iptables per novells, curiosos, interessats

Sempre he pensat que la seguretat mai està de més, i mai és suficient (per això ja ILAV em titlla de maniàtic obsessiu i psicòtic de la seguretat ...), Per això tot i que ús GNU / Linux, no descuit la seguretat del meu sistema, els meus contrasenyes (generats aleatòriament amb pwgen), Etc ..

A més, tot i que els sistemes tipus Unix són sense dubtes molt segurs, es recomana sense dubtes utilitzar un Firewall, Configurar-lo com cal, per estar el millor protegits possible 🙂

Aquí els explicaré sense molts embolics, embolics o detalls complexos com conèixer el bàsic de iptables.

Però ... ¿Què dimonis és iptables?

iptables és la part de l'nucli Linux (un mòdul) que s'ocupa de filtrar paquets. Això dit d'una altra manera, vol dir que iptables és la part de l'nucli el treball és saber quina informació / dades / paquet vols que entri a l'ordinador, i quins no (i fa més coses, però centrémosnos en això de moment jeje).

Explicaré això d'una altra manera 🙂

Molts en els seus distros usen tallafocs, Ulls de foc o firehol, Però aquests tallafocs en realitat 'per darrere' (al background) usen iptables, Llavors ... per què no fer servir directament iptables?

I això és el que explicaré de forma breu aquí 🙂

Fins aquí queda algun dubte? 😀

Per treballar amb iptables cal tenir permisos administratius, de manera que aquí faré servir suo (però si entres com root, No hi ha necessitat).

Perquè el nostre ordinador sigui realment segur, hem de només permetre el que nosaltres vulguem. Vegin el seu ordinador com si fos la seva pròpia casa, a casa vostès per defecte NO deixen que ningú entri, només poden entrar determinades persones específiques que vostès hagin aprovat abans no? Amb els tallafocs passa igual, per defecte ningú pot entrar al nostre ordinador, només podran entrar els que nosaltres desitgem 🙂

Per aconseguir això que explico, aquí els passos:

1. Obrin una terminal, en ella posin el següent i pressionin [Entrar]:

sudo iptables -P INPUT DROP

Això serà suficient perquè ningú, absolutament ningú pugui entrar al seu ordinador ... i, aquest «ningú» els inclou a vostès mateixos 😀

Explicació de la línia anterior: Amb ella indiquem a iptables, que la política per defecte (-P) per a tot el que vulgui entrar al nostre ordinador (INPUT) és obviar-ho, no fer-li cas (DROP)

Ningú és força general, absolut de fet, ni vostès mateixos podran navegar per internet ni res, és per això que devem en aquesta terminal posar el següent i pressionar [Entrar]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... no entenc una merda, ¿Què fan ara aquestes dues línies raretes? ...

simple 🙂

La primera línia el que diu és que el propi ordinador (-i ho ... per cert, el = localhost) Pot fer el que li plagui. Una cosa obvi, que pot semblar fins absurd ... però creguin-me, és tan important com l'aire jaja.

La segona línia la explicaré fent servir l'exemple / comparació / metàfora que vaig fer servir abans, em refereixo a comparar a l'ordinador amb la casa 🙂 Per exemple, suposem que vivim amb més persones a casa nostra (mare, pare, germans, núvia, etc). Si alguna d'aquestes persones surt de casa, és obvi / lògic que deixarem que entre una vegada torni no?

Precisament això és el que fa aquesta segona línia. Totes les connexions que nosaltres iniciem (que surtin des del nostre ordinador), quan per aquesta connexió vulgui entrar alguna dada, iptables deixarà que aquesta dada entri. Posant un exemple més per explicar-ho, si usant el nostre navegador intentem navegar per Internet, sense aquestes 2 regles no podrem, doncs sí ... el navegador es connectarà a Internet, però quan intenti baixar dades (.html, .gif, etc) cap al nostre ordinador per mostrar-nos-, no podrà doncs iptables li negarà l'entrada de paquets (dades), mentre que amb aquestes regles, com nosaltres vam iniciar la connexió des de dins (des del nostre ordinador) i aquesta mateixa connexió és la que intenta entrar dades, si se li permetrà l'accés.

Amb això llest, ja tenim declarat que ningú pot accedir a cap servei del nostre ordinador, ningú excepte el propi ordinador (127.0.0.1) ia més, excepte connexions que s'iniciïn en el propi ordinador.

