iptables za početnike, znatiželjne, zainteresirane

Uvijek sam mislio da sigurnost nikad ne škodi i da je nikad dovoljno (zbog toga elav Označava me kao opsesivnog i psihotičnog sigurnosnog manijaka ...), pa čak i kada koristim GNU / Linux, ne zanemarujem sigurnost svog sistema, svoje lozinke (nasumično generirano sa pwgen) itd.

Nadalje, čak i kada sistem tip Unix su nesumnjivo vrlo sigurni, preporučuje se bez sumnje koristiti a firewall, pravilno ga konfigurirajte, da bude što bolje zaštićen 🙂

Ovdje ću vam bez puno nereda, zapetljavanja ili složenih detalja objasniti kako znati osnove iptables.

Ali ... Koji su vrag iptables?

iptables Dio je Linux kernela (modula) koji se bavi filtriranjem paketa. Ovo rečeno na drugi način, to znači iptables To je dio jezgre čiji je posao znati koje informacije / podatke / paket želite unijeti u svoj računar, a koje ne (i više stvari, ali usredotočimo se na ovo za sada, hehe).

Objasnit ću ovo na drugi način 🙂

Mnogi na svojim distribucijama koriste zaštitne zidove, Firestarter o Firehol, ali ovi zaštitni zidovi zapravo 'odostraga' (u pozadini) upotreba iptables, onda ... zašto ne koristiti direktno iptables?

I to ću ovdje ukratko objasniti 🙂

Zasad postoji li sumnja? 😀

Za rad sa iptables potrebno je imati administrativne dozvole, pa ću ovdje koristiti sudo (ali ako uđete kao korijen, nema potrebe).

Da bi naše računalo bilo zaista sigurno, moramo dopustiti samo ono što želimo. Gledajte na svoj računar kao da je vaš vlastiti dom. Prema zadanim postavkama, NIKOGA ne puštate unutra, mogu ući samo određene osobe koje ste ranije odobrili, zar ne? Isto se događa sa zaštitnim zidovima, prema zadanim postavkama niko ne može ući u naš računar, samo oni od nas mogu ući 🙂

Da bih to postigao, objašnjavam slijedeće korake:

1. Otvorite terminal, u njega stavite sljedeće i pritisnite [Enter]:

sudo iptables -P INPUT DROP

To će biti dovoljno da niko, apsolutno niko ne može ući u vaš računar ... i, ovaj "niko" uključuje i vas same 😀

Objašnjenje prethodnog retka: Njime iptablesima ukazujemo da je zadana politika (-P) za sve što želi ući u naše računalo (INPUT) njegovo ignoriranje, ignoriranje (DROP)

Nitko nije sasvim uopćen, apsolutno u stvari, niti ćete vi sami moći surfati internetom ili bilo čime, zato na taj terminal moramo staviti sljedeće i pritisnuti [Enter]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... ne razumijem sranja, Šta sada rade te dvije čudne linije? ...

Jednostavno 🙂

Prvo što piše je da je sam računar (-i lo ... usput, lo = localhost) može raditi šta god želi. Nešto očito, što može izgledati čak i apsurdno ... ali vjerujte mi, važno je koliko i zrak haha.

Drugi red ću objasniti na primjeru / usporedbi / metafori koji sam ranije koristio, mislim da uporedim računar sa kućom. Na primjer, pretpostavimo da živimo s više ljudi u našoj kući (majka, otac, braća, djevojka itd.) ). Ako neko od ovih ljudi napusti kuću, je li očito / logično da ćemo ih pustiti kad se vrate, zar ne?

Upravo to čini ta druga linija. Sve veze koje iniciramo (koje dolaze s našeg računara), kada putem te veze želite unijeti neke podatke, iptables će pustiti te podatke. Dajući još jedan primjer da to objasnimo, ako pomoću našeg preglednika pokušamo surfati internetom, bez ova dva pravila nećemo moći, pa da ... preglednik će se povezati s internetom, ali kada pokuša preuzeti podatke ( .html, .gif itd.) na naše računalo kako bi nam pokazao, nećete moći iptables Zabranit će unos paketa (podataka), dok će s ovim pravilima, dok vezu uspostavljamo iznutra (s našeg računala), a ta ista veza pokušava pokušati unijeti podatke, omogućiti pristup.

Kada smo ovo spremili, već smo izjavili da niko ne može pristupiti nijednoj usluzi na našem računaru, niko osim samog računara (127.0.0.1), a osim veza koje su pokrenute na samom računaru.

