Jeg har altid troet, at sikkerhed aldrig gør ondt, og det er aldrig nok (derfor Elav Han mærker mig som en obsessiv og psykotisk sikkerhedsmaniac ...), så selvom jeg bruger GNU / Linux, forsømmer jeg ikke sikkerheden i mit system, mine adgangskoder (tilfældigt genereret med pwgen), etc..
Desuden, selv når systemer skriver Unix er utvivlsomt meget sikre, anbefales det utvivlsomt at bruge en firewall, konfigurer det korrekt for at være så godt beskyttet som muligt 🙂
Her vil jeg forklare dig uden meget besvær, sammenfiltringer eller komplekse detaljer, hvordan du kender det grundlæggende i iptables.
Men … Hvad i helvede er iptables?
iptables Det er den del af Linux-kernen (et modul), der beskæftiger sig med pakkefiltrering. Dette er sagt på en anden måde, det betyder det iptables Det er den del af kernen, hvis opgave er at vide, hvilken information / data / pakke du vil indtaste din computer, og hvad ikke (og gør flere ting, men lad os fokusere på dette indtil videre hehe).
Jeg vil forklare dette på en anden måde 🙂
Mange på deres distroer bruger firewalls, Firestarter o brandhul, men disse firewalls faktisk 'bagfra' (i baggrunden) brug iptables, så ... hvorfor ikke bruge direkte iptables?
Og det vil jeg kort forklare her 🙂
Indtil videre er der nogen tvivl? 😀
At arbejde med iptables det er nødvendigt at have administrative tilladelser, så her vil jeg bruge sudo (men hvis du går ind som rod, der er ingen grund til).
For at vores computer skal være virkelig sikker, behøver vi kun tillade det, vi ønsker. Se din computer som om det var dit eget hjem, i dit hjem lader du som standard IKKE nogen komme ind, kun bestemte personer, som du har godkendt før, kan komme ind, ikke? Med firewalls sker det det samme, som standard kan ingen komme ind på vores computer, kun dem, der ønsker at komme ind, kan komme ind 🙂
For at opnå dette forklarer jeg, her er trinene:
1. Åbn en terminal, i den skal du sætte følgende og trykke på [Gå ind]:
sudo iptables -P INPUT DROP
Dette vil være nok, så ingen, absolut ingen kan komme ind på din computer ... og denne "ingen" inkluderer jer selv 😀
Forklaring til den forrige linje: Med den indikerer vi til iptables, at standardpolitikken (-P) for alt, der ønsker at komme ind på vores computer (INPUT), er at ignorere den, ignorere den (DROP)Ingen er ret generelle, absolutte, hverken du selv vil være i stand til at surfe på internettet eller noget, det er derfor, vi i den terminal skal sætte følgende og trykke [Gå ind]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... jeg forstår ikke lort, Hvad laver de to underlige linjer nu? ...
Simpelt 🙂
Den første linje, hvad den siger, er, at selve computeren (-jeg ... forresten, lo = localhost) kan gøre hvad det vil. Noget åbenlyst, som måske virker absurd ... men tro mig, det er lige så vigtigt som luft haha.
Den anden linje, jeg vil forklare ved hjælp af eksemplet / sammenligningen / metaforen, som jeg brugte før, mener jeg at sammenligne computeren med huset 🙂 Antag for eksempel, at vi bor med flere mennesker i vores hus (mor, far, brødre, kæreste osv. ). Hvis nogen af disse mennesker forlader huset, er det indlysende / logisk, at vi vil lade dem komme ind, når de vender tilbage, nej?
Det er netop, hvad den anden linje gør. Alle de forbindelser, vi initierer (der kommer fra vores computer), når du gennem den forbindelse vil indtaste nogle data, iptables vil lade disse data komme ind. At sætte endnu et eksempel for at forklare det, hvis vi bruger vores browser, prøver vi at surfe på internettet uden disse 2 regler vil vi ikke være i stand til, ja ja ... browseren opretter forbindelse til internettet, men når den prøver at downloade data ( .html, .gif osv.) til vores computer for at vise os, kan du ikke iptables Det vil nægte indtastning af pakker (data), mens vi med disse regler, når vi starter forbindelsen indefra (fra vores computer), og at den samme forbindelse er den, der forsøger at indtaste data, giver den adgang.
