Ich habe immer gedacht, dass Sicherheit niemals weh tut und niemals genug ist (deshalb lebhaft Er bezeichnet mich als obsessiven und psychotischen Sicherheitswahnsinnigen ...), also vernachlässige ich auch bei Verwendung von GNU / Linux nicht die Sicherheit meines Systems, meine Passwörter (zufällig generiert mit pwgen), usw..
Darüber hinaus auch bei Systemtyp Unix sind zweifellos sehr sicher, es wird ohne Zweifel empfohlen, zu verwenden Firewall, konfigurieren Sie es richtig, um so gut wie möglich geschützt zu sein 🙂
Hier erkläre ich Ihnen ohne großen Aufwand, Verwicklungen oder komplexe Details, wie Sie die Grundlagen von kennen iptables.
Aber … Was zum Teufel ist iptables?
iptables Es ist der Teil des Linux-Kernels (ein Modul), der sich mit der Paketfilterung befasst. Dies sagte auf andere Weise, es bedeutet das iptables ist der Teil des Kernels, dessen Aufgabe es ist, zu wissen, welche Informationen / Daten / Pakete Sie in Ihren Computer eingeben möchten und welche nicht (und macht mehr Sachen, aber konzentrieren wir uns jetzt darauf, hehe).
Ich werde das anders erklären 🙂
Viele in ihren Distributionen verwenden Firewalls. Feuerteufel o Feuerhol, aber diese Firewalls tatsächlich "von hinten" (im Hintergrund) verwenden iptables, dann ... warum nicht direkt verwenden iptables?
Und das werde ich hier kurz erklären 🙂
Gibt es bisher Zweifel? 😀
Arbeiten mit iptables Es ist notwendig, Administratorrechte zu haben, also werde ich hier verwenden sudo (aber wenn du gerne eintrittst Wurzel, es besteht keine Notwendigkeit).
Damit unser Computer wirklich sicher ist, müssen wir nur zulassen, was wir wollen. Sehen Sie Ihren Computer so, als wäre er Ihr eigenes Zuhause. In Ihrem Zuhause lassen Sie standardmäßig niemanden eintreten. Nur bestimmte Personen, die Sie zuvor genehmigt haben, können eintreten, oder? Bei Firewalls passiert dasselbe: Standardmäßig kann niemand unseren Computer betreten, nur diejenigen, die entrar betreten möchten
Um dies zu erreichen, erkläre ich hier die folgenden Schritte:
1. Öffnen Sie ein Terminal, geben Sie Folgendes ein und drücken Sie [Eingeben]:
sudo iptables -P INPUT DROP
Dies wird ausreichen, damit niemand, absolut niemand Ihren Computer betreten kann ... und dieser "Niemand" schließt sich selbst ein 😀
Erklärung der vorherigen Zeile: Damit weisen wir iptables darauf hin, dass die Standardrichtlinie (-P) für alles, was in unseren Computer eingegeben werden soll (INPUT), darin besteht, ihn zu ignorieren, ihn zu ignorieren (DROP)Niemand ist ganz allgemein, absolut in der Tat, weder Sie selbst können im Internet surfen oder so, deshalb müssen wir in diesem Terminal Folgendes eingeben und drücken [Eingeben]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... Ich verstehe Scheiße nicht, Was machen diese beiden seltsamen Zeilen jetzt? ...
Einfach 🙂
In der ersten Zeile steht, dass der Computer selbst (-i lo ... übrigens lo = localhost) kann machen was es will. Etwas Offensichtliches, das absurd erscheinen mag ... aber glauben Sie mir, es ist genauso wichtig wie die Luft, haha.
In der zweiten Zeile, die ich anhand des zuvor verwendeten Beispiels / Vergleichs / der Metapher erläutern werde, meine ich den Vergleich des Computers mit dem Haus. Nehmen wir zum Beispiel an, wir leben mit mehr Menschen in unserem Haus (Mutter, Vater, Brüder, Freundin usw.). Wenn einer dieser Leute das Haus verlässt, ist es offensichtlich / logisch, dass wir sie hereinlassen, sobald sie zurückkehren, nein?