Sad ću vam objasniti još jedan detalj, jer će drugi dio ovog vodiča objasniti i pokriti više o tome hehe, ne želim previše napredovati 😀

Dogodi se da na primjer imaju objavljenu web stranicu na računaru i žele da je vide svi, jer smo prethodno izjavili da sve po defaultu NIJE dozvoljeno, osim ako nije drugačije naznačeno, nitko neće moći vidjeti naš web stranica. Sada ćemo učiniti da svako može vidjeti web stranicu ili web stranice koje imamo na računaru, za ovo stavljamo:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Ovo je vrlo jednostavno objasniti 😀

Tom linijom izjavljujemo da prihvaćate ili dopuštate (-j PRIHVATI) sav promet do luke 80 (–Dport 80) neka bude TCP (-p tcp), te da je to i dolazni promet (-ULAZ). Stavio sam port 80, jer je to port web domaćina, to jest ... kada pretraživač pokuša otvoriti web mjesto na X računaru, on uvijek izgleda prema zadanim postavkama na tom portu.

Sada ... šta učiniti kada znate koja pravila postaviti, ali kad ponovo pokrenemo računar, vidimo da promjene nisu spremljene? ... pa, za to sam danas već uradio još jedan tutorial:

Kako automatski pokrenuti pravila iptables

Tamo to detaljno objašnjavam 😀

I ovdje se završava 1. tutorial o prikladni za početnike, znatiželjne i zainteresirane 😉 ... ne brinite, to neće biti posljednji hehe, sljedeći će se baviti istim, ali konkretnijim pravilima, detaljno opisujući sve i povećavajući sigurnost. Ne želim ovo produžiti puno više, jer u stvarnosti je neophodno da ga baze (ono što ste ovdje pročitali na početku) savršeno razumiju 🙂

Pozdrav i ... hajde, razjašnjavam nedoumice, sve dok znate odgovor LOL !! (Nisam daleko stručnjak za ovo hahaha)


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

40 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   ezitoc rekao je

    Veoma dobro! Samo pitanje? Imate li pojma koje su zadane postavke? Pitanje je paranoično da sam samo: D.

    Hvala lijepo.

    1.    KZKG ^ Gaara rekao je

      Po defaultu, pa po defaultu prihvaća sve. Drugim riječima, usluga koju stavite na svoj računar ... usluga koja će u ostatku biti javna 😀
      Ti razumijes?

      Dakle ... kada ne želite da ga X web stranica vidi I vašeg prijatelja ili određenu IP adresu, dolazi zaštitni zid, htaccess ili neki način za odbijanje pristupa.

  2.   faustod rekao je

    pozdrav,

    Brate, izvrsno !!!! Sad ću pročitati prvu ...

    Hvala na pomoći…
    Disla

  3.   rockandroleo rekao je

    Hvala na lekciji, dobro mi dođe.
    Jedino što želim znati ili biti siguran da li s ovim uputama neću imati problema da izvršim p2p prijenose, preuzmem datoteke ili upućujem video pozive, na primjer. Iz onoga što sam pročitao ne, ne bi trebalo biti problema, ali radije bih bio siguran prije ulaska u redove.
    Hvala od sada.
    Pozdrav.

    1.    KZKG ^ Gaara rekao je

      Ne biste trebali imati problema, međutim ovo je prilično osnovna konfiguracija, u sljedećem uputstvu detaljnije ću objasniti kako dodati vlastita pravila, ovisno o potrebi svakog od njih itd. 🙂

      Ali ponavljam, ne biste trebali imati problema, ako ih imate, samo ponovo pokrenite računar i voila, kao da nikada niste konfigurirali iptables 😀

      1.    tau rekao je

        Ponovo pokrenuti? Zvuči vrlo prozirno. U najgorem slučaju, jednostavno morate isprazniti pravila iptables i postaviti zadane politike na ACCEPT i stvar je riješena, tako da rockandroleo, nećete imati problema.

        Hvala vam!

  4.   rockandroleo rekao je

    I, žao nam je što smo podnijeli još jedan zahtjev, ali budući da smo na temi vatrozida, moguće je da objasnite kako primijeniti te iste naredbe u grafičkim sučeljima zaštitnih zidova poput gufw ili firestarter.
    Prvo, hvala.
    Pozdrav.

