wenn DesdeLinux Ich war erst ein paar Monate alt und habe ein äußerst einfach zu verstehendes Tutorial über iptables geschrieben: iptables für Neulinge, Neugierige, Interessierte (1. Teil) . Anhand von Metaphern wie dem Vergleich unseres Computers mit unserem Haus, unserer Firewall mit der Haustür sowie anderen Beispielen erklärte ich auf angenehme Weise, ohne so viele technische Details oder komplizierte Konzepte, was eine Firewall ist iptables und wie man es verwendet und konfiguriert. Dies ist die Fortsetzung, der 2. Teil des vorherigen iptables-Tutorials 🙂
Es kommt vor, dass ich vor ein paar Tagen mit einem Linksys AP (Access Point) WLAN im Haus meiner Freundin eingerichtet habe, obwohl die Stadt technisch nicht zu den sachkundigsten gehört, das heißt, es gibt nicht viele Gefahren Es ist immer eine gute Idee, sowohl im WLAN als auch auf den Computern über eine hervorragende Sicherheit zu verfügen.
Ich werde mich hier nicht zur WLAN-Sicherheit äußern, da dies nicht der Zweck des Beitrags ist. Ich werde mich auf die iptables-Konfiguration konzentrieren, die ich derzeit auf meinem Laptop verwende.
Im vorherigen Beitrag hatte ich erklärt, dass es in einer Firewall notwendig ist, zunächst den gesamten eingehenden Verkehr abzulehnen, und zwar dafür:
sudo iptables -P INPUT DROP
Dann müssen wir unserem eigenen Computer die Erlaubnis geben, Daten einzugeben:
sudo iptables -A INPUT -i lo -j ACCEPT
Sowie die Annahme von Anforderungspaketen, die von unserem Computer stammen:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Bisher kann unser Computer problemlos im Internet navigieren, aber niemand aus einer anderen Umgebung (LAN, Internet, WLAN usw.) wird in irgendeiner Weise auf unseren Computer zugreifen können. Wir werden damit beginnen, iptables entsprechend unseren Anforderungen zu konfigurieren.
Verwenden von ulogd zum Ausgeben der iptables-Protokolle in eine andere Datei:
Standardmäßig werden iptables-Protokolle im Kernel-Protokoll, im Systemprotokoll oder in etwas Ähnlichem abgelegt ... in Arch standardmäßig weiß ich im Moment nicht einmal, wo sie gespeichert sind, deshalb verwende ich ulogd sodass sich die iptables-Protokolle in einer anderen Datei befinden.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Zugriff auf meinen privaten Server gewähren:
Ich verwende VirtualBox oder ähnliches nicht zum Virtualisieren, sondern habe meinen privaten Server damit virtualisiert Qemu+KVM der in der Lage sein sollte, eine Verbindung zu meinem Laptop als solchen herzustellen, mit den iptables-Regeln, die ich gerade oben angegeben habe, ist dies nicht möglich. Deshalb muss ich der IP meines virtuellen Servers die Erlaubnis erteilen, damit er auf meinen Laptop zugreifen kann :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
Wir werden diese Zeile näher erläutern. Es ist wichtig, dass Sie verstehen, was die einzelnen Parameter bedeuten, da sie von nun an häufig wiederholt werden:
-EIN EINGANG : Ich sage, dass ich eine Regel für den eingehenden Verkehr festlegen werde
-i virbr0 : Ich erkläre, dass die Schnittstelle, über die ich den Datenverkehr akzeptiere, weder etho (LAN) noch wlan0 (Wifi) ist. Ich sage ausdrücklich, dass es meine virbr0-Schnittstelle ist, also die (interne) virtuelle Netzwerkschnittstelle, über die mein Laptop kommuniziert mit meinem virtuellen Server (und umgekehrt)
-p TCP : Ich gebe das Protokoll an, die am häufigsten verwendeten sind UDP und TCP, hier reicht es eigentlich aus, dies nicht anzugeben, aber ... es ist üblich, den Typ des zu akzeptierenden Protokolls anzugeben
-s 192.168.122.88 : Die Quelle, Quelle der Pakete. Das heißt, die Regel bezieht sich auf Pakete, die speziell von der IP 192.168.122.88 stammen
-j AKZEPTIEREN : Hier sage ich nun, was ich mit den Paketen machen möchte, die den oben genannten entsprechen, in diesem Fall akzeptieren.