Genau das macht diese zweite Zeile. Alle Verbindungen, die wir initiieren (die von unserem Computer stammen), wenn Sie über diese Verbindung einige Daten eingeben möchten, iptables wird diese Daten einlassen. Um es noch einmal zu erklären: Wenn wir mit unserem Browser versuchen, im Internet zu surfen, können wir ohne diese beiden Regeln nicht, na ja ... der Browser stellt eine Verbindung zum Internet her, aber wenn er versucht, Daten (.html, .gif usw.) auf unseren Computer herunterzuladen um uns zu zeigen, werden Sie nicht in der Lage sein iptables Es wird die Eingabe von Paketen (Daten) verweigern, während mit diesen Regeln, wenn wir die Verbindung von innen (von unserem Computer aus) initiieren und dieselbe Verbindung diejenige ist, die versucht, Daten einzugeben, den Zugriff ermöglicht.
Damit haben wir bereits erklärt, dass niemand auf einen Dienst auf unserem Computer zugreifen kann, niemand außer dem Computer selbst (127.0.0.1) und außer Verbindungen, die auf dem Computer selbst gestartet werden.
Jetzt werde ich kurz ein weiteres Detail erklären, da im zweiten Teil dieses Tutorials mehr darüber erklärt und behandelt wird, hehe, ich möchte nicht zu viel vorankommen 😀
Es kommt zum Beispiel vor, dass sie eine Website auf ihrem Computer veröffentlicht haben und möchten, dass diese Website für alle sichtbar ist, da wir zuvor erklärt haben, dass standardmäßig NICHT alles zulässig ist, sofern nicht anders angegeben, niemand unsere Website sehen kann Webseite. Jetzt werden wir dafür sorgen, dass jeder die Website oder Websites sehen kann, die wir auf unserem Computer haben. Dazu setzen wir:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dies ist sehr einfach zu erklären 😀
Mit dieser Zeile erklären wir, dass Sie akzeptieren oder zulassen (-j AKZEPTIEREN) den gesamten Verkehr zu Port 80 (–Dport 80) mach es TCP (-p TCP), und dass es sich auch um eingehenden Verkehr handelt (-EIN EINGANG). Ich habe Port 80 gesetzt, da dies der Port des Webhosts ist, dh ... wenn ein Browser versucht, eine Site auf einem X-Computer zu öffnen, wird dieser Port immer standardmäßig angezeigt.
Nun ... was tun, wenn Sie wissen, welche Regeln festgelegt werden müssen, aber wenn wir den Computer neu starten, sehen wir, dass die Änderungen nicht gespeichert wurden? ... nun, dafür habe ich heute schon ein weiteres Tutorial gemacht:
So starten Sie iptables-Regeln automatisch
Dort erkläre ich es ausführlich 😀
Und hier endet das 1. Tutorial auf iptables für Neulinge, neugierig und interessiert 😉… keine Sorge, es wird nicht das letzte Mal sein, das nächste wird sich mit der gleichen Sache befassen, sondern mit spezifischeren Regeln, die alles ein wenig detaillierter beschreiben und die Sicherheit erhöhen. Ich möchte das nicht viel weiter ausdehnen, weil es in Wirklichkeit notwendig ist, dass die Grundlagen (was Sie hier am Anfang lesen) es perfekt verstehen 🙂
Grüße und ... komm schon, ich kläre die Zweifel, solange du die Antwort kennst LOL !! (Ich bin bei weitem kein Experte in diesem Bereich, hahaha)
Sehr gut! Nur eine Frage? Haben Sie eine Idee, wie die Standardeinstellungen lauten? Die Frage ist paranoid, dass ich nur bin: D.
Vielen Dank.
Standardmäßig akzeptiert es standardmäßig alles. Mit anderen Worten, Dienst, den Sie auf Ihren Computer stellen ... Dienst, der für den Rest öffentlich sein wird 😀
Du verstehst?
Also ... wenn Sie nicht möchten, dass die X-Website sie UND Ihren Freund oder eine bestimmte IP-Adresse sieht, gibt es die Firewall, htaccess oder eine Methode, um den Zugriff zu verweigern.
Grüße,
Bruder, ausgezeichnet !!!! Jetzt werde ich das erste lesen ...
Danke für Ihre Hilfe…
disla
Vielen Dank für das Tutorial, es ist praktisch.
