Vždy jsem si myslel, že bezpečnost nikdy neublíží a nikdy to nestačí (proto živý Označuje mě za posedlého a psychotického bezpečnostního maniaka ...), takže i když používám GNU / Linux, nezanedbávám zabezpečení svého systému, svých hesel (náhodně generované pomocí pwgen), atd..
Navíc, i když se systémy typují Unix jsou nepochybně velmi bezpečné, bezpochyby se doporučuje použít a Firewall, nakonfigurujte jej správně, abyste byli co nejlépe chráněni 🙂
Zde vám bez větších potíží, spleti nebo složitých podrobností vysvětlím, jak znát základy iptables.
Ale … Co to sakra je iptables?
iptables Je to část linuxového jádra (modul), která se zabývá filtrováním paketů. To se říká jiným způsobem, znamená to iptables je součástí jádra, jehož úkolem je vědět, jaké informace / data / balíček chcete do svého počítače zadat a co ne (a dělá více věcí, ale teď se na to zaměřme hehe).
Vysvětlím to jiným způsobem 🙂
Mnozí na svých distribucích používají brány firewall, Firestarter o firehol, ale tyto brány firewall ve skutečnosti „zezadu“ (v pozadí) použití iptables, pak ... proč nepoužívat přímo iptables?
A to zde stručně vysvětlím 🙂
Zatím existují pochybnosti? 😀
S ním pracovat iptables je nutné mít oprávnění správce, takže zde použiji sudo (ale pokud zadáte jako kořen, není potřeba).
Aby byl náš počítač skutečně bezpečný, musíme povolit pouze to, co chceme. Podívejte se na svůj počítač, jako by to byl váš vlastní domov, ve svém domě ve výchozím nastavení NEDovolte nikomu vstoupit, vstoupit mohou pouze určití konkrétní lidé, které jste předtím schválili, že? U bran firewall se to děje stejně, ve výchozím nastavení nemůže nikdo vstoupit do našeho počítače, pouze ti, kteří chtějí vstoupit, mohou vstoupit 🙂
K dosažení tohoto cíle vysvětlím, zde jsou kroky:
1. Otevřete terminál, vložte do něj následující a stiskněte [Enter]:
sudo iptables -P INPUT DROP
To bude stačit, aby nikdo, absolutně nikdo nemohl vstoupit do vašeho počítače ... a tento „nikdo“ zahrnuje vás 😀
Vysvětlení předchozího řádku: S ním označíme iptables, že výchozí politika (-P) pro vše, co chce vstoupit do našeho počítače (INPUT), je ignorovat to, ignorovat (DROP)Nikdo není úplně obecný, absolutně ve skutečnosti, ani vy sami nebudete moci surfovat na internetu ani nic jiného, proto musíme v tomto terminálu umístit následující a stisknout [Enter]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... nerozumím do prdele, Co teď dělají ty dvě divné linie? ...
Jednoduché 🙂
První řádek říká, že samotný počítač (-i lo ... mimochodem, lo = localhost) může dělat, co chce. Něco zjevného, co se může zdát absurdní ... ale věřte mi, je to stejně důležité jako vzduch, haha.
Druhý řádek vysvětlím pomocí příkladu / srovnání / metafory, který jsem použil dříve, mám na mysli porovnání počítače s domem 🙂 Předpokládejme například, že žijeme s více lidmi v našem domě (matka, otec, bratři, přítelkyně atd.). Pokud některý z těchto lidí odejde z domova, je zřejmé / logické, že je pustíme dovnitř, jakmile se vrátí, ne?
To je přesně to, co tento druhý řádek dělá. Všechna připojení, která iniciujeme (která vycházejí z našeho počítače), když prostřednictvím tohoto připojení chcete zadat nějaká data, iptables nechám tato data dovnitř. Abychom to vysvětlili ještě jednou, pokud se pomocí našeho prohlížeče pokusíme procházet internet, bez těchto 2 pravidel nebudeme schopni, no ano ... prohlížeč se připojí k internetu, ale když se pokusí stáhnout data ( .html, .gif atd.) do našeho počítače, aby nám ukázal, že nebudete moci iptables Odepře vstup paketů (dat), zatímco s těmito pravidly, když zahájíme připojení zevnitř (z našeho počítače) a stejné připojení je to, které se pokouší zadat data, umožní přístup.