Mit anderen Worten: Im Zusammenfassungsmodus akzeptiere ich Pakete, die von der IP 192.168.122.88 kommen, aber falls Sie Pakete eingeben möchten, die von dieser IP kommen, ABER! Sie kommen von einer Schnittstelle, die nicht virbr0 ist, das heißt, sagen wir, sie versuchen, Pakete von der IP 192.168.122.88 einzugeben, aber sie kommen von einem Computer in unserem Wi-Fi-Netzwerk. Wenn das der Fall ist, werden die Pakete abgelehnt . Weil? Denn wir legen klar fest, dass ja, wir akzeptieren Pakete von 192.168.122.88 ja, aber und nur aber, sie müssen auch von der virbr0-Schnittstelle (interne, virtuelle Netzwerkschnittstelle) eintreten, wenn die Pakete von einer anderen Schnittstelle (LAN, RAS, WLAN usw.), dann werden sie nicht akzeptiert. Durch die Angabe der Schnittstelle können wir, wie Sie sehen, eine weitere Einschränkung vornehmen und eine bessere Kontrolle darüber haben, was in unseren Computer gelangt (oder nicht eintritt).
Akzeptieren von Ping von jeder IP des Heim-WLANs:
Wenn ein anderer Computer, der eine Verbindung zum WLAN herstellt, versucht, meinen Laptop anzupingen, möchte ich dies zulassen. Grund? Die Idee besteht auch darin, in den nächsten Wochen den PC des Nachbarhauses mit dem Netzwerk zu verbinden, damit der Informationsaustausch weniger komplex und flüssiger wird. Wenn ich anfange, Tests zur Verbindung des Desktops mit dem WLAN durchzuführen, werde ich das tun Ich muss meinen Laptop anpingen, um die Konnektivität zu überprüfen. Wenn mein Laptop den Ping nicht zurückgibt, kann ich davon ausgehen, dass der AP ausfällt oder dass beim Zugriff auf das WLAN ein Fehler aufgetreten ist. Deshalb möchte ich den Ping zulassen.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-EIN EINGANG : Wie zuvor, ich beziehe mich auf eingehenden Verkehr
-ich wlo1 : Ähnlich wie zuvor. Im vorherigen Fall habe ich die virtuelle Schnittstelle angegeben, in diesem Fall gebe ich eine andere Schnittstelle an, die meines WLANs: wlo1
-p icmp : ICMP-Protokoll, ICMP = Ping. Das heißt, ich erlaube kein SSH oder ähnliches, ich erlaube nur Ping (icmp)
-s 192.168.1.0/24 : Die Quelle der Pakete, d. h. wann immer die Pakete von einer IP 192.168.1 kommen? wird akzeptiert
-d 192.168.1.51 : Ziel-IP, also meine IP.
-j AKZEPTIEREN : Ich gebe an, was mit den Paketen geschehen soll, die den oben genannten entsprechen, akzeptiere.
Mit anderen Worten, und um dies fortlaufend zu erklären, akzeptiere ich, dass sie mich anpingen (ICMP-Protokoll), dessen Ziel speziell meine IP ist, solange sie von einer IP wie 192.168.1.__ stammen, aber das können sie auch nicht Wenn sie von einer beliebigen Netzwerkschnittstelle stammen, müssen sie speziell über meine WLAN-Netzwerkschnittstelle (wlo1) eingegeben werden.
Akzeptieren Sie SSH nur für eine IP:
Manchmal muss ich vorbeikommen SSH von meinem Smartphone aus, um den Laptop zu steuern, deshalb muss ich den SSH-Zugriff auf meinen Laptop von meinen WLAN-IPs aus zulassen, und zwar aus diesem Grund:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
Das Einzige, was sich von dieser Zeile unterscheidet oder hervorgehoben werden sollte, ist: –Dport 22 (SSH-Port, den ich verwende)
Mit anderen Worten, ich akzeptiere Verbindungsversuche zu meinem Laptop über Port 22, solange sie von einer IP meines WLANs kommen, sie müssen auch meine IP als bestimmtes Ziel haben und auch über die wlo1-Schnittstelle kommen, also , meine Wi-Fi-Schnittstelle. (nicht die im LAN usw.)