Das einzige, was ich wissen oder sicherstellen möchte, ist, dass ich mit diesen Anweisungen keine Probleme habe, beispielsweise P2P-Übertragungen durchzuführen, Dateien herunterzuladen oder Videoanrufe zu tätigen. Nach dem, was ich nein gelesen habe, sollte es keine Probleme geben, aber ich ziehe es vor, vor dem Eingeben der Zeilen sicherzustellen.
Danke von nun an.
Grüße.
Sie sollten keine Probleme haben, dies ist jedoch eine ziemlich grundlegende Konfiguration. Im nächsten Tutorial werde ich ausführlicher erklären, wie Sie Ihre eigenen Regeln hinzufügen können, abhängig von den jeweiligen Anforderungen usw. 🙂
Aber ich wiederhole, Sie sollten keine Probleme haben, wenn Sie sie haben, starten Sie einfach den Computer neu und das war's, als hätten Sie nie iptables konfiguriert 😀
Neu starten ? Es klingt sehr Windowsero. Im schlimmsten Fall müssen Sie nur die iptables-Regeln leeren und die Standardrichtlinien auf ACCEPT setzen, und die Angelegenheit ist behoben. Rockandroleo, Sie werden keine Probleme haben.
Saludos!
Es tut uns leid, eine weitere Anfrage zu stellen, aber da wir uns mit dem Thema Firewall befassen, ist es möglich, dass Sie erklären, wie dieselben Befehle in grafischen Oberflächen von Firewalls wie Gufw oder Firestarter angewendet werden.
Vielen Dank im Voraus.
Grüße.
Ich werde Firestarter erklären, gufw ich habe es nur gesehen und nicht als solches verwendet, vielleicht werde ich es kurz erklären oder vielleicht lebhaft mach es selbst 🙂
Wenn ich mich dann wie ein Hacker fühlen möchte, werde ich es lesen, ich wollte immer etwas über Sicherheit lernen
Ausgezeichnetes Tutorial, es scheint mir gut erklärt und während es Schritt für Schritt ist, desto besser, wie man sagen würde, für Dummies.
Grüße.
hahahaha danke 😀
Große.
Klar erklärt.
Sie müssen es lesen und erneut lesen, bis das Wissen feststeht, und dann mit den folgenden Tutorials fortfahren.
Danke für den Artikel.
Danke 😀
Ich habe versucht, es zu erklären, wie ich wünschte, es wäre mir zum ersten Mal erklärt worden, LOL !!
Grüße 🙂
Sehr gut, ich teste und es funktioniert korrekt, was dem automatischen Starten der Regeln am Anfang entspricht. Ich werde es für die Veröffentlichung des zweiten Teils belassen. Bis dahin muss ich die Befehle bei jedem Neustart des Befehls etwas mehr eingeben PC, danke Freund für das Tuto und dafür, wie schnell du es veröffentlicht hast.
danke für die empfehlung und die erklärungen.
Sie können sehen, was mit iptables gilt mit:
sudo iptables -L
Genau 😉
Ich füge das hinzu n tatsächlich:
iptables -nLVielen Dank für das Tutorial, ich freue mich auf den zweiten Teil, Grüße.
Wann wird der zweite Teil herauskommen?
Ich habe einen Proxy mit Squid auf Machine1, der anderen Computern auf dieser LAN 192.168.137.0/24 das Surfen im Internet ermöglicht, und er lauscht auf 192.168.137.22:3128 (ich öffne Port 3128 für alle mit Firestarter) von Machine1 Wenn ich Firefox einfüge, um den Proxy 192.168.137.22:3128 zu verwenden, funktioniert es. Wenn von einem anderen PC mit IP 192.168.137.10, z. B. Machine2, der Proxy 192.168.137.22:3128 verwendet wird, funktioniert dies nicht, es sei denn, auf Machine1 habe ich einen Firestarter installiert, um das Internet mit dem LAN zu teilen. Wenn der Proxy funktioniert, wird der Flow ausgeführt Daten werden über den Proxy übertragen. Wenn sie jedoch auf Maschine 2 die Verwendung des Proxys entfernen und das Gateway korrekt ausrichten, können sie frei navigieren.
Um was geht es hierbei?
Wie würden die Regeln bei iptables lauten?
"Ich versuche, auf der dunklen Seite der Macht zu bleiben, denn dort ist der Spaß am Leben." und mit Delirium von jedi hahahahaha
Sehr gut! Ich bin etwas spät dran, oder? haha der Beitrag ist ungefähr 2 Jahre alt, aber ich war mehr als nützlich. Ich danke Ihnen, dass Sie ihn so einfach erklärt haben, dass ich ihn verstehen konnte. haha, ich fahre mit den anderen Teilen fort.