Med dette klar har vi allerede erklæret, at ingen kan få adgang til nogen service på vores computer, ingen undtagen selve computeren (127.0.0.1) og også undtagen forbindelser, der startes på selve computeren.
Nu vil jeg forklare en mere detalje hurtigt, fordi 2. del af denne tutorial forklarer og dækker mere om dette hehe, jeg vil ikke gå videre for meget 😀
Det sker, at de for eksempel har et websted, der er offentliggjort på deres computer, og de vil have, at dette websted skal ses af alle, som før vi erklærede, at alt som standard IKKE er tilladt, medmindre andet er angivet, vil ingen kunne se vores internet side. Nu får vi alle til at se det websted eller de websteder, vi har på vores computer, for dette lægger vi:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dette er meget simpelt at forklare 😀
Med den linje erklærer vi, at du accepterer eller tillader (-j ACCEPTERER) al trafik til havn 80 (–Deport 80) gør det til TCP (-p tcp), og at det også er indgående trafik (-EN INDGANG). Jeg sætter port 80, fordi det er porten til webhost, det vil sige ... når en browser forsøger at åbne et sted på X-computer, ser det altid som standard på den port.
Nu ... hvad skal jeg gøre, når du ved, hvilke regler der skal indstilles, men når vi genstarter computeren, ser vi, at ændringerne ikke blev gemt? ... godt, for det gjorde jeg allerede en anden tutorial i dag:
Sådan starter du iptables-regler automatisk
Der forklarer jeg det detaljeret 😀
Og her slutter 1. vejledning om iptables til nybegyndere, nysgerrige og interesserede … Rolig, det vil ikke være den sidste hehe, den næste vil beskæftige sig med det samme, men mere specifikke regler, der detaljerer alt lidt mere og øger sikkerheden. Jeg ønsker ikke at udvide dette meget mere, for i virkeligheden er det nødvendigt, at baserne (hvad du læser her i starten) forstår det perfekt 🙂
Hilsner og ... kom nu, jeg afklarer tvivlen, så længe du kender svaret LOL !! (Jeg er langtfra ekspert på dette hahaha)
Meget godt! Bare et spørgsmål? Har du nogen idé om, hvad standardindstillingerne er? Spørgsmålet er af paranoid, at jeg er retfærdig: D.
Mange tak.
Som standard accepterer det som standard alt. Med andre ord, service, som du lægger på din computer ... tjeneste, der vil være offentlig for resten 😀
Du forstår?
Så ... når du ikke ønsker, at X-webstedet skal se det OG din ven eller en bestemt IP, kommer der firewall, htaccess eller en eller anden metode til at nægte adgang.
Regards,
Broder, fremragende !!!! Nu skal jeg læse den første ...
Tak for din hjælp…
disla
Tak for vejledningen, det kommer godt med.
Det eneste, jeg vil vide eller sørge for, er, hvis jeg med disse instruktioner ikke har problemer med at foretage p2p-overførsler, downloade filer eller foretage videoopkald, for eksempel. Fra det jeg læser nej, skal der ikke være nogen problemer, men jeg foretrækker at sikre mig, inden jeg går ind på linjerne.
Tak siden nu.
Greetings.
Du skal ikke have problemer, men dette er en ret grundlæggende konfiguration, i den næste vejledning forklarer jeg mere detaljeret, hvordan du tilføjer dine egne regler, afhængigt af behovet for hver enkelt osv.
Men jeg gentager, du skal ikke have problemer, hvis du har dem, skal du bare genstarte computeren og voila, som om du aldrig havde konfigureret iptables 😀
Genstart ? Det lyder meget windowsero. I værste fald skal du bare skylle iptables-reglerne og indstille standardpolitikkerne til ACCEPT, og sagen er løst, så rockandroleo, du har ikke problemer.
Saludos!