Ara, explicaré un detall més de forma ràpida, ja que la 2a part d'aquest tutorial explicarà i abastarà més sobre això jeje, no vull avançar molt 😀

Passa que per exemple, tenen un lloc web publicat al seu ordinador, i desitgen que aquest lloc web tots el puguin veure, com abans vam declarar que tot per defecte és NO permès, excepte no s'indiqui el contrari, ningú podrà veure el nostre lloc web. Ara farem que qualsevol pugui veure el o els llocs webs que tinguem al nostre ordinador, per això posem:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Això és molt simple d'explicar 😀

Amb aquesta línia estem declarant que accepti o permeti (-j ACCEPT) Tot trànsit a l'port 80 (-dport 80) Que sigui TCP (-p tcp), I que a més sigui trànsit entrant (-A INPUT). Vaig posar port 80, perquè aquest és el port de l'host web, és a dir ... quan un navegador intenta obrir un lloc de X ordinador, sempre mira per defecte en aquest port.

Ara ... què fer quan se sap quines regles posar, però quan reiniciem l'ordinador veiem que els canvis no es van guardar? ... bé, per això ja vaig fer un altre tutorial avui mateix:

Com iniciar regles de iptables automàticament

Aquí ho explico detalladament 😀

I aquí acaba el 1er tutorial sobre iptables per novells, curiosos i interessats 😉 ... no es preocupin, no serà l'últim jeje, el proper tractarà d'això mateix, però regles més específiques, detallant tot una mica més i augmentant en la seguretat. No desitjo estendre aquest molt més, ja que en realitat és necessari que les bases (això que van llegir aquí a l'inici) ho entenguin a la perfecció 🙂

Salutacions i ... vinga, els dubtes les aclareixo, sempre que sàpiga la resposta LOL !! (no sóc ni de lluny un expert en això jajaja)


41 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   ezitoc va dir

    Molt bo! Una pregunta nomás? Tens idea de quines són les configuracions per defecte que porta? La pregunta és de paranoic que sóc nomás: D.

    Moltes gràcies.

    1.    KZKG ^ Gaara va dir

      Per defecte, bé per defecte accepta tot. O sigui, servei que posis al teu ordinador ... servei que serà públic per a la resta 😀
      ¿Entens?

      Llavors ... quan no vols que X lloc web ho vegi I amic teu, o una determinada IP, aquí entra el tallafocs, htaccess, o algun mètode per denegar l'accés.

  2.   faustod va dir

    Salutacions,

    Germà, Excel·lent !!!! Ara vaig a llegir el primer ...

    Gràcies per la teva ajuda ...
    Disla

  3.   rockandroleu va dir

    Gràcies pel tutorial, em ve molt bé.
    L'única cosa que voldria saber o assegurar-me és si amb aquestes instruccions no tindré problemes algun per fer transferències p2p, descarregar arxius o realitzar videotrucades, per exemple. Pel que vaig llegir no, no hauria d'haver problemes, però prefereixo assegurar-me abans d'introduir les línies.
    Gràcies des de ja.
    Salutacions.

    1.    KZKG ^ Gaara va dir

      No hauries de tenir problemes, però aquesta és una configuració bastant bàsica, en el pròxim tutorial explicaré de forma més àmplia com afegir regles pròpies, depenent de la necessitat de cadascú, etc 🙂

      Però repeteixo, no hauries de tenir problemes, si els tens només reinicia l'ordinador i llest, com si mai haguessis configurat iptables 😀

      1.    tau va dir

        ¿Reiniciar? Sona molt windowsero. En el pitjor dels casos n'hi ha prou que facis una flush a les regles iptables i estableixis les polítiques per defecte a ACCEPT i assumpte arreglat, així que rockandroleo, no tindràs problemes.

        Salutacions!

  4.   rockandroleu va dir

    I, perdó per fer una altra petició, però ja que estem en el tema de tallafocs, és possible que expliquis com aplicar aquestes mateixes ordres en interfícies gràfiques de tallafocs com gufw o firestarter.
    D’antemano, gràcies.
    Salutacions.

