изчистите правилата на iptables и да зададете правилата по подразбиране на ACCEPT и въпросът е решен, така че rockandroleo, няма да имате проблеми.
Saludos!
И, за съжаление, направих още една заявка, но тъй като сме на темата за защитната стена, възможно е да обясните как да приложите същите тези команди в графични интерфейси на защитни стени като gufw или firestarter.
Първо, благодаря.
Поздрави.
Ще обясня Firestarter, gufw, само съм го виждал и не съм го използвал като такъв, може би ще го обясня накратко или може би елав направи го сам 🙂
Тогава, когато искам да се чувствам хакер, ще го прочета, винаги съм искал да науча за сигурността
Отличен урок, струва ми се добре обяснен и макар да е стъпка по стъпка, толкова по-добре, както биха казали, за манекени.
Поздрави.
хахахаха благодаря 😀
Страхотен.
Ясно обяснено.
Ще бъде необходимо да го прочетете и препрочетете, докато знанията се уредят и след това да продължите със следващите уроци.
Благодаря за статията.
Благодаря 😀
Опитах се да го обясня, както бих искал да ми е обяснено за първи път, LOL !!
Поздрави 🙂
Много добре, тествам и работи правилно, което съответства на автоматичното стартиране на правилата в началото, ще го оставя, когато публикувате втората част, дотогава ще имам малко повече работа, като пиша командите всеки път, когато рестартирам PC, благодаря приятелю за урока и за това колко бързо го публикувахте.
благодаря за препоръката и обясненията.
Можете да видите какво се отнася за iptables с:
sudo iptables -L
Точно 😉
Добавям n всъщност:
iptables -nL
Благодаря за урока, очаквам с нетърпение втората част, поздрави.
кога ще излезе втората част
Имам прокси с калмари на Machine1, той ще дава сърфиране в интернет на други машини на този LAN 192.168.137.0/24 и слуша на 192.168.137.22:3128 (отварям порт 3128 за всеки с firestarter), от Machine1 ако Сложих Firefox, за да използвам проксито 192.168.137.22:3128, той работи. Ако от друг компютър с ip 192.168.137.10 например Machine2, аз го настроя да използва проксито 192.168.137.22:3128 не работи, освен ако на Machine1 сложа firestarter за споделяне на интернет с lan, там ако проксито работи, данните за потока са през проксито, но ако на Machine2 премахнат използването на прокси и насочат шлюза правилно, те ще могат да навигират свободно.
За какво се отнася?
Какви биха били правилата с iptables?
"Опитвам се да остана на тъмната страна на силата, защото там е забавлението от живота." и с делириум на джеди хахахахаха
Много добре! Закъснях малко, нали? хаха публикацията е на около 2 години, но бях повече от полезна .. Благодаря ви, че го обяснихте толкова просто, че да го разбера ха ха продължавам с другите части ..
Благодаря, че прочетохте 🙂
Да, публикацията не е съвсем нова, но все пак е много полезна, не е променила почти нищо относно работата на защитните стени през последното десетилетие I
Поздрави и благодаря за коментара
Какво обяснение с цветя и всичко. Аз съм "начинаещ" потребител, но с много желание да науча Linux, наскоро четях публикация за nmap скрипт, за да видя кой се е свързал с моята мрежа и да не ви карам дълго, в коментар на тази публикация че Ние ще приложим прочутия първи ред, който сте сложили от iptables и това беше достатъчно, и тъй като съм невероятен младеж, аз го приложих, но както вече написахте, той не влезе в Интернет Internet
Благодаря ви за този пост, обясняващ използването на iptables, надявам се, че ще го разширите и напълно ще ми обясните пълната му работа. Наздраве!
Благодаря ви, че четете и коментирате 🙂
iptables е феноменален, той си върши работата за изключване, толкова добре, че ... дори не можем да излезем сами, това е сигурно, освен ако не знаем как да го конфигурираме. Ето защо се опитах да обясня iptables възможно най-просто, защото понякога не всеки може да разбере нещо за първи път.
Благодаря за коментара, поздрави ^ _ ^
PS: За разширяването на публикацията, ето 2-ра част: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Е, благодаря ви много, ако прочетох втората част и започнах да играя веднага на конзолата с вашия огромен гид. Благодаря ви много, ей така, надявам се, че можете да ми помогнете, тъй като имам малко съмнения и както добре знаете, аз съм начинаещ, който се опитва да научи за този прекрасен безплатен софтуер, до точката, наскоро инсталирах различен дистрибутор към което модифицирах файла dhcp.config ред и го оставих така:
#send име на хост ""; Е, това работеше за мен в този дистрибутор и всичко беше наред, името на моя компютър не се появява в dhcp сървъра на моя рутер, а само иконата на компютъра, но в този нов дистрибутор модифицирах същия ред, оставяйки го същия, но не проработи. Бихте ли ме насочили малко? 🙁 Моля ...
Тъй като това може да е нещо по-сложно или обширно, създайте тема в нашия форум (форум.desdelinux.net) и там заедно ще ви помогнем 🙂
Благодаря, че прочетохте и коментирахте
Готови, благодаря за отговора. Утре сутринта правя темата и се надявам да ми помогнете, поздрави и разбира се прегръдка.
Отлична статия.
Мислите ли, че с това мога да внедря защитна стена, използвайки iptables в къщата си, или трябва да знам нещо друго? Имате ли някакъв урок за конфигуриране или с тези статии остава?
отношение на
Всъщност това е основното и средното, ако искате нещо по-напреднало (като ограничения на връзката и т.н.), можете да проверите всички публикации, които говорят за iptables тук - » https://blog.desdelinux.net/tag/iptables
С това обаче имам почти цялата си локална защитна стена 🙂
Първоначално те не изглеждат зле.