Erlauben Sie ihnen, eine Ihrer Websites anzuzeigen:
Das ist nicht mein Fall, aber wenn einer von Ihnen eine gehostete Website hat und Sie niemandem den Zugriff verweigern möchten, das heißt, dass jeder von überall auf diese Website zugreifen kann, ist das viel einfacher, als Sie vielleicht denken:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Das heißt, hier wird der gesamte eingehende Datenverkehr (TCP) über Port 80 zugelassen. Wie Sie sehen, gebe ich nicht an, von welchen IPs oder Netzwerken ich den Zugriff erlaube. Indem ich keinen zuzulassenden IP-Bereich spezifiziere, geht iptables davon aus, dass ich dies möchte um den Zugriff auf alle vorhandenen IP-Bereiche, also auf die ganze Welt, zu ermöglichen 🙂
Andere Kombinationen:
Ich habe viele andere Regeln, wie zum Beispiel das Akzeptieren von Pings für IPs aus meinem Heim-LAN (hierfür ist es im Grunde die gleiche Zeile wie zuvor, Änderung der IP-Bereiche), was eher dem entspricht, was ich oben gerade erklärt habe. . in meinem Daher verwende ich keine wirklich komplexen Dinge auf meinem Laptop, beschränke Verbindungen, Anti-DDoS, das überlasse ich den Servern, ich brauche es nicht auf meinem Laptop 🙂
Wie auch immer, hier ist der Artikel.
Wie Sie sehen, ist die Arbeit mit iptables keineswegs so komplex. Sobald Sie ein Skript erstellt haben, in dem Sie Ihre Regeln schreiben, ist es sehr einfach, es dann zu ändern, Regeln zu Ihrer Firewall hinzuzufügen oder daraus zu entfernen.
Ich halte mich nicht für einen Experten auf diesem Gebiet, ganz im Gegenteil. Wenn Sie jedoch Fragen haben, werde ich versuchen, Ihnen so gut wie möglich zu helfen.
Grüße
Sehr gut, sehr gut erklärt, großartig.
Ich liebe diese Art von Beiträgen.
Vielen Dank für deinen Kommentar 🙂
Dieser Beitrag war eine Schuld, die ich schon lange hatte, es ist angenehm und schön, sie endlich begleichen zu können ^_^
Grüße
Eine Frage: Sind Sie in Kuba?
... es kommt vor, dass ich vor ein paar Tagen mit einem Linksys AP (Access Point) ein WLAN im Haus meiner Freundin eingerichtet habe
Ja natürlich, ich bin in Kuba geboren und lebe dort. warum die Frage?
@FIXOCONN: Hallo Freund und entschuldigen Sie, dass die Frage nicht zum Thema gehört, aber wie definieren Sie, dass Cinnamon als Desktop-Umgebung im Benutzeragenten angezeigt wird? Ich verwende Mint 13 mit Cinnamon, aber ich kann das Cinnamon-Logo nicht jedes Mal in meinem Benutzeragenten anzeigen, wenn ich auf dieser Website einen Kommentar abschließe.
Wären Sie so freundlich, mir Ihre User-Agent-Daten weiterzuleiten, wenn es nicht zu viel Aufwand macht? Ich würde diese Informationen gerne wissen, um sie selbst zu platzieren =)
Ich hinterlasse Ihnen eine Seite, damit Sie sie überprüfen und mir die Informationen geben können. Danke und Admins, sorry für das „Trollen“ (wenn man es so nennen kann) meinerseits mit diesen Informationen -> http://user-agent-string.info/
Fügen Sie „Cinnamon“ (ohne Anführungszeichen) zu einem beliebigen Teil des UserAgent hinzu, Sie sollten dann das Logo in den nächsten Kommentaren erhalten 🙂
Sehr gut der Beitrag! sehr klar 😀
Danke fürs Lesen und danke für deinen Kommentar 🙂
Vielen Dank! Es hilft mir wirklich sehr!
Hallo, zunächst einmal herzlichen Glückwunsch zum Blog, ich finde ihn großartig.
Erwähnenswert ist möglicherweise, dass die Protokollierungsoption mit ULOG auf Betriebssystemen mit ulogd2 nicht funktioniert. In diesem Fall sollte die Regel lauten:
sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -j NFLLOG
Zunächst einmal vielen Dank für das, was Sie über den Blog sagen 🙂
In Arch habe ich ulogd v2.0.2-2 installiert und die von mir eingegebene Zeile funktioniert ohne Probleme (ich musste loglevel=1 in /etc/ulogd.conf einfügen, aber die Protokolle werden ohne Probleme in eine andere Datei übertragen.
Verwenden Sie ulogd v2 oder höher, die Zeile, die ich hinterlassen habe, funktioniert bei Ihnen nicht?
Grüße und danke für den Kommentar.