S touto připraveností jsme již deklarovali, že nikdo nemá přístup k žádné službě v našem počítači, nikdo kromě samotného počítače (127.0.0.1) a také, kromě připojení, která jsou spuštěna v samotném počítači.
Nyní rychle vysvětlím ještě jeden detail, protože druhá část tohoto tutoriálu vysvětlí a pojme více o tomto hehe, nechci příliš postupovat 😀
Stává se, že například mají na svém počítači publikovanou webovou stránku a chtějí, aby tuto webovou stránku viděli všichni, protože předtím jsme prohlásili, že vše ve výchozím nastavení NENÍ povoleno, pokud není uvedeno jinak, nikdo nebude moci vidět webová stránka. Nyní zajistíme, aby si kdokoli mohl prohlédnout web nebo weby, které máme v počítači, k tomu vložíme:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
To je velmi jednoduché vysvětlit 😀
Tímto řádkem prohlašujeme, že přijímáte nebo povolujete (-j PŘIJMOUT) veškerý provoz na portu 80 (–Dport 80) proveďte TCP (-p TCP), a že se také jedná o příchozí provoz (-VSTUP). Dal jsem port 80, protože to je port webového hostitele, to je ... když se prohlížeč pokusí otevřít web v počítači X, vždy vypadá jako výchozí na tomto portu.
Nyní ... co dělat, když víte, jaká pravidla nastavit, ale když restartujeme počítač, vidíme, že změny nebyly uloženy? ... no, za to jsem dnes udělal další tutoriál:
Jak automaticky spustit pravidla iptables
Tam to podrobně vysvětlím 😀
A tady končí 1. tutoriál na iptables pro nováčky, zvědavé a zaujaté 😉 ... nebojte se, nebude to poslední hehe, další se bude zabývat stejnou věcí, ale konkrétnější pravidla, podrobně vše podrobněji a zvyšující bezpečnost. Nechci to mnohem víc rozšiřovat, protože ve skutečnosti je nutné, aby tomu základy (to, co jste si přečetli na začátku), dokonale rozuměly 🙂
Zdravím a ... no tak, objasňuji pochybnosti, pokud znáte odpověď LOL !! (Nejsem na to zdaleka odborník hahaha)
Velmi dobře! Pouze otázka? Máte představu, jaké jsou výchozí nastavení? Otázka je paranoidní, že jsem jen: D.
Děkuju mnohokrát.
Ve výchozím nastavení přijímá ve výchozím nastavení vše. Jinými slovy, služba, kterou umístíte na svůj počítač ... služba, která bude po zbytek veřejné. 😀
Rozumíš?
Takže ... když nechcete, aby to viděl X web A váš přítel, nebo určitá IP adresa, přijde firewall, htaccess nebo nějaká metoda pro odepření přístupu.
S pozdravem,
Bratře, vynikající !!!! Teď si přečtu první ...
Díky za vaši pomoc…
disla
Děkujeme za návod, který se hodí.
Jediná věc, kterou bych chtěl vědět nebo se ujistit, je, že podle těchto pokynů nebudu mít problémy například s přenosem p2p, stahováním souborů nebo videohovory. Z toho, co jsem četl ne, by neměly být žádné problémy, ale raději se ujistím před vstupem do řádků.
Díky od teď.
Zdravím.
Neměli byste mít problémy, ale toto je poměrně základní konfigurace, v dalším tutoriálu vám podrobněji vysvětlím, jak přidat svá vlastní pravidla, v závislosti na potřebě každého atd. 🙂
Ale opakuji, neměli byste mít problémy, pokud je máte, stačí restartovat počítač a voila, jako byste nikdy nekonfigurovali iptables 😀
Restartovat? Zní to velmi okázale. V nejhorším případě stačí vyprázdnit pravidla iptables a nastavit výchozí zásady na ACCEPT a záležitost je opravená, takže rockandroleo, nebudete mít problémy.
Saludos!
