Sempre he pensat que la seguretat mai està de més, i mai és suficient (per això ja ILAV em titlla de maniàtic obsessiu i psicòtic de la seguretat ...), Per això tot i que ús GNU / Linux, no descuit la seguretat del meu sistema, els meus contrasenyes (generats aleatòriament amb pwgen), Etc ..
A més, tot i que els sistemes tipus Unix són sense dubtes molt segurs, es recomana sense dubtes utilitzar un Firewall, Configurar-lo com cal, per estar el millor protegits possible 🙂
Aquí els explicaré sense molts embolics, embolics o detalls complexos com conèixer el bàsic de iptables.
Però ... ¿Què dimonis és iptables?
iptables és la part de l'nucli Linux (un mòdul) que s'ocupa de filtrar paquets. Això dit d'una altra manera, vol dir que iptables és la part de l'nucli el treball és saber quina informació / dades / paquet vols que entri a l'ordinador, i quins no (i fa més coses, però centrémosnos en això de moment jeje).
Explicaré això d'una altra manera 🙂
Molts en els seus distros usen tallafocs, Ulls de foc o firehol, Però aquests tallafocs en realitat 'per darrere' (al background) usen iptables, Llavors ... per què no fer servir directament iptables?
I això és el que explicaré de forma breu aquí 🙂
Fins aquí queda algun dubte? 😀
Per treballar amb iptables cal tenir permisos administratius, de manera que aquí faré servir suo (però si entres com root, No hi ha necessitat).
Perquè el nostre ordinador sigui realment segur, hem de només permetre el que nosaltres vulguem. Vegin el seu ordinador com si fos la seva pròpia casa, a casa vostès per defecte NO deixen que ningú entri, només poden entrar determinades persones específiques que vostès hagin aprovat abans no? Amb els tallafocs passa igual, per defecte ningú pot entrar al nostre ordinador, només podran entrar els que nosaltres desitgem 🙂
Per aconseguir això que explico, aquí els passos:
1. Obrin una terminal, en ella posin el següent i pressionin [Entrar]:
sudo iptables -P INPUT DROP
Això serà suficient perquè ningú, absolutament ningú pugui entrar al seu ordinador ... i, aquest «ningú» els inclou a vostès mateixos 😀
Explicació de la línia anterior: Amb ella indiquem a iptables, que la política per defecte (-P) per a tot el que vulgui entrar al nostre ordinador (INPUT) és obviar-ho, no fer-li cas (DROP)Ningú és força general, absolut de fet, ni vostès mateixos podran navegar per internet ni res, és per això que devem en aquesta terminal posar el següent i pressionar [Entrar]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... no entenc una merda, ¿Què fan ara aquestes dues línies raretes? ...
simple 🙂
La primera línia el que diu és que el propi ordinador (-i ho ... per cert, el = localhost) Pot fer el que li plagui. Una cosa obvi, que pot semblar fins absurd ... però creguin-me, és tan important com l'aire jaja.
La segona línia la explicaré fent servir l'exemple / comparació / metàfora que vaig fer servir abans, em refereixo a comparar a l'ordinador amb la casa 🙂 Per exemple, suposem que vivim amb més persones a casa nostra (mare, pare, germans, núvia, etc). Si alguna d'aquestes persones surt de casa, és obvi / lògic que deixarem que entre una vegada torni no?
Precisament això és el que fa aquesta segona línia. Totes les connexions que nosaltres iniciem (que surtin des del nostre ordinador), quan per aquesta connexió vulgui entrar alguna dada, iptables deixarà que aquesta dada entri. Posant un exemple més per explicar-ho, si usant el nostre navegador intentem navegar per Internet, sense aquestes 2 regles no podrem, doncs sí ... el navegador es connectarà a Internet, però quan intenti baixar dades (.html, .gif, etc) cap al nostre ordinador per mostrar-nos-, no podrà doncs iptables li negarà l'entrada de paquets (dades), mentre que amb aquestes regles, com nosaltres vam iniciar la connexió des de dins (des del nostre ordinador) i aquesta mateixa connexió és la que intenta entrar dades, si se li permetrà l'accés.