Но това би променило нещо.
Бих пуснал вход и напред и приел изход
-P INPUT -m състояние – състояние УСТАНОВЕНО, СВЪРЗАНО -j ПРИЕМ
Това би било достатъчно за newbi в iptables, за да бъде "доста безопасен"
След това отворете портовете, от които се нуждаем.
Страницата много ми харесва, имат много хубави неща. Благодаря за споделянето!
Поздрави!
Добър вечер на всички, които са коментирали, но нека видим дали можете да изясните защо съм по-изгубен от вълк в канализацията, аз съм кубинец и мисля, че винаги продължаваме по всяка възможна тема и добре: Извинете ме предварително, ако няма нищо общо с темата !!!
Имам сървър UBUNTU Server 15 и се оказва, че имам услуга, хоствана вътре, която се предоставя от друга програма, която е поточна телевизия, но се опитвам да я контролирам чрез MAC адрес, така че контролът на порта, например 6500, който го избира на случаен принцип Никой не може да влезе през този порт, освен ако не е с MAC адреса, посочен в iptables. Направих конфигурациите на тази статия номер едно и тя работи veryyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy добре, по-добре, отколкото исках, но потърсих информация в todooooooooooooooo и не намерих щастливата конфигурация, за да позволи на Mac адрес да използва само определен порт и нищо друго.
Благодаря ви предварително!
Здравейте, как сте, прочетох статията iptables за начинаещи, много е добре, поздравявам ви, не знам много за linux, затова искам да ви задам въпрос, имам проблем, ако можете помогнете ми благодаря ви, имам сървър с няколко IP и на всеки няколко дни, когато сървърът изпраща имейли през IP адресите, които са на сървъра, спира да изпраща имейли, така че за да изпраща имейли отново, трябва да сложа:
/etc/init.d/iptables стоп
Когато го сложа, той започва да изпраща имейли отново, но след няколко дни отново се блокира, можете ли да ми кажете какви команди трябва да поставя, за да сървърът не блокира ip? Четох и от това, което казвате на страницата, с тези 2 реда трябва да бъдат решени:
sudo iptables -A INPUT -i lo -j ПРИЕМ
sudo iptables -A INPUT -m състояние-състояние УСТАНОВЕНО, СВЪРЗАНО -j ПРИЕМ
Но тъй като не знам дали това е, преди да сложа тези команди, исках да проверя дали с това IP адресите на сървъра вече няма да бъдат блокирани, очаквам вашия бърз отговор. За разбирането. Никола.
Здравейте, добро утро, прочетох вашия малък урок и ми се стори много добър и поради тази причина бих искал да ви задам въпрос:
Как мога да пренасоча заявките, които идват през интерфейса lo (localhost) към друг компютър (друг IP) със същия порт, използвам нещо подобно
iptables -t nat -A ПРЕДВАРИТЕЛНО -p tcp –dport 3306 -j DNAT –до 148.204.38.105:3306
но не ме пренасочва, наблюдавам порт 3306 с tcpdump и ако той получава пакети, но не ги изпраща до новия IP, но ако направя заявки от друг компютър, той ги пренасочва. Накратко, той ме пренасочва какво влиза през -i eth0, но не и това, което влиза през -i lo.
Предварително оценявам много или малко помощта, която можете да ми окажете. salu2.
Здравейте, как сте, страницата е много добра, има много информация.
Имам проблем и исках да видя дали можете да ми помогнете, инсталирах PowerMta в Centos 6 с Cpanel, проблемът е, че след няколко дни PowerMta спира да изпраща имейли отвън, все едно IP адресите са блокирани и всеки ден трябва да поставя командата /etc/init.d/iptables stop, с което PowerMta започва да изпраща имейли отново в чужбина, като проблемът се решава за няколко дни, но след това се случва отново.
Знаете ли как мога да реша проблема? Има ли нещо, което мога да конфигурирам на сървъра или в защитната стена, така че това да не се повтори? Тъй като не знам защо това се случва, ако можете да ми помогнете I благодаря ти, надявам се скорошният ти отговор.
Поздрави.
Никола.
Отлично и много ясно обяснение, търсих книги, но те са много обширни и английският ми не е много добър.
Знаете ли книги, които препоръчвате на испански?
Какво ще кажете за добро утро, много добре обяснено, но все още нямам вход от интернет, ще ви обясня, имам сървър с Ubuntu, който има две мрежови карти, едната с тази конфигурация Encap на връзката: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Маска: 255.255.255.0 и втората с тази друга връзка: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Маска: 255.255.255.0, където втората е тази, която има моят шлюз, която е 192.168.1.64, но първата карта е тази, която контролира камерите ми и искам да ги видя от интернет от моя фиксиран ip ,,, виждам ги от мрежата, но не и от интернет, бихте ли ми помогнали с това? , или ако рутерът ми е този, който е неправилно конфигуриран, това е tp-link archer c2 ,, благодаря
Здравейте, току-що направих това на моя сървър и знаете ли как мога да го възстановя?
iptables -P INPUT DROP
Оставям ви моя имейл ing.lcr.21@gmail.com
Търсих малко висококачествени публикации или публикации в блогове за това съдържание. Гугъл, най-накрая намерих този уебсайт. Четейки тази статия, аз съм убеден, че съм намерил това, което търся, или поне имам това странно чувство, открих точно това, от което се нуждаех. Разбира се, ще ви накарам да не забравяте този уебсайт и да го препоръчате, смятам да ви посещавам редовно.
поздрави
Наистина ви поздравявам! Прочетох много страници на iptables, но нито една толкова просто обяснена като вашата; отлично обяснение !!
Благодаря, че улеснихте живота ми с тези обяснения!
За момент се чувствам арабин xD
Моят учител използва това, за да преподава, благодаря и поздрави. банда