Og ked af at fremsætte en anden anmodning, men da vi er om emnet firewall, er det muligt, at du forklarer, hvordan du anvender de samme kommandoer i grafiske grænseflader til firewalls som gufw eller firestarter.
Først og fremmest tak.
Greetings.
Jeg vil forklare Firestarter, gufw Jeg har kun set det og ikke brugt det som sådan, måske vil jeg forklare det kort eller måske Elav gør det selv 🙂
Så når jeg vil føle mig som en hacker, læser jeg den, og jeg har altid ønsket at lære om sikkerhed
Fremragende tutorial, det synes mig godt forklaret, og selvom det er trin for trin, jo bedre, som de ville sige, for dummies.
Greetings.
hahahaha tak 😀
Store.
Klart forklaret.
Det vil være nødvendigt at læse den og læse den igen, indtil viden er afgjort, og fortsæt derefter med følgende tutorials.
Tak for artiklen.
Tak 😀
Jeg har forsøgt at forklare det, som jeg ønsker det var blevet forklaret for første gang, LOL !!
Hilsen 🙂
Meget godt, jeg tester, og det fungerer korrekt, hvilket svarer til at starte reglerne automatisk i starten, jeg vil lade det være, når du udgiver den anden del, indtil da vil jeg have lidt mere arbejde med at skrive kommandoerne, hver gang jeg genstarter PC, tak ven for tuto og for hvor hurtigt du offentliggjorde den.
tak for henstillingen og forklaringerne.
Du kan se, hvad der gælder for iptables med:
sudo iptables -L
Præcis 😉
Jeg tilføjer n rent faktisk:
iptables -nLTak for vejledningen, jeg ser frem til anden del, hilsner.
hvornår kommer den anden del ud
Jeg har en proxy med blæksprutte på Machine1, det giver internet-browsing til andre maskiner på den pågældende lan 192.168.137.0/24, og den lytter på 192.168.137.22:3128 (jeg åbner port 3128 for alle med firestarter), fra Machine1 hvis Jeg satte Firefox til at bruge proxy 192.168.137.22:3128 det virker. Hvis jeg for eksempel fra en anden pc med ip 192.168.137.10, Machine2, indstiller den til at bruge proxyen 192.168.137.22:3128, den virker ikke, undtagen hvis jeg på Machine1 satte firestarter for at dele internet med lan, der hvis proxyen fungerer, strømningsdataene er gennem proxyen, men hvis de på Machine2 fjerner brugen af proxy og peger gatewayen korrekt, vil de være i stand til at navigere frit.
Hvad drejer det sig om?
Hvad ville reglerne være med iptables?
"Jeg prøver at forblive på den mørke side af styrken, for det er her det sjove i livet er." og med delirium af jedi hahahahaha
Meget godt! Jeg er lidt for sent, ikke? haha posten er cirka 2 år gammel, men jeg var mere end nyttig .. Jeg takker dig for at forklare det så simpelt at jeg kunne forstå det haha jeg fortsætter med de andre dele ..
Tak for læsningen 🙂
Ja, indlægget er ikke helt nyt, men det er stadig meget nyttigt, det har ikke ændret næsten noget ved driften af firewalls i det sidste årti, tror jeg 😀
Hilsner og tak til dig for at kommentere
Hvilken forklaring med blomster og alt. Jeg er en "nybegynder" -bruger, men med et stort ønske om at lære Linux, for nylig læste jeg et indlæg om et nmap-script for at se, hvem der oprettede forbindelse til mit netværk og ikke for at gøre dig lang, i en kommentar til dette indlæg sagde en bruger at vi vil anvende den berømte første linje, som du satte fra iptables, og det var nok, og da jeg er en enorm noobster, anvendte jeg den, men som du har skrevet her, kom den ikke ind på Internettet 🙁
Tak for dette indlæg, der forklarer brugen af iptables, forhåbentlig vil du udvide det og fuldt ud forklare dets fulde funktion for mig. Skål!
Tak til dig for at have læst og kommenteret 🙂
iptables er fænomenalt, det gør sit job med at lukke det så godt, at ... vi ikke engang kan komme ud selv, det er helt sikkert, medmindre vi ved, hvordan vi konfigurerer det. Derfor har jeg forsøgt at forklare iptables så enkelt som muligt, for nogle gange er ikke alle i stand til at forstå noget første gang.