Amb això llest, ja tenim declarat que ningú pot accedir a cap servei del nostre ordinador, ningú excepte el propi ordinador (127.0.0.1) ia més, excepte connexions que s'iniciïn en el propi ordinador.
Ara, explicaré un detall més de forma ràpida, ja que la 2a part d'aquest tutorial explicarà i abastarà més sobre això jeje, no vull avançar molt 😀
Passa que per exemple, tenen un lloc web publicat al seu ordinador, i desitgen que aquest lloc web tots el puguin veure, com abans vam declarar que tot per defecte és NO permès, excepte no s'indiqui el contrari, ningú podrà veure el nostre lloc web. Ara farem que qualsevol pugui veure el o els llocs webs que tinguem al nostre ordinador, per això posem:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Això és molt simple d'explicar 😀
Amb aquesta línia estem declarant que accepti o permeti (-j ACCEPT) Tot trànsit a l'port 80 (-dport 80) Que sigui TCP (-p tcp), I que a més sigui trànsit entrant (-A INPUT). Vaig posar port 80, perquè aquest és el port de l'host web, és a dir ... quan un navegador intenta obrir un lloc de X ordinador, sempre mira per defecte en aquest port.
Ara ... què fer quan se sap quines regles posar, però quan reiniciem l'ordinador veiem que els canvis no es van guardar? ... bé, per això ja vaig fer un altre tutorial avui mateix:
Com iniciar regles de iptables automàticament
Aquí ho explico detalladament 😀
I aquí acaba el 1er tutorial sobre iptables per novells, curiosos i interessats 😉 ... no es preocupin, no serà l'últim jeje, el proper tractarà d'això mateix, però regles més específiques, detallant tot una mica més i augmentant en la seguretat. No desitjo estendre aquest molt més, ja que en realitat és necessari que les bases (això que van llegir aquí a l'inici) ho entenguin a la perfecció 🙂
Salutacions i ... vinga, els dubtes les aclareixo, sempre que sàpiga la resposta LOL !! (no sóc ni de lluny un expert en això jajaja)
41 comentaris, deixa el teu
Molt bo! Una pregunta nomás? Tens idea de quines són les configuracions per defecte que porta? La pregunta és de paranoic que sóc nomás: D.
Moltes gràcies.
Per defecte, bé per defecte accepta tot. O sigui, servei que posis al teu ordinador ... servei que serà públic per a la resta 😀
¿Entens?
Llavors ... quan no vols que X lloc web ho vegi I amic teu, o una determinada IP, aquí entra el tallafocs, htaccess, o algun mètode per denegar l'accés.
Salutacions,
Germà, Excel·lent !!!! Ara vaig a llegir el primer ...
Gràcies per la teva ajuda ...
Disla
Gràcies pel tutorial, em ve molt bé.
L'única cosa que voldria saber o assegurar-me és si amb aquestes instruccions no tindré problemes algun per fer transferències p2p, descarregar arxius o realitzar videotrucades, per exemple. Pel que vaig llegir no, no hauria d'haver problemes, però prefereixo assegurar-me abans d'introduir les línies.
Gràcies des de ja.
Salutacions.
No hauries de tenir problemes, però aquesta és una configuració bastant bàsica, en el pròxim tutorial explicaré de forma més àmplia com afegir regles pròpies, depenent de la necessitat de cadascú, etc 🙂
Però repeteixo, no hauries de tenir problemes, si els tens només reinicia l'ordinador i llest, com si mai haguessis configurat iptables 😀
¿Reiniciar? Sona molt windowsero. En el pitjor dels casos n'hi ha prou que facis una flush a les regles iptables i estableixis les polítiques per defecte a ACCEPT i assumpte arreglat, així que rockandroleo, no tindràs problemes.