Ich habe immer auf den zweiten Teil gewartet, ich erinnere mich, als ich den ersten gelesen habe (es war meine Einführung in Firewalls). Danke @KZKG^Gaara, Grüße 🙂
Danke, dass du mich gelesen hast 😀
Und hehe ja, was ich gesagt habe... dieser Beitrag war eine Schuld, die ich schon lange hatte ^_^
Grüße. Sehr gut der Beitrag. Ich versuche, die iptables-Regeln so zu konfigurieren, dass der Datenverkehr von Squid zu Dansguardian umgeleitet wird, aber ich habe das Ziel immer noch nicht erreicht. Ich würde mich über etwas Hilfe hierzu freuen.
iptables dafür? Geht das nicht direkt mit ACLs in Squid?
„Ich habe viele andere Regeln wie…“
Das nenne ich Paranoia, Junge
Noch ein bisschen und Sie stecken eine Packung Rotwailer auf jeden offenen Port Ihres Modems/Routers 🙂
HAHAHAHAHAHAHAHAHA Ich sterbe vor Lachen bei den Rottwailers, hahahaha
Grüße Freund, es kommt vor, dass ich Hilfe benötige, um IPTables so zu konfigurieren, dass der Zugriff nur für Port 80 verweigert wird, wenn ich die Adresse in den Browser meiner benutzerdefinierten Nameserver eingebe, d. h. wenn ich beispielsweise ns1.mydomain.com und ns2 schreibe. mydomain.com (das sind meine Nameserver) IPtables verweigert den Zugriff auf Port 80, sodass der Browser versucht, die Seite zu laden, aber nach einer Weile kommt es zu einer Zeitüberschreitung und es wird nie geladen. Zufälligerweise habe ich bereits Befehle wie diesen ausprobiert:
iptables -A INPUT -d ns1.midomini.com -p tcp –dport 80 -j DROP
iptables -A INPUT -d ns2.midomini.com -p tcp –dport 80 -j DROP
Aber das Einzige, was es tut, ist, den Zugang zu Port 80 in allen meinen Domänen zu verweigern (da sie dieselbe IP verwenden, wie sie virtuelle Hosts sind). Ich möchte, dass es nur in der URL meiner Nameserver und der IP, zu der meine Nameserver gehören, enthalten ist Punkt, das heißt, IP-Tabellen verweigern den Zugriff auf Port 80 in:
ns1.midomini.com (Zeigt auf) —> 102.887.23.33
ns2.midomini.com (Zeigt auf) —> 102.887.23.34
und die IPs, auf die die Nameserver verweisen
102.887.23.33
102.887.23.34
Ein Beispiel für ein Unternehmen, das über dieses System verfügt, ist: Dreamhost
Ihre Nameserver: ns1.dreamhost.com und ns2.dreamhost.com und die IPs, auf die sie verweisen, reagieren nicht auf die Eingabe in die Adressleiste des Browsers
Vielen Dank im Voraus für die Aufmerksamkeit, ich würde mich wirklich freuen, wenn Sie mir dabei helfen, ich brauche es wirklich und zwar dringend!!
Guten Tag !!
Hallo Ivan,
Kontaktieren Sie mich per E-Mail (kzkggaara[at]desdelinux[dot]net) um ruhiger darüber zu reden und es besser zu erklären, morgen werde ich dir auf jeden Fall antworten (heute komme ich vorbei)
Was Sie tun möchten, ist einfach. Ich weiß nicht, warum die Zeilen, die Sie mir sagen, bei Ihnen nicht funktionieren. Sie sollten es tun, aber Sie müssen Protokolle und andere Dinge überprüfen, die hier zu umfangreich wären.
Grüße und ich warte auf deine E-Mail
Theoretisch könnte ich mit iptables verhindern, dass Verbindungsanfragen von Programmen wie Aircrack an mich gesendet werden. Ich habe recht??? Na ja, ich werde ein paar Tests machen, aber wenn du mir sagst, dass es mich sehr glücklich machen würde XDDD
Theoretisch scheint es mir so zu sein, ich weiß nicht, wie es gemacht werden könnte, ich habe es nie getan ... aber ich wiederhole, theoretisch denke ich, dass es möglich wäre.
Nach der Anwendung der iptables-Regeln ist es für mich unmöglich, auf freigegebene Windows-Ordner im lokalen Netzwerk zuzugreifen. Welche Regel sollte ich anwenden, um das Problem zu beheben?
Danke.
Welche iptables-Regeln haben Sie angewendet?
Dies ist der 2. Teil von „iptables für Neulinge“, haben Sie den ersten gelesen? Ich frage hier, ob Sie die Regeln aus dem vorherigen Beitrag angewendet haben
Ja, ich habe beide Teile gelesen. Für das Skript habe ich mich auf einen anderen Beitrag gestützt, den Sie über das Starten von Regeln mit systemd gepostet haben.