Danke fürs Lesen 🙂
Ja, der Beitrag ist nicht ganz neu, aber er ist immer noch sehr nützlich. Er hat fast nichts an der Funktionsweise von Firewalls im letzten Jahrzehnt geändert, denke ich
Grüße und danke an dich für den Kommentar
Was für eine Erklärung mit Blumen und allem. Ich bin ein "Anfänger", aber mit dem großen Wunsch, Linux zu lernen, habe ich kürzlich einen Beitrag über ein nmap-Skript gelesen, um zu sehen, wer mit meinem Netzwerk verbunden ist, und um Sie nicht lange zu machen. In einem Kommentar zu diesem Beitrag sagte ein Benutzer dies Wir werden die berühmte erste Zeile anwenden, die Sie von iptables eingefügt haben, und das war genug, und da ich ein enormer Noobster bin, habe ich sie angewendet, aber wie Sie hier geschrieben haben, ist sie nicht ins Internet gekommen 🙁
Vielen Dank für diesen Beitrag, in dem die Verwendung von iptables erläutert wird. Hoffentlich erweitern Sie ihn und erläutern mir die vollständige Funktionsweise. Prost!
Vielen Dank für das Lesen und Kommentieren 🙂
iptables ist phänomenal, es macht seine Aufgabe, so, so gut herunterzufahren, dass ... wir nicht einmal selbst raus können, das ist sicher, es sei denn, wir wissen, wie man es konfiguriert. Deshalb habe ich versucht, iptables so einfach wie möglich zu erklären, weil manchmal nicht jeder beim ersten Mal etwas verstehen kann.
Danke für den Kommentar, Grüße ^ _ ^
PS: Über die Erweiterung des Beitrags, hier ist der 2. Teil: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Vielen Dank, wenn ich den zweiten Teil gelesen und sofort mit Ihrer großartigen Anleitung auf der Konsole gespielt habe. Vielen Dank, hey übrigens, ich hoffe, Sie können mir helfen, da ich ein wenig Zweifel habe und wie Sie wissen, bin ich ein Neuling, der versucht, etwas über diese wunderbare freie Software zu lernen. Bis zu dem Punkt, dass ich kürzlich eine andere Distribution installiert habe, an der ich die Datei dhcp.config geändert habe eine Zeile und lassen Sie es so:
#send host-name ""; Nun, es hat bei mir in dieser Distribution funktioniert und alles war in Ordnung. Mein PC-Name erscheint nicht auf dem DHCP-Server meines Routers, nur das Symbol des PCs, aber in dieser neuen Distribution habe ich dieselbe Zeile geändert und sie gleich gelassen, aber Es hat nicht funktioniert. Könntest du mich ein bisschen führen? 🙁 Bitte ...
Da dies etwas komplexer oder umfangreicher sein kann, erstellen Sie ein Thema in unserem Forum (forum.desdelinux.net) und dort werden wir Ihnen gemeinsam helfen 🙂
Danke fürs Lesen und Kommentieren
Bereit, danke für die Antwort. Morgen früh mache ich das Thema und ich hoffe du kannst mir helfen, Grüße und natürlich eine Umarmung.
Exzellente Artikel.
Denken Sie, dass ich damit eine Firewall mit iptables in meinem Haus implementieren kann, oder muss ich etwas anderes wissen? Haben Sie ein Konfigurations-Tutorial oder bleibt es bei diesen Artikeln?
Grüße
Eigentlich war dies das Grundlegende und Medium. Wenn Sie etwas Fortgeschritteneres wollen (wie Verbindungsbeschränkungen usw.), können Sie alle Beiträge überprüfen, die hier über iptables sprechen - » https://blog.desdelinux.net/tag/iptables
Damit habe ich jedoch fast meine gesamte lokale Firewall 🙂
Sie scheinen überhaupt nicht schlecht zu sein.
Aber es würde etwas ändern.
Ich würde eine Eingabe löschen und weiterleiten und eine Ausgabe akzeptieren
-P EINGANG -m Zustand –Zustand GESTELLT, VERWANDT -j AKZEPTIEREN
Das würde ausreichen, damit ein