Salutacions!
I, perdó per fer una altra petició, però ja que estem en el tema de tallafocs, és possible que expliquis com aplicar aquestes mateixes ordres en interfícies gràfiques de tallafocs com gufw o firestarter.
D’antemano, gràcies.
Salutacions.
Explicaré Firestarter, gufw només ho he vist i no ho he fet servir com a tal, potser ho expliqui breument o potser ILAV mateix ho faci 🙂
Després quan em donin ganes de sentir-me hacker el llegiré, sempre vaig voler aprendre sobre seguretat
Excel·lent tutorial, em sembla ben explicat i mentre sigui pas a pas millor, com dirien per ahi, for dummies.
Salutacions.
hahahaha gràcies 😀
Fantàstic.
Claríssimament esplicado.
Hi haurà que llegir-lo i rellegir-lo fins que els coneixements estiguin asentaditos i després seguir amb els següents estatuts.
Gràcies per l'article.
gràcies 😀
Ho he intentat explicar com hauria desitjat que m'ho expliquessin a mi per primera vegada, LOL !!
Salutacions 🙂
Molt bo, estic provant i funciona correctament, el que correspon a iniciar les regles automàticament a l'inici ho vaig a deixar per quan publiquis la segona part, fins a aquest moment tindré una mica més de treball digitant les ordres cada vegada que torneu a iniciar la PC, gràcies amic pel tut i per la rapidesa amb què ho vas publicar.
gràcies per la recomanació i les explicacions.
Podeu veure el que s'aplica amb iptables amb:
sudo iptables -L
exacte 😉
Jo li agrego la n en realitat:
iptables -nLGràcies pel tutorial, quedo a l'espera de la segona part salutacions.
quan sortirà la segona part
Tinc un proxy amb squid a la Máquina1, aquesta donarà navegació a internet a altres màquines d'aquesta la lan 192.168.137.0/24, i està escoltant per 192.168.137.22:3128 (obro el port 3128 per a qualsevol amb firestarter), des de la Máquina1 si poso en firefox que faci servir el proxy 192.168.137.22:3128 funciona. Si des d'una altra pc amb ip 192.168.137.10 per exemple, la Máquina2, col·loco que utilitzeu el proxy 192.168.137.22:3128 no funciona, excepte si a la Máquina1 col·loco en firestarter compratir internet amb la lan, ahi si funciona el proxy, el flux de dades és atraves de l'intermediari, però si a la Máquina2 treuen l'ús de proxy i apunten bé la porta d'enllaç poden navegar lliurement.
A què es deu això?
Amb iptables quines serien les regles?
«Intento mantenir-me en el costat fosc de la força, ja que és on està el divertit de la vida.» i amb deliri de jedi jajajajaja
Molt bo! arribo una mica tard no? jaja el post té com 2 anys però me'n vaig anar més que útil .. t'agraeixo per explicar-tan senzill que jo ho vaig poder entendre jaja segueixo amb les altres parts ..
Gràcies per llegir-nos 🙂
Sí, el post no és de el tot nou però encara és molt útil, no ha canviat gairebé res de l'funcionament dels tallafocs en l'última dècada crec jo 😀
Salutacions i gràcies a tu per comentar
Quina explicació amb floretes i tot. Sóc usuari «novell» però amb moltes ganes d'aprendre Linux, fa poc vaig estar llegint un post sobre un script de nmap per veure qui es connectaven a la meva xarxa i per no fer-te llarg el conte, en un comentari d'aquest post deia un usuari que apliquéssim la famosa primer línia que vas posar d'iptables i que amb això n'hi havia prou, i com sóc tremend noobster, l'apliqui però com bé ho has escrit aqui, no entrava a Internet 🙁
Gràcies per aquest post expicando l'ús de iptables, tant de bo i el estenguis i em expliquis a fons el seu funcionament total. Salutacions!