#! / Bin / bash
#—UTF8—
# iptables-Binärdatei
iptables="/usr/bin/iptables"
rauswerfen ""
## Tabellen löschen ##
$iptables -F
$iptables -X
$iptables -Z
#echo » – Fertig FLUS zu iptables» && echo»»
## Protokolle mit ULOGD einrichten ##
$iptables -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
## Standard-DROP-Richtlinie definieren ##
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
#echo » – Definierte Standard-DROP-Richtlinie» && echo»»
## Alle auf localhost zulassen ##
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
#echo » – Alles für localhost zulassen» && echo»»
## Pakete von Verbindungen zulassen, die ich initiiere ##
$iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
#echo » – Pakete von von mir initiierten Verbindungen zulassen» && echo»»
rauswerfen " ##############################"
echo » ## IPTABLES KONFIGURIERT OK! ##»
rauswerfen " ##############################"
Ich habe im Internet gelesen, dass man für Samba folgende Regeln im Skript haben sollte:
$iptables -A INPUT -p tcp –dport 139 -j ACCEPT
$iptables -A INPUT -p tcp –dport 445 -j ACCEPT
$iptables -A INPUT -p udp –sport 137 -j AKZEPTIEREN
$iptables -A INPUT -p udp –dport 137 -j ACCEPT
$iptables -A INPUT -p udp –dport 138 -j ACCEPT
Allerdings kann ich nicht einmal mit ihnen Windows-Arbeitsgruppen sehen. :S
Problem gelöst. Ändern Sie die Arbeitsgruppen- und Host-Zulassungsparameter in der Samba-Konfigurationsdatei.
Ausgezeichneter Artikel, einfach großartig!!!!
Ich habe es gerade gelesen und mir gefällt sowohl die Art und Weise, wie Sie es erklären, als auch die wirklich nützliche Verwendung von iptables. Ich würde wirklich gerne tiefer lernen, wie man es verwendet.
Grüße und ausgezeichneter Artikel, ich hoffe, Sie veröffentlichen mehr über Iptables! ^^
Verehrte Gäste;
Ich habe einen Proxy mit iptables und eines meiner Netzwerke kann nicht pingen http://www.google.cl Aus diesem Grund habe ich die Ports blockiert und versuche tausend Möglichkeiten, die Ports zu öffnen, aber nichts passiert. Wenn ich nicht pingen kann, kann ich keine Verbindung zu Outlook herstellen
Herzlichen Glückwunsch zum Beitrag! Sehr gut. Aber ich habe Zweifel. Manchmal kann sich die IP-Adresse, die Ihnen im Netzwerk zugewiesen ist, ändern (wenn es stimmt, dass wir unserer MAC-Adresse eine IP zuweisen könnten), aber gibt es mit Iptables eine Möglichkeit, den Zugriff auf unseren Server über SSH per MAC-Adresse zu ermöglichen?
Ich hoffe ich habe mich gut erklärt.
Ein Gruß und vielen Dank!
Hallo, Sie wissen, dass ich einen Linux-Server konfiguriert hatte und nachdem ich diese Befehle eingegeben hatte, blockierte mich alles und ich verlor den Zugriff. Ich konnte fast alles wiederherstellen, aber mir fehlen zwei Dinge. * Ich kann nicht mehr über einen Webbrowser über den C-Namen „Server“ zugreifen, wenn über IP, 2, und andererseits sehe ich die freigegebenen Ressourcen im Windows-Explorer nicht im Netzwerk, bevor ich \\server und eingebe Ich habe alle freigegebenen Ressourcen gesehen. Ich hoffe, Sie können mir helfen. Ich weiß, es ist albern, aber ich kann es nicht lösen, danke
Ich zitiere wörtlich:
'
ICMP-Protokoll, ICMP = Ping. Das heißt, ich erlaube kein SSH oder ähnliches, ich erlaube nur Ping (icmp)
'
ICMP und PING sind nicht dasselbe. Ping ist Teil des ICMP-Protokolls, aber nicht alles. Das ICMP-Protokoll (Internet Control Message Protocol) hat viele weitere Einsatzmöglichkeiten, von denen einige gewisse Gefahren mit sich bringen. Und Sie akzeptieren den gesamten ICMP-Verkehr. Sie müssten sich nur auf Ping beschränken.
Saludos!
Ich muss eine Übung machen, aber ich verstehe nicht viel von iptables. Könnten Sie mir bitte helfen?
Danke!!!!!!!