    1.    KZKG ^ Gaara rekao je

      Objasnit ću Firestarter, gufw Samo sam ga vidio i nisam ga koristio kao takvog, možda ću to objasniti ukratko ili možda elav uradi sam 🙂

  5.   Asuarto rekao je

    Tada, kad se poželim osjećati kao haker, pročitaću je, oduvijek sam želio naučiti o sigurnosti

  6.   Danijel rekao je

    Izvrsna lekcija, čini mi se dobro objašnjena i iako je korak po korak bolja, kako bi rekli, za lutke.

    Pozdrav.

    1.    KZKG ^ Gaara rekao je

      hahahaha hvala 😀

  7.   Lithos523 rekao je

    Super.
    Jasno objašnjeno.
    Morat ćemo ga pročitati i ponovo čitati dok se znanje ne ustali, a zatim nastaviti sa sljedećim vodičima.
    Hvala na članku.

    1.    KZKG ^ Gaara rekao je

      Hvala 😀
      Pokušao sam to objasniti onako kako bih volio da mi je prvi put objašnjeno, LOL !!

      Pozdrav 🙂

  8.   Oscar rekao je

    Vrlo dobro, testiram i radi ispravno, što odgovara automatskom pokretanju pravila na početku, ostaviću to kad objavite drugi dio, do tada ću imati malo više posla na kucanju naredbi svaki put kad ponovo pokrenem računar, hvala prijatelju za tuto i za to koliko ste ga brzo objavili.

  9.   Xosé M. rekao je

    hvala na preporuci i objašnjenjima.

    Možete vidjeti šta se odnosi na iptables sa:

    sudo iptables -L

    1.    KZKG ^ Gaara rekao je

      Tačno 😉
      Ja dodajem n zapravo:
      iptables -nL

  10.   Alex rekao je

    Hvala na lekciji, radujem se drugom dijelu, pozdrav.

  11.   William rekao je

    kada će izaći drugi dio

  12.   jonisar rekao je

    Imam proxy s lignjama na Machine1, on će omogućiti pregledavanje interneta drugim mašinama na tom lancu 192.168.137.0/24 i sluša na 192.168.137.22:3128 (otvorim port 3128 za sve koji imaju firestarter), iz Machine1 ako stavim Firefox da koristim proxy 192.168.137.22:3128, to će uspjeti. Ako s drugog računala s ip 192.168.137.10, na primjer, Machine2, postavim ga da koristi proxy 192.168.137.22:3128 ne radi, osim ako na Machine1 stavim firestarter za dijeljenje interneta s LAN-om, ako proxy radi, protok podaci su preko proxyja, ali ako na Machine2 uklone upotrebu proxyja i pravilno usmjere mrežni prolaz, moći će se slobodno kretati.
    O čemu se radi?
    Kakva bi pravila bila sa iptables?

  13.   geronimo rekao je

    "Pokušavam ostati na tamnoj strani sile, jer je tu zabava života." i sa delirijem jedi hahahahaha

  14.   Carlos rekao je

    Veoma dobro! Malo kasnim, zar ne? haha post je star otprilike 2 godine, ali bio sam više nego koristan .. zahvaljujem vam što ste ga objasnili tako jednostavno da bih ga mogao razumjeti haha ​​nastavljam s ostalim dijelovima ..

    1.    KZKG ^ Gaara rekao je

      Hvala na čitanju 🙂

      Da, post nije potpuno nov, ali je i dalje vrlo koristan, mislim da nije promijenio gotovo ništa u vezi s radom vatrozida u posljednjem desetljeću 😀

      Pozdrav i hvala vam na komentaru

  15.   lav rekao je

    Kakvo objašnjenje sa cvijećem i svime. Korisnik sam "novak", ali s puno želje za učenjem Linuxa, nedavno sam čitao post o nmap skripti kako bih vidio ko se povezao na moju mrežu, a ne da bih vas dugo čekao, u komentaru na taj post koji je rekao korisnik da ćemo primijeniti čuveni prvi redak koji ste stavili iz iptables-a i to je bilo dovoljno, a kako sam strašan nobster, primijenio sam ga, ali kao što ste ovdje napisali, nije ušao na Internet Internet
    Hvala vam na ovom postu koji objašnjava upotrebu iptables-a, nadam se da ćete ga proširiti i u potpunosti mi objasniti njegov ukupan rad. Živjeli!

    1.    KZKG ^ Gaara rekao je

      Hvala vam što ste čitali i komentirali 🙂
      iptables je fenomenalan, obavlja svoj posao tako da se isključuje, tako dobro da ... čak ni sami ne možemo izaći, to je sigurno, osim ako ne znamo kako ga konfigurirati. Zbog toga sam pokušao objasniti iptable što jednostavnije, jer ponekad nisu svi u stanju da nešto shvate prvi put.

