Pretpostavimo da imamo svoja pravila iptables već smišljeno, ali koliko god da ih dobro upišemo u terminal, uvijek kada restartujemo kompjuter kao da ta pravila nikada nismo deklarirali... odnosno svaki put kada ponovo pokrenemo kompjuter, pravila ili promjene mi su ušli iptables oni se izgube.
Da biste to izbegli, postoji nekoliko rešenja... Reći ću vam ovde kako da se pobrinem da se to ne dogodi :)
Sada znajući koja pravila treba koristiti, stavljamo ih u datoteku (/etc/iptables-script na primjer) i dajemo mu dozvole za izvršenje (chmod +x /etc/iptables-script.sh), kada je to gotovo, preostaje još samo jedan korak 😉
Navest ću kao primjer pravila za iptables u čemu koristim moj laptop, ostavljam ih u pasta naš: Pasta br.4411
1. Imam ta pravila i stavio sam ih u fajl pod nazivom: iptables-script , koji je u / etc /
2. Zatim mu dajem dozvole za izvršavanje: chmod +x /etc/iptables-script
3. I sada posljednji korak, moramo reći sistemu da pokrene tu skriptu kada se pokrene, za to je stavljamo u datoteku /etc/rc.local. Ovdje možete vidjeti moj rc.local: Pasta br.4412
To je to, ništa više, kada pokrenete svoj PC pravila će se primjenjivati (ako su svi 100% u redu) 😀
I ne brinite... VRLO detaljan vodič će doći (nadam se da ću ga uskoro završiti) o iptables, namijenjena početnicima, objašnjeno na prilično zabavan i jednostavan način :)
Saludos
Hvala vam puno na informacijama. IPtables je tema na čekanju koju uvijek odlažem za neki drugi put. Čekamo tutorijal! Konkretno, želio bih da se mogu povezati s bilo kojeg mjesta na svoj kućni računar putem SSH-a, ali to je komplikovano jer imam ruter kod kuće i IP koji mi pruža moj ISP se često mijenja. Preko no-ip.org sam uspeo da napravim host, problem je što mi se čini da imam blokirane portove (sa rutera i ne znam da li i sa IPTables). U svakom slučaju, kao što sam već rekao, čekam tutorijal!
Pozdrav i dobrodošla 😀
Ne znam za ruter, ali može biti SIP... može biti blokiran tamo. Sada na vašem računaru, ako ne koristite nikakav firewall, bilo bi dovoljno da instalirate SSH i pokrenete ga i to je to, otvorite port 22 tražeći lozinku 🙂
Radim na drugom tutorijalu, stvarno ga objašnjavam vrlo didaktično i jednostavno haha.
Pozdrav i hvala na komentaru 😀
Još jedan ovdje čeka nove stvari o iptablesima
Stiglo je 😀
Hvala što ste svratili i komentirali ^-^
Pa, ova stvar o iptables-u je jedna od najfascinantnijih stvari koju još uvijek ne znam, ali ono malo što sam vidio navodi me da pomislim da sam prije mnogo godina trebao odlučiti da koristim Gnu/Linux. Sviđa mi se….
Pa prijatelju, uvijek se radujem implementaciji dobrih tutorijala koje objavljuješ. Čekaću onaj za Iptables.
Brate,
Ali da li ova mašina služi kao proxy ili je samo za povezivanje na internet i zaštitu? Postoje stvari koje ne razumijem.
Ne, ništa o proksiju, za proxy bi takođe trebalo da otvorite port te usluge (3128 na primer). Ne brinite, postaviću tutorijal koji objašnjava iptables 😀
U Debianu, jedan od načina da se pravila automatski učitavaju je instalacija iptables-persistent paketa (nešto naizgled nije baš dobro poznato)
Počeo sam da koristim ovu varijantu, ali sam na kraju odlučio da postavim skriptu u /etc/network/if-pre-up.d/ da bih mogao da radim druge naprednije stvari kao što je uspostavljanje restriktivnih politika kao rezervnih u slučaju neuspeha sa glavnim pravilima.
Možete li objasniti šta ste utvrdili u pasti br. 4411? Pročitao sam, ali ne znam o čemu se radi!