    1.    KZKG ^ Gaara va dir

      Explicaré Firestarter, gufw només ho he vist i no ho he fet servir com a tal, potser ho expliqui breument o potser ILAV mateix ho faci 🙂

  5.   Assuart va dir

    Després quan em donin ganes de sentir-me hacker el llegiré, sempre vaig voler aprendre sobre seguretat

  6.   Daniel va dir

    Excel·lent tutorial, em sembla ben explicat i mentre sigui pas a pas millor, com dirien per ahi, for dummies.

    Salutacions.

    1.    KZKG ^ Gaara va dir

      hahahaha gràcies 😀

  7.   Litos523 va dir

    Fantàstic.
    Claríssimament esplicado.
    Hi haurà que llegir-lo i rellegir-lo fins que els coneixements estiguin asentaditos i després seguir amb els següents estatuts.
    Gràcies per l'article.

    1.    KZKG ^ Gaara va dir

      gràcies 😀
      Ho he intentat explicar com hauria desitjat que m'ho expliquessin a mi per primera vegada, LOL !!

      Salutacions 🙂

  8.   Oscar va dir

    Molt bo, estic provant i funciona correctament, el que correspon a iniciar les regles automàticament a l'inici ho vaig a deixar per quan publiquis la segona part, fins a aquest moment tindré una mica més de treball digitant les ordres cada vegada que torneu a iniciar la PC, gràcies amic pel tut i per la rapidesa amb què ho vas publicar.

  9.   Xosé M. va dir

    gràcies per la recomanació i les explicacions.

    Podeu veure el que s'aplica amb iptables amb:

    sudo iptables -L

    1.    KZKG ^ Gaara va dir

      exacte 😉
      Jo li agrego la n en realitat:
      iptables -nL

  10.   Alex va dir

    Gràcies pel tutorial, quedo a l'espera de la segona part salutacions.

  11.   guillermo va dir

    quan sortirà la segona part

  12.   jonisar va dir

    Tinc un proxy amb squid a la Máquina1, aquesta donarà navegació a internet a altres màquines d'aquesta la lan 192.168.137.0/24, i està escoltant per 192.168.137.22:3128 (obro el port 3128 per a qualsevol amb firestarter), des de la Máquina1 si poso en firefox que faci servir el proxy 192.168.137.22:3128 funciona. Si des d'una altra pc amb ip 192.168.137.10 per exemple, la Máquina2, col·loco que utilitzeu el proxy 192.168.137.22:3128 no funciona, excepte si a la Máquina1 col·loco en firestarter compratir internet amb la lan, ahi si funciona el proxy, el flux de dades és atraves de l'intermediari, però si a la Máquina2 treuen l'ús de proxy i apunten bé la porta d'enllaç poden navegar lliurement.
    A què es deu això?
    Amb iptables quines serien les regles?

  13.   geronimo va dir

    «Intento mantenir-me en el costat fosc de la força, ja que és on està el divertit de la vida.» i amb deliri de jedi jajajajaja

  14.   Carlos va dir

    Molt bo! arribo una mica tard no? jaja el post té com 2 anys però me'n vaig anar més que útil .. t'agraeixo per explicar-tan senzill que jo ho vaig poder entendre jaja segueixo amb les altres parts ..

    1.    KZKG ^ Gaara va dir

      Gràcies per llegir-nos 🙂

      Sí, el post no és de el tot nou però encara és molt útil, no ha canviat gairebé res de l'funcionament dels tallafocs en l'última dècada crec jo 😀

      Salutacions i gràcies a tu per comentar

  15.   lleó va dir

    Quina explicació amb floretes i tot. Sóc usuari «novell» però amb moltes ganes d'aprendre Linux, fa poc vaig estar llegint un post sobre un script de nmap per veure qui es connectaven a la meva xarxa i per no fer-te llarg el conte, en un comentari d'aquest post deia un usuari que apliquéssim la famosa primer línia que vas posar d'iptables i que amb això n'hi havia prou, i com sóc tremend noobster, l'apliqui però com bé ho has escrit aqui, no entrava a Internet 🙁
    Gràcies per aquest post expicando l'ús de iptables, tant de bo i el estenguis i em expliquis a fons el seu funcionament total. Salutacions!