Tak for kommentaren, hilsen ^ _ ^
PS: Om udvidelse af indlægget, her er 2. del: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Tak, meget tak, hvis jeg læste anden del og begyndte at spille med det samme på konsollen med din enorme guide. Mange tak, hej forresten, jeg håber, du kan hjælpe mig, da jeg er lidt i tvivl, og som du godt ved, er jeg en nybegynder, der prøver at lære om denne vidunderlige gratis software, til det punkt havde jeg for nylig en anden distro installeret som jeg ændrede filen dhcp.config til en linje og efterlod den sådan:
#send værtsnavn ""; Nå, det fungerede for mig i den distro, og alt var i orden, mit pc-navn vises ikke på dhcp-serveren på min router, kun ikonet på pc'en, men i denne nye distro ændrede jeg den samme linje og efterlod det samme, men det virkede ikke. Kan du guide mig lidt? Venligst ...
Da dette kan være noget mere komplekst eller omfattende, skal du oprette et emne i vores forum (forum.desdelinux.net), og der sammen hjælper vi dig 🙂
Tak for læsning og kommentar
Klar, tak for svaret. I morgen formiddag skal jeg gøre emnet, og jeg håber, du kan hjælpe mig, hilsner og selvfølgelig et kram.
Fremragende artikel.
Tror du, at jeg med dette kan implementere en firewall ved hjælp af iptables i mit hus, eller har jeg brug for at vide noget andet? Har du nogen konfigurationsvejledning, eller med disse artikler forbliver den?
hensyn
Faktisk har dette været det grundlæggende og betyder, at hvis du vil have noget mere avanceret (som forbindelsesgrænse osv.), Kan du kontrollere alle de indlæg, der taler om iptables her - » https://blog.desdelinux.net/tag/iptables
Men med dette har jeg næsten al min lokale firewall 🙂
De virker slet ikke dårlige til at begynde med.
Men det ville ændre noget.
Jeg ville slippe et input og videresende og acceptere et output
-P INPUT -m tilstand –stat ESTABLERET, RELATERET -j ACCEPT
Det ville være nok for en newbi i iptables at være "temmelig sikker"
Åbn derefter de porte, vi har brug for.
Jeg kan virkelig godt lide siden, de har meget gode ting. Tak fordi du delte!
Greetings!
God aften til alle dem, der har kommenteret, men lad os se, om du kan afklare, hvorfor jeg er mere tabt end en ulv i kloakken, jeg er cubansk, og jeg tror, at vi altid går videre på alle mulige emner og godt: Undskyld mig på forhånd, hvis det har intet at gøre med emnet !!!
Jeg har en UBUNTU Server 15-server, og det viser sig, at jeg har en tjeneste, der er hostet indeni, der leveres af et andet program, der er stream-tv, men jeg prøver at kontrollere det via MAC-adresse, så kontrol af porten for eksempel 6500, der vælger den tilfældigt Ingen kan komme ind gennem den port, medmindre den er med MAC-adressen angivet i iptables. Jeg gjorde konfigurationerne af denne artikel nummer et, og det fungerer megetyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy, bedre end jeg ønskede, men jeg har ledt efter info i todooooooooooooo, og jeg fandt ikke den glade konfiguration, der tillod en mac-adresse at bruge en bestemt port kun og intet andet.
Tak på forhånd!
Hej, hvordan har du det, jeg læste artiklen iptables for nybegyndere, den er meget god, jeg lykønsker dig, jeg ved ikke meget om linux, derfor vil jeg stille dig et spørgsmål, jeg har et problem, hvis du kan hjælp mig tak, jeg har en server med flere IP'er og hvert par dage, når serveren sender e-mails via de IP'er, der er på serveren, stopper den med at sende e-mails, så for at den skal sende e-mails igen, skal jeg sætte:
/etc/init.d/iptables stopper
Når jeg sætter det, begynder det at sende e-mails igen, men efter et par dage blokerer det igen. Kan du fortælle mig, hvilke kommandoer jeg skal sætte, så serveren ikke blokerer ip? Jeg læste og fra hvad du siger om siden, med Disse 2 linjer skulle løses:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
Men da jeg ikke ved, om det er hvad det er, før jeg placerer disse kommandoer, ville jeg kontrollere, om serverens IP'er ikke længere vil blive blokeret, med det, afventer jeg dit hurtige svar. Hilsen. Nicholas.