A omlouvám se za další požadavek, ale protože jsme na téma brány firewall, je možné, že vysvětlíte, jak použít stejné příkazy v grafických rozhraních brány firewall, jako je gufw nebo firestarter.
Děkuji předem.
Zdravím.
Vysvětlím Firestarter, gufw, viděl jsem to jen a nepoužíval jsem ho jako takový, možná to vysvětlím stručně nebo možná živý udělej to sám 🙂
Pak, když se budu cítit jako hacker, přečtu si to, vždy jsem se chtěl dozvědět něco o bezpečnosti
Vynikající výukový program, myslím, že je dobře vysvětlen a zatímco je to krok za krokem, tím lépe, jak by se řeklo, pro figuríny.
Zdravím.
hahahaha díky 😀
Skvělý.
Velmi jasně vysvětleno.
Budeme si to muset přečíst a znovu si je přečíst, dokud nebudou znalosti vyřešeny, a poté pokračovat v následujících cvičeních.
Díky za článek.
Díky 😀
Snažil jsem se to vysvětlit, jak bych si přál, aby mi to bylo vysvětleno poprvé, LOL !!
Zdravím 🙂
Velmi dobře, testuji a funguje to správně, což odpovídá automatickému spuštění pravidel na začátku. Nechám to, když publikujete druhou část, do té doby budu mít trochu více práce s psaní příkazů pokaždé, když restartuji PC, děkuji příteli za tuto a za to, jak rychle jste ji publikovali.
děkuji za doporučení a vysvětlení.
Můžete zjistit, co platí pro iptables s:
sudo iptables -L
Přesně 😉
Přidávám n vlastně:
iptables -nLDíky za tutoriál, těším se na druhou část, pozdravy.
kdy vyjde druhá část
Mám proxy s chobotnicí na Machine1, dá procházení internetu na jiné stroje té lan 192.168.137.0/24 a poslouchá 192.168.137.22:3128 (otevírám port 3128 pro kohokoli s firestarter), z Machine1 pokud dal jsem Firefox používat proxy 192.168.137.22:3128 to funguje. Pokud z jiného počítače s IP 192.168.137.10, například Machine2, nastavil jsem jej na použití proxy 192.168.137.22:3128 nefunguje, kromě případů, kdy na Machine1 vložím Firestarter pro sdílení internetu s LAN, pokud proxy funguje, data toku jsou přes proxy, ale pokud na Machine2 odstraní použití proxy a správně nasměrují bránu, budou se moci volně pohybovat.
O čem to je?
Jaká by byla pravidla pro iptables?
„Snažím se zůstat na temné straně síly, protože právě tam je legrace života.“ as deliriem Jedi hahahahaha
Velmi dobře! Jdu trochu pozdě, že? haha příspěvek je starý asi 2 roky, ale byl jsem více než užitečný .. Děkuji vám za to, že jste to vysvětlili tak jednoduše, že jsem tomu rozuměl haha pokračuji s ostatními částmi ..
Děkujeme za přečtení 🙂
Ano, příspěvek není úplně nový, ale je stále velmi užitečný, nezměnil téměř nic na fungování bran firewall v posledním desetiletí, myslím 😀
Zdravím a děkuji za komentář
Jaké vysvětlení s květinami a vším. Jsem uživatel „nováček“, ale se spoustou touhy učit se Linux, nedávno jsem četl příspěvek o skriptu nmap, abych zjistil, kdo se připojil k mé síti, a ne aby vám dlouho, v komentáři k tomuto příspěvku řekl uživatel že použijeme slavný první řádek, který jste vložili z iptables a to stačilo, a protože jsem obrovský noobster, použil jsem to, ale jak jste zde psali, nevstoupilo to na internet 🙁
Děkuji za tento příspěvek vysvětlující použití iptables, doufám, že ho rozšíříte a plně mi vysvětlíte jeho celkovou činnost. Na zdraví!
Děkuji za přečtení a komentář 🙂
iptables je skvělý, vypíná to tak dobře, že ... nemůžeme se ani dostat ven, to je jisté, pokud nevíme, jak to nakonfigurovat. Proto jsem se snažil co nejjednodušší vysvětlit iptables, protože někdy ne každý dokáže něčemu poprvé porozumět.