Gràcies a tu per llegir-nos i comentar 🙂
iptables és fenomenal, fa tan però tan bé la seva feina de tancar que ... ni nosaltres mateixos podem sortir, això és clar, llevat que sapiguem com configurar-lo. És per això que he intentat explicar iptables tan simple com em va ser possible, ja que a vegades no tots són capaços d'entendre alguna cosa a la primera.
Gràcies pel comentari, salutacions ^ _ ^
PD: Sobre el de estendre el post, aquí hi ha la 2a part: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Bé, moltes gràcies, si vaig llegir la segona part i em vaig posar a jugar immediatament a la consola amb el teu tremenda guia. Moltes gràcies, escolta per cert espere puguis ajudar-me ja que tinc un petit dubte i com bé sabràs sóc un novell intentant aprendre d'aquest meravellós programari lliure, a punt, fa poc tenia instal·lada una distro diferent a la qual li vaig modificar a l'arxiu dhcp.config una linea i deixant així:
#send host-name «»; doncs em va funcionar en aquella distro i tot bé, el meu nom de pc no apareix en el server dhcp del meu router, només el iconito de la pc, però en aquesta nova distro Li modifiqui la mateixa línia deixant-igual però no va funcionar. ¿Podries orientar-me una mica? 🙁 Si us plau ...
Ja això pot ser una mica més complex o extens, crea un tema en el nostre fòrum (foro.desdelinux.net) i aquí entre tots t'ajudem 🙂
Gràcies per llegir-nos i comentar
A punt, gràcies per la resposta. Demà al matí faig el tema i espero que puguis colaborarme, salutacions i per descomptat una abraçada.
Excel·lent article.
creus que amb això pugui implementar un firewall utilitzant iptables a casa meva o necessito saber alguna cosa mes? tens algun tutorial de configuració o amb aquests articles queda?
salutacions
En realitat això ja és el bàsic i mitjà, si vols alguna cosa més avançat (com a límit de connexions, etc) pots revisar tots els posts que parlin d'iptables aquí - » https://blog.desdelinux.net/tag/iptables
No obstant això, jo amb això tinc gairebé tot el meu tallafocs local 🙂
No em semblen per res malament, com per començar.
Però modificaria alguna cosa.
Deixaria drop a input i forward i accept a output
-P INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
Amb això bastaria perquè un newbi en iptables aquest «mitjanament segur»
Després, obrir els ports que necessitem.
M'agrada molt la pagina, tenen molt bones coses. Gràcies per compartir-les!
Salutacions!
Bona nit a tots els que han comentat però a veure si em aclareixen perquè estic més perdut que un llop a claveguera, sóc cubà i crec que sempre anem més enllà en tot tema possible i bo: Disculpeu de davant mans si no té a veure amb el tema !!!
Tinc un servidor UBUNTU Server 15 i resulta que tinc un servei allotjat dins que el brinda un altre programa que és stream TV però intento fer el control de la mateixa a travez de MAC Address perquè el control del port per exemple 6500 que el seleccioni a l'atzar , ningú pugui entrar a travez d'aquest port a l'llevat amb el MAC Address indicat en el iptables. Vaig fer la configuracions d'aquest article numero un i funciona muyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy bé, millor del que volia però he buscat info a todooooooooooooo i no encentro la maleïda configuració per permetre un mac address utilitzeu un port determinat només i res més.
de antemanos mil gràcies!
Hola, com aquestes, lei l'article iptables per novells, és molt bo, els felicito, jo molt de linux no, per això els vull fer una consulta, tinc un inconvenient, si em poden ajudar els hi agraeixo, tinc un servidor amb diverses ip i cadascuns dies, quan el servidor aquesta enviant emails per les ip que estan al servidor, deixa d'enviar emails, per la qual cosa perquè torni a enviar emails he de posar:
/etc/init.d/iptables stop
quan poso això comença novament a enviar correus electrònics, però després d'uns dies es torna a bloquejar, em poden dir que comandaments he de posar perquè el servidor no bloquegi les ip ?, vaig estar llegint i pel que vostès diuen a la pagina, amb aquestes 2 línies s'hauria de solucionar:
suo iptables -A INPUT -i ho -j ACCEPT
suo iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
però com que no es bé si és això, abans de posar aquests comando els volia consultar si amb això ja no es tornaran a bloquejar les ip de servidor, espero la seva ràpida resposta. Salutacions. Nicolas.