(U slučaju da ste već objavili još jedan tutorijal, izvinite na pitanju, ali tražio sam iptables i našao nekoliko tutorijala)
A, s druge strane, ono što spominju o iptables-persistent paketu služi kao zamjena za ono što spominjete?
Za sada već implementiram ono u čemu ste detaljno napisali https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Pozdrav 😀
Da, zapravo i nije tako komplikovano.
– Prvo uspostavljam varijable, kako bih uštedio pisanje nekih dodatnih znakova, ovo od redova 4 do 18.
– Nakon 23 do 25 očistim sve što sam napisao u iptables, bilo da je prazno ili 100% čisto, i onda napišem pravila.
– U 29 i 30 utvrđujem da po defaultu NEĆU dozvoliti nikakav dolazni saobraćaj (input) na svom laptopu, kao ni saobraćaj koji prolazi kroz njega (naprijed).
– U 34 kažem da on (lo=localhost, što je sam laptop) može koristiti mrežu.
– U 38 preciziram da veze koje iniciram, ako te veze generišu pakete koji će pokušati da uđu u kompjuter, kao što sam ja bio početak tih paketa (pošto su generisani nečim što sam ja uradio) onda će moći da enter.
– Sada od 42. nadalje počinjem da dozvoljavam veze različitih tipova ili preko različitih portova. Odnosno, u br. 42 dozvoljavam dolazni ping, sa moje kućne mreže (promenljiva casa_network) na IP koji moj laptop ima u mojoj kući (varijabla geass_casa_lan).
– U 43 isto, ali u ovom slučaju preciziram da je to IP mog laptopa kod kuće, da, ali umjesto LAN-a biće preko Wifi.
– I od tada je ista vrsta pravila… dozvoli pristup određenim portovima ili uslugama koje imam na svom laptopu, određenim IP adresama ili mrežama 🙂
Zaista preporučujem da pročitate ovo: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Ako nakon ovoga i dalje imate pitanja o određenim pravilima, pitajte me ovdje ili na forumu (http://foro.desdelinux.net) i stvarno ću pojasniti šta ti treba :)
Što se tiče iptables-persistent, ja ga zapravo nisam koristio, ne mogu da vas uvjerim... dešava se da je filtriranje paketa, konkretno iptablesa, prilično delikatna stvar, jer od toga ovisi veliki dio sigurnosti našeg sistema, a zato, ako u nešto nisam siguran, onda ne garantujem njegovo ispravno funkcionisanje.
Pozdrav 😀
Hvala na odgovoru. Da, pročitao sam link koji ste mi dali! U stvari, sve dok ne isključim/restartujem, oni se primjenjuju sudo iptables -A ULAZ -i lo -j PRIHVATI
sudo iptables -A INPUT -m stanje –stanje ESTABLISHED,RELATED -j ACCEPT (plus prethodno spomenuto u tom postu).
Nakon nekoliko čitanja o zaštitnim zidovima i pošto sam primoran da održavam kontakt i primam fajlove koji dolaze sa računara sa M$, činilo se ispravnim implementirati iptables.
Ako kopiram sadržaj Paste br.4411 u svoju bilježnicu, da li bih morao nešto promijeniti ili bi to jednostavno funkcioniralo?
Svaki računar je drugačiji, jer je svaki korisnik drugačiji. Prvo morate definisati koje usluge imate na svom računaru (web sajt, itd.) i znati koje od njih želite da budu javne (da drugi mogu da pristupe), a koje ne.
U mojoj skripti (koju sada moram da izmenim hehe) definišem da će web server (HTTP) biti vidljiv određenim IP adresama, dozvoliću ping za sve na određenim mrežama, itd itd.
Ako vam treba pomoć, pišite na moj lični email, rado ću vam pomoći: kzkggaara[@]desdelinux[.]net
Ili ostavite objavu na našem forumu i više korisnika će vam pomoći: http://foro.desdelinux.net
Sastavljam temu na forumu, hvala na odgovorima. I pripremi se na još nekoliko nedoumica heh! U svakom slučaju, čitam malo o temi da je ne bih zloupotrebio.
pokušavam... da vidimo da li me čuješ, imam puno pitanja da ti postavim...!
Zdravo brate, htio sam znati ima li još tutorijala osim ovog pošto počinjem sa iptablesom i želim se dokumentirati.