Děkujeme za komentář, s pozdravem ^ _ ^
PS: O prodloužení příspěvku je zde druhá část: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
No, moc děkuji, pokud jsem přečetl druhou část a okamžitě začal hrát na konzoli s vaším obrovským průvodcem. Mockrát vám děkuji, hej mimochodem, doufám, že mi můžete pomoci, protože o tom trochu pochybuji a jak dobře víte, jsem nováček, který se pokouší dozvědět se o tomto nádherném svobodném softwaru, k věci, nedávno jsem měl nainstalovanou jinou distribuci ke kterému jsem upravil soubor dhcp.config řádek a nechal to takto:
#send host-name ""; Fungovalo to pro mě v tom distro a všechno bylo v pořádku, moje jméno počítače se neobjevuje na serveru dhcp mého routeru, pouze ikona počítače, ale v této nové distribuci jsem upravil stejný řádek a nechal to stejné, ale nefungovalo to. Mohl byste mě trochu vést? 🙁 Prosím ...
Protože se může jednat o něco složitějšího nebo rozsáhlejšího, vytvořte téma na našem fóru (for.desdelinux.net) a tam vám společně pomůžeme 🙂
Děkujeme za přečtení a komentář
Připraveno, děkuji za odpověď. Zítra ráno to téma udělám a doufám, že mi pomůžete, pozdravy a samozřejmě objetí.
Výborný článek.
Myslíte si, že s tímto mohu implementovat firewall pomocí iptables v mém domě, nebo potřebuji vědět něco jiného? Máte nějaký konfigurační výukový program nebo s těmito články zůstává?
jde o
Ve skutečnosti to byly základy a znamená to, že pokud chcete něco pokročilejšího (jako je limit připojení atd.), Můžete zde zkontrolovat všechny příspěvky, které hovoří o iptables - » https://blog.desdelinux.net/tag/iptables
S tímto však mám téměř celý svůj lokální firewall 🙂
Nezdají se vůbec špatní.
Ale něco by to upravilo.
Upustil bych vstup a předal a přijal výstup
-P VSTUP -m stav –stát ZAVEDENO, SOUVISEJÍCÍ -j PŘIJMOUT
To by stačilo na to, aby byl newbi v iptables „celkem bezpečný“
Poté otevřete porty, které potřebujeme.
Stránka se mi opravdu líbí, mají velmi dobré věci. Děkuji za sdílení!
Zdravím!
Dobrý večer všem, kteří to komentovali, ale uvidíme, jestli objasníte, proč jsem více ztracen než vlk v kanále, jsem Kubánec a myslím, že vždy jdeme dále v každém možném tématu a dobře: Promiňte předem, pokud je nemusí souviset s tématem !!!
Mám server UBUNTU Server 15 a ukázalo se, že mám uvnitř hostovanou službu, která je poskytována jiným programem, který je stream TV, ale snažím se ji ovládat pomocí MAC adresy, takže ovládání portu například 6500, který ji vybere náhodně Nikdo nemůže vstoupit přes tento port, pokud to není s MAC adresou uvedenou v iptables. Udělal jsem konfigurace tohoto článku číslo jedna a funguje to velmiyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy dobře, lépe, než jsem chtěl, ale hledal jsem informace v todooooooooooooo a nenašel jsem šťastnou konfiguraci, která by umožňovala MAC adrese používat pouze určitý port a nic jiného.
Děkuji předem!
Dobrý den, jak se máte, přečetl jsem si článek iptables pro nováčky, je to velmi dobré, blahopřeji vám, o linuxu toho moc nevím, proto vám chci položit otázku, mám problém, pokud můžete pomozte mi děkuji, mám server s několika IP adresami a každých několik dní, když server posílá e-maily prostřednictvím IP adres, které jsou na serveru, přestane odesílat e-maily, takže pro opětovné odesílání e-mailů musím dát:
/etc/init.d/iptables se zastaví
Když to uvedu, začne znovu odesílat e-maily, ale po několika dnech se znovu zablokuje, můžete mi říct, jaké příkazy musím dát, aby server neblokoval IP? Četl jsem a z toho, co říkáte na stránce, s Tyto 2 řádky by musely být vyřešeny:
sudo iptables -A VSTUP -i lo -j PŘIJMOUT
sudo iptables -A VSTUP -m stav –stát ZAVEDENO, SOUVISEJÍCÍ -j PŘIJMOUT
ale protože nevím, jestli to tak je, před uvedením těchto příkazů jsem chtěl zjistit, zda s tím již nebudou blokovány adresy IP serveru, čekám na vaši rychlou odpověď. Pozdravy. Nicholas.