Hola bon dia, vaig llegir el teu petit tut i em va semblar molt bo i per tal motiu voldria fer-te una consulta:
Com puc redireccionar les peticions que entren per la interfície ho (localhost) cap a un altre equip (una altra IP) amb el mateix port, estic fent servir alguna cosa com això
iptables -t nat -A PREROUTING -p tcp -dport 3306 -j DNAT -to 148.204.38.105:3306
però no em redirecciona, estic monitoritzant amb tcpdump el port 3306 i si rep paquets però no els envia a la nova IP, però si faig peticions des d'un altre equip si les redirecciona. En poques paraules, em redirecciona el que entra per -i eth0, però no el que entra per -i ho.
Per endavant agraeixo la molta o poca ajuda que em puguis brindar. salu2.
Hola, com aquestes, molt bona la pagina, té bastant informació.
Tinc un problema i volia veure si em podis ajudar, tinc instal·lat el PowerMta en Centos 6 amb Cpanel, el problema és que després d'uns dies el PowerMta deixa d'enviar emails cap a l'exterior, és com que es bloquegen les ip, i cadascuns dies he d'estar col·locant la comanda /etc/init.d/iptables stop, amb això el PowerMta comença a enviar e-mails denuevo a l'exterior, amb això se soluciona el problema per uns dies, però després torna a passar.
Saps com puc fer per solucionar el problema ?, hi ha alguna cosa que pugui configurar al servidor o al tallafocs perquè no torni a passar això ?, ja que no perquè està passant això, si em podis ajudar t'agraeixo, espero la teva prompta resposta.
Salutacions.
Nicolau.
Excel·lent explicació i molt clara, he buscat llibres però són molt extensos i la meva anglès no és molt bo.
Coneixes algun llibre que recomanis en espanyol?
que tal bons dies, molt ben explicat, però segueixo sense tenir entrada des d'internet, t'explico, tinc un server amb ubuntu, el qual té dues targetes de xarxa, una amb aquesta configuració Link encap: Ethernet HWaddr a0: f3: c1: 10 : 05: 93 inet addr: 192.168.3.64 BCAST: 192.168.3.255 Mask: 255.255.255.0 i la segona amb aquesta altra Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64 BCAST: 192.168.1.255 Mask: 255.255.255.0, on la segona és la que té el meu gateway que és 192.168.1.64, però la primer targeta és la que controla els meus càmeres i vull veure-les des d'internet des de la seva ip fixa ,,, puc veure-les des de la len però no des d'internet ,, em podries auxiliar en això? , O si el meu router és el que està mal configurat és un tp-link archer c2 ,,, gràcies
Hola acabo de fer això en el meu servidor i ja sabras, com podria recuperar-lo?
iptables -P INPUT DROP
Et deixo el meu email ing.lcr.21@gmail.com
He estat buscant una mica per posts d'alta qualitat o entrades en blocs sobre aquests continguts. Explorant a Google per fi vaig trobar aquest lloc web. Amb lectura d'aquesta article, estic convençut que he trobat el que estava buscant o al menys tinc aquesta estranya sensació, he descobert exactament el que necessitava. I tant vaig fer que no s'oblidi aquest lloc web i recomanar-, us penso visitar regularment.
Salutacions
la veritat et felicito! he llegit moltes pàgines d'iptables però cap tan senzillament explicada com la teva; excel·lent explicació !!
gràcies per fer-me amb aquestes explicacions la vida mes fàcil !!
Per un moment em sento Àrab xD
El meu profe fa servir això per fer classe, gràcies i una salutació. Gang