      Hvala na komentaru, pozdrav ^ _ ^

      PS: O produženju posta, evo 2. dijela: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    lav rekao je

        Pa, hvala vam puno, ako sam pročitao drugi dio i počeo odmah igrati na konzoli s vašim ogromnim vodičem. Puno vam hvala, hej usput se nadam da mi možete pomoći jer malo sumnjam, a kao što dobro znate, ja sam novajlija koja pokušava naučiti o ovom divnom besplatnom softveru, do te mjere, nedavno sam instalirao drugačiji distro distrikt na koji sam modificirao datoteku dhcp.config redak i ostavljajući ga ovako:
        #send ime-hosta ""; Pa, upalilo mi je u toj distribuciji i sve je bilo u redu, moje ime računara se ne pojavljuje na dhcp serveru mog usmjerivača, već samo ikona računara, ali u ovom novom distro-u sam modificirao istu liniju ostavivši je istom, ali nije uspjelo. Možete li me malo uputiti? 🙁 Molim ...

        1.    KZKG ^ Gaara rekao je

          Sada ovo može biti nešto složenije ili opsežnije, stvorite temu na našem forumu (forum.desdelinux.net) i svi ćemo vam tamo pomoći 🙂

          Hvala na čitanju i komentiranju

          1.    lav rekao je

            Spremni, hvala na odgovoru. Sutra ujutro radim temu i nadam se da mi možete pomoći, pozdrav i naravno zagrljaj.

  16.   Diego rekao je

    Odličan članak.
    Mislite li da s ovim mogu implementirati zaštitni zid koristeći iptable u svojoj kući ili moram znati nešto drugo? Imate li neki vodič za konfiguraciju ili sa ovim člancima ostaje?
    pozdravi

    1.    KZKG ^ Gaara rekao je

      Zapravo je ovo osnovno i srednje, ako želite nešto naprednije (poput ograničenja veze itd.), Ovdje možete provjeriti sve postove koji govore o iptablima - » https://blog.desdelinux.net/tag/iptables

      Međutim, s ovim imam gotovo sav lokalni vatrozid 🙂

  17.   Crow rekao je

    Za početak uopće ne izgledaju loše.
    Ali to bi nešto izmijenilo.

    Ispustio bih ulaz i proslijedio i prihvatio izlaz
    -P INPUT -m stanje –država USTANOVLJENA, POVEZANA -j PRIHVAĆA
    To bi bilo dovoljno da newbi u iptablesu bude "prilično siguran"
    Zatim otvorite priključke koji su nam potrebni.
    Stranica mi se jako sviđa, imaju jako dobre stvari. Hvala na dijeljenju!
    Pozdrav!

  18.   FGZ rekao je

    Dobro veče svima koji su komentirali, ali da vidimo možete li pojasniti zašto sam izgubljeniji od vuka u kanalizaciji, ja sam Kubanac i mislim da uvijek idemo dalje na svaku moguću temu i dobro: izvinite me unaprijed ako to nema nikakve veze sa temom !!!

    Imam poslužitelj UBUNTU Server 15 i ispostavilo se da imam uslugu hostiranu iznutra koju pruža drugi program koji emitira TV, ali pokušavam je kontrolirati putem MAC adrese tako da kontrola porta, na primjer 6500, koja je odabere nasumce Niko ne može ući kroz taj port osim ako nije sa MAC adresom naznačenom u iptables. Napravio sam konfiguracije ovog članka broj jedan i on funkcionira vrlo dobro, bolje nego što sam želio, ali informacije sam potražio u todooooooooooooooo i nisam našao sretnu konfiguraciju koja dozvoljava da mac adresa koristi samo određeni port i ništa drugo.

    hvala unaprijed!

  19.   Nicolas gonzalez rekao je

    Pozdrav, kako ste, pročitao sam članak iptables za početnike, vrlo je dobar, čestitam vam, ne znam puno o linuksu, zato vas želim pitati, imam problem ako možete pomozite, hvala vam, imam server sa nekoliko IP-ova i svakih nekoliko dana, kada server šalje e-poštu putem IP-a koji su na serveru, prestaje slati e-poštu, pa da bi ponovo poslao e-poštu moram staviti:

    /etc/init.d/iptables zaustaviti

    Kad to stavim, on počinje ponovno slati e-poštu, ali nakon nekoliko dana opet postaje blokiran, možete li mi reći koje naredbe moram staviti da server ne bi blokirao IP adrese? Čitao sam i iz onoga što kažete na stranici, sa Ova 2 retka bi se moralo riješiti:

    sudo iptables -A ULAZ -i lo -j PRIHVATI
    sudo iptables -A ULAZ -m stanje -država USTANOVLJENA, POVEZANA -j PRIHVAĆA

    ali budući da ne znam je li to što je to, prije stavljanja tih naredbi želio sam provjeriti hoće li IP adrese poslužitelja više biti blokirane, čekam vaš brz odgovor. Pozdrav. Nicholas.