    1.    KZKG ^ Gaara va dir

      Gràcies a tu per llegir-nos i comentar 🙂
      iptables és fenomenal, fa tan però tan bé la seva feina de tancar que ... ni nosaltres mateixos podem sortir, això és clar, llevat que sapiguem com configurar-lo. És per això que he intentat explicar iptables tan simple com em va ser possible, ja que a vegades no tots són capaços d'entendre alguna cosa a la primera.

      Gràcies pel comentari, salutacions ^ _ ^

      PD: Sobre el de estendre el post, aquí hi ha la 2a part: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    lleó va dir

        Bé, moltes gràcies, si vaig llegir la segona part i em vaig posar a jugar immediatament a la consola amb el teu tremenda guia. Moltes gràcies, escolta per cert espere puguis ajudar-me ja que tinc un petit dubte i com bé sabràs sóc un novell intentant aprendre d'aquest meravellós programari lliure, a punt, fa poc tenia instal·lada una distro diferent a la qual li vaig modificar a l'arxiu dhcp.config una linea i deixant així:
        #send host-name «»; doncs em va funcionar en aquella distro i tot bé, el meu nom de pc no apareix en el server dhcp del meu router, només el iconito de la pc, però en aquesta nova distro Li modifiqui la mateixa línia deixant-igual però no va funcionar. ¿Podries orientar-me una mica? 🙁 Si us plau ...

        1.    KZKG ^ Gaara va dir

          Ya esto puede ser algo más complejo o extenso, crea un tema en nuestro foro (foro.desdelinux.net) y ahí entre todos te ayudamos 🙂

          Gràcies per llegir-nos i comentar

          1.    lleó va dir

            A punt, gràcies per la resposta. Demà al matí faig el tema i espero que puguis colaborarme, salutacions i per descomptat una abraçada.

  16.   Diego va dir

    Excel·lent article.
    creus que amb això pugui implementar un firewall utilitzant iptables a casa meva o necessito saber alguna cosa mes? tens algun tutorial de configuració o amb aquests articles queda?
    salutacions

    1.    KZKG ^ Gaara va dir

      En realitat això ja és el bàsic i mitjà, si vols alguna cosa més avançat (com a límit de connexions, etc) pots revisar tots els posts que parlin d'iptables aquí - » https://blog.desdelinux.net/tag/iptables

      No obstant això, jo amb això tinc gairebé tot el meu tallafocs local 🙂

  17.   corb va dir

    No em semblen per res malament, com per començar.
    Però modificaria alguna cosa.

    Deixaria drop a input i forward i accept a output
    -P INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
    Amb això bastaria perquè un newbi en iptables aquest «mitjanament segur»
    Després, obrir els ports que necessitem.
    M'agrada molt la pagina, tenen molt bones coses. Gràcies per compartir-les!
    Salutacions!

  18.   FGZ va dir

    Bona nit a tots els que han comentat però a veure si em aclareixen perquè estic més perdut que un llop a claveguera, sóc cubà i crec que sempre anem més enllà en tot tema possible i bo: Disculpeu de davant mans si no té a veure amb el tema !!!

    Tinc un servidor UBUNTU Server 15 i resulta que tinc un servei allotjat dins que el brinda un altre programa que és stream TV però intento fer el control de la mateixa a travez de MAC Address perquè el control del port per exemple 6500 que el seleccioni a l'atzar , ningú pugui entrar a travez d'aquest port a l'llevat amb el MAC Address indicat en el iptables. Vaig fer la configuracions d'aquest article numero un i funciona muyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy bé, millor del que volia però he buscat info a todooooooooooooo i no encentro la maleïda configuració per permetre un mac address utilitzeu un port determinat només i res més.

    de antemanos mil gràcies!

  19.   Nicolas González va dir

    Hola, com aquestes, lei l'article iptables per novells, és molt bo, els felicito, jo molt de linux no, per això els vull fer una consulta, tinc un inconvenient, si em poden ajudar els hi agraeixo, tinc un servidor amb diverses ip i cadascuns dies, quan el servidor aquesta enviant emails per les ip que estan al servidor, deixa d'enviar emails, per la qual cosa perquè torni a enviar emails he de posar:

    /etc/init.d/iptables stop

    quan poso això comença novament a enviar correus electrònics, però després d'uns dies es torna a bloquejar, em poden dir que comandaments he de posar perquè el servidor no bloquegi les ip ?, vaig estar llegint i pel que vostès diuen a la pagina, amb aquestes 2 línies s'hauria de solucionar:

    suo iptables -A INPUT -i ho -j ACCEPT
    suo iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT

    però com que no es bé si és això, abans de posar aquests comando els volia consultar si amb això ja no es tornaran a bloquejar les ip de servidor, espero la seva ràpida resposta. Salutacions. Nicolas.