Dobrý den dobré ráno, přečetl jsem si váš malý návod a zdálo se to velmi dobré, a proto bych vám chtěl položit otázku:
Jak mohu přesměrovat požadavky, které vstupují přes rozhraní lo (localhost) na jiný počítač (jinou IP) se stejným portem, používám něco takového
iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –do 148.204.38.105:3306
ale nepřesměrovává mě, monitoruji port 3306 pomocí tcpdump a pokud přijímá pakety, ale neposílá je na novou IP, ale pokud zadám požadavky z jiného počítače, přesměruje je. Stručně řečeno, přesměrovává to, co přichází skrz -i eth0, ale ne to, co přichází skrz -i lo.
Předem oceňuji velkou nebo malou pomoc, kterou mi můžete poskytnout. salu2.
Dobrý den, jak se máte, stránka je velmi dobrá, má spoustu informací.
Mám problém a chtěl jsem zjistit, jestli mi můžete pomoci, mám nainstalovanou PowerMta v Centos 6 s Cpanel, problém je v tom, že po několika dnech přestane PowerMta posílat e-maily ven, je to, jako by byly blokovány IP adresy, a každý jeden den musím umístit příkaz /etc/init.d/iptables stop, s tím, že PowerMta začne znovu posílat e-maily do zahraničí, s tím je problém několik dní vyřešen, ale pak se to stane znovu.
Víte, jak mohu problém vyřešit? Je něco, co mohu nakonfigurovat na serveru nebo ve firewallu, aby se to už neopakovalo? Jelikož nevím, proč se to děje, můžete mi pomoci děkuji, doufám, že brzy odpovíte.
Zdravím.
Nicolasi.
Skvělé a velmi jasné vysvětlení, knihy jsem hledal, ale jsou velmi obsáhlé a moje angličtina není moc dobrá.
Znáte nějaké knihy, které doporučujete ve španělštině?
A co dobré ráno, velmi dobře vysvětleno, ale stále nemám přístup z internetu, vysvětlím to, mám server s Ubuntu, který má dvě síťové karty, jednu s touto konfigurací Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maska: 255.255.255.0 a druhá s tímto dalším Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, kde druhá je ta, kterou má moje brána, což je 192.168.1.64, ale první karta je ta, která ovládá mé fotoaparáty a chci je vidět z internet z mého pevného ip ,,, vidím je z lan, ale ne z internetu, mohl byste mi s tím pomoci? , nebo pokud je můj router ten, který je nesprávně nakonfigurován, je to tp-link archer c2 ,,, díky
Dobrý den, právě jsem to udělal na svém serveru a víte, jak to mohu obnovit?
iptables -P INPUT DROP
Nechám ti svůj e-mail ing.lcr.21@gmail.com
Docela jsem hledal vysoce kvalitní příspěvky nebo blogové příspěvky k tomuto obsahu. Googling Nakonec jsem našel tento web. Při čtení tohoto článku jsem přesvědčen, že jsem našel to, co jsem hledal, nebo alespoň mám ten podivný pocit, objevil jsem přesně to, co jsem potřeboval. Samozřejmě vás přimím zapomenout na tento web a doporučit ho, plánuji vás pravidelně navštěvovat.
pozdravy
Opravdu vám blahopřeji! Přečetl jsem mnoho stránek iptables, ale žádná není tak jednoduše vysvětlena jako ta vaše; vynikající vysvětlení !!
Děkujeme, že jste mi s těmito vysvětleními usnadnili život!
Na chvíli se cítím arabsky xD
Můj učitel to používá k výuce, poděkování a pozdravu. gang