  20.   Tux MH rekao je

    Pozdrav, dobro jutro, pročitao sam vaš mali vodič i čini mi se vrlo dobrim i iz tog razloga bih vam htio postaviti pitanje:

    Kako mogu preusmjeriti zahtjeve koji ulaze preko lo sučelja (localhost) na drugo računalo (drugu IP) s istim portom, koristim nešto slično ovome

    iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –do 148.204.38.105:3306

    ali me ne preusmjerava, nadgledam port 3306 s tcpdump i ako prima pakete, ali ih ne šalje na novu IP adresu, ali ako podnesem zahtjeve s drugog računala, preusmjerava ih. Ukratko, preusmjerava ono što dolazi kroz -i eth0, ali ne i ono što dolazi kroz -i lo.

    Unaprijed cijenim veliku ili malu pomoć koju mi ​​možete pružiti. salu2.

  21.   Nicolas rekao je

    Pozdrav, kako ste, stranica je vrlo dobra, ima puno informacija.

    Imam problem i htio sam vidjeti možete li mi pomoći, instalirao sam PowerMta u Centos 6 s Cpanelom, problem je što nakon nekoliko dana PowerMta prestaje slati e-poštu prema van, to je kao da su IP adrese blokirane i svaki dan moram postaviti naredbu /etc/init.d/iptables stop, s tim da PowerMta počinje ponovno slati e-poštu u inostranstvo, s tim da se problem rješava nekoliko dana, ali onda se to ponovi.

    Znate li kako mogu riješiti problem? Mogu li nešto konfigurirati na serveru ili u zaštitnom zidu tako da se to više ne ponovi? Budući da ne znam zašto se to događa, ako mi možete pomoći hvala, nadam se da ćete uskoro odgovoriti.

    Pozdrav.

    Nicholas.

  22.   Luis Delgado rekao je

    Izvrsno i vrlo jasno objašnjenje. Tražio sam knjige, ali one su vrlo opsežne i moj engleski jezik nije baš dobar.
    Znate li neku knjigu koju preporučite na španskom?

  23.   fbec rekao je

    Što kažete na dobro jutro, vrlo dobro objašnjeno, ali još uvijek nemam ulaz s Interneta, objasnit ću, imam poslužitelj s Ubuntuom, koji ima dvije mrežne kartice, jednu s ovom konfiguracijom Encap veze: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maska: 255.255.255.0 i drugi sa ovim drugim omotom veze: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, pri čemu je drugi onaj koji ima moj pristupnik, a to je 192.168.1.64, ali prva kartica je ona koja kontrolira moje kamere i želim ih vidjeti iz internet s mog fiksnog ip-a ,, vidim ih s lan-a, ali ne i s interneta, možete li mi pomoći oko toga? , ili ako je moj usmjerivač pogrešno konfiguriran, to je tp-link archer c2 ,,, hvala

  24.   Luis Castro rekao je

    Zdravo, upravo sam ovo uradio na svom serveru i znate, kako bih mogao to oporaviti?
    iptables -P INPUT DROP
    Ostavljam vam svoj e-mail ing.lcr.21@gmail.com

  25.   električne instalacije rekao je

    Malo sam tražio visokokvalitetne postove ili postove na blogu o ovom sadržaju. Guglajući Napokon sam pronašao ovu web stranicu. Čitajući ovaj članak, uvjeren sam da sam pronašao ono što sam tražio ili barem imam taj čudan osjećaj, otkrio sam upravo ono što mi je trebalo. Naravno, natjerat ću vas da ne zaboravite ovu web stranicu i preporučiti je, planiram vas redovito posjećivati.

    Saludos

  26.   na rekao je

    Zaista vam čestitam! Pročitao sam mnogo stranica iptables, ali nijednu nije tako jednostavno objasnio kao vašu; izvrsno objašnjenje !!
    Hvala što ste mi olakšali život ovim objašnjenjima!

  27.   Anonimno rekao je

    Na trenutak se osećam arapskim xD