Hej god morgen, jeg læste din lille vejledning, og det syntes meget godt, og af denne grund vil jeg gerne stille dig et spørgsmål:
Hvordan kan jeg omdirigere de anmodninger, der kommer ind gennem lo-grænsefladen (localhost) til en anden computer (en anden IP) med samme port, jeg bruger noget som dette
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –til 148.204.38.105:3306
men det omdirigerer mig ikke, jeg overvåger port 3306 med tcpdump, og hvis den modtager pakker, men ikke sender dem til den nye IP, men hvis jeg fremsætter anmodninger fra en anden computer, omdirigerer den dem. Kort sagt omdirigerer det mig, hvad der kommer ind gennem -i eth0, men ikke hvad der kommer ind gennem -i lo.
På forhånd sætter jeg pris på den meget eller lidt hjælp, som du kan give mig. salu2.
Hej, hvordan har du det, siden er meget god, den har en masse information.
Jeg har et problem, og jeg ville se, om du kan hjælpe mig, jeg har PowerMta installeret i Centos 6 med Cpanel, problemet er, at PowerMta efter et par dage holder op med at sende e-mails udad, det er som om, at IP'erne er blokeret, og hver eneste dag skal jeg placere kommandoen /etc/init.d/iptables stop, med at PowerMta begynder at sende e-mails igen i udlandet, med det løses problemet i et par dage, men så sker det igen.
Ved du, hvordan jeg kan gøre for at løse problemet? Er der noget, jeg kan konfigurere på serveren eller i firewallen, så det ikke sker igen? Da jeg ikke ved, hvorfor det sker, hvis du kan hjælpe mig med jeg tak, jeg håber dit snart svar.
Greetings.
Nicolas.
Fremragende og meget klar forklaring, jeg har ledt efter bøger, men de er meget omfattende, og min engelsk er ikke særlig god.
Kender du nogen bøger, som du anbefaler på spansk?
Hvad med god morgen, meget godt forklaret, men jeg har stadig ikke en indgang fra internettet, jeg forklarer, jeg har en server med Ubuntu, som har to netværkskort, den ene med denne konfiguration Link indkapsling: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maske: 255.255.255.0 og det andet med dette andet Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maske: 255.255.255.0, hvor den anden er den, min gateway har, hvilket er 192.168.1.64, men det første kort er det, der styrer mine kameraer, og jeg vil se dem fra Internettet fra min faste ip ,,, jeg kan se dem fra LAN, men ikke fra internettet, kan du hjælpe mig med det? , eller hvis min router er den, der er forkert konfigureret, er det en tp-link bueskytter c2 ,,, tak
Hej, jeg har lige gjort det på min server, og du ved, hvordan kan jeg gendanne det?
iptables -P INPUT DROP
Jeg giver dig min e-mail ing.lcr.21@gmail.com
Jeg har ledt lidt efter indlæg af høj kvalitet eller blogindlæg på dette indhold. Googling Jeg fandt endelig dette websted. Ved at læse denne artikel er jeg overbevist om, at jeg har fundet det, jeg ledte efter, eller i det mindste har jeg den mærkelige følelse, jeg har opdaget præcis, hvad jeg havde brug for. Selvfølgelig vil jeg få dig til ikke at glemme dette websted og anbefale det, jeg planlægger at besøge dig regelmæssigt.
hilsen
Jeg lykønsker dig virkelig! Jeg har læst mange sider med iptables, men ingen er så enkelt forklaret som din; fremragende forklaring !!
Tak for at gøre mit liv lettere med disse forklaringer!
Et øjeblik føler jeg mig arabisk xD
Min lærer bruger dette til at undervise, tak og hilsner. bande