  20.   Tux MH va dir

    Hola bon dia, vaig llegir el teu petit tut i em va semblar molt bo i per tal motiu voldria fer-te una consulta:

    Com puc redireccionar les peticions que entren per la interfície ho (localhost) cap a un altre equip (una altra IP) amb el mateix port, estic fent servir alguna cosa com això

    iptables -t nat -A PREROUTING -p tcp -dport 3306 -j DNAT -to 148.204.38.105:3306

    però no em redirecciona, estic monitoritzant amb tcpdump el port 3306 i si rep paquets però no els envia a la nova IP, però si faig peticions des d'un altre equip si les redirecciona. En poques paraules, em redirecciona el que entra per -i eth0, però no el que entra per -i ho.

    Per endavant agraeixo la molta o poca ajuda que em puguis brindar. salu2.

  21.   Nicolas va dir

    Hola, com aquestes, molt bona la pagina, té bastant informació.

    Tinc un problema i volia veure si em podis ajudar, tinc instal·lat el PowerMta en Centos 6 amb Cpanel, el problema és que després d'uns dies el PowerMta deixa d'enviar emails cap a l'exterior, és com que es bloquegen les ip, i cadascuns dies he d'estar col·locant la comanda /etc/init.d/iptables stop, amb això el PowerMta comença a enviar e-mails denuevo a l'exterior, amb això se soluciona el problema per uns dies, però després torna a passar.

    Saps com puc fer per solucionar el problema ?, hi ha alguna cosa que pugui configurar al servidor o al tallafocs perquè no torni a passar això ?, ja que no perquè està passant això, si em podis ajudar t'agraeixo, espero la teva prompta resposta.

    Salutacions.

    Nicolau.

  22.   Luis Delgado va dir

    Excel·lent explicació i molt clara, he buscat llibres però són molt extensos i la meva anglès no és molt bo.
    Coneixes algun llibre que recomanis en espanyol?

  23.   fbec va dir

    que tal bons dies, molt ben explicat, però segueixo sense tenir entrada des d'internet, t'explico, tinc un server amb ubuntu, el qual té dues targetes de xarxa, una amb aquesta configuració Link encap: Ethernet HWaddr a0: f3: c1: 10 : 05: 93 inet addr: 192.168.3.64 BCAST: 192.168.3.255 Mask: 255.255.255.0 i la segona amb aquesta altra Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64 BCAST: 192.168.1.255 Mask: 255.255.255.0, on la segona és la que té el meu gateway que és 192.168.1.64, però la primer targeta és la que controla els meus càmeres i vull veure-les des d'internet des de la seva ip fixa ,,, puc veure-les des de la len però no des d'internet ,, em podries auxiliar en això? , O si el meu router és el que està mal configurat és un tp-link archer c2 ,,, gràcies

  24.   Luis Castro va dir

    Hola acabo de fer això en el meu servidor i ja sabras, com podria recuperar-lo?
    iptables -P INPUT DROP
    Et deixo el meu email ing.lcr.21@gmail.com

  25.   instal·lacions elèctriques va dir

    He estat buscant una mica per posts d'alta qualitat o entrades en blocs sobre aquests continguts. Explorant a Google per fi vaig trobar aquest lloc web. Amb lectura d'aquesta article, estic convençut que he trobat el que estava buscant o al menys tinc aquesta estranya sensació, he descobert exactament el que necessitava. I tant vaig fer que no s'oblidi aquest lloc web i recomanar-, us penso visitar regularment.

    Salutacions

  26.   na va dir

    la veritat et felicito! he llegit moltes pàgines d'iptables però cap tan senzillament explicada com la teva; excel·lent explicació !!
    gràcies per fer-me amb aquestes explicacions la vida mes fàcil !!

  27.   Anònim va dir

    Per un moment em sento Àrab xD

  28.   Victor Andres Embriones.lan va dir

    El meu profe fa servir això per fer classe, gràcies i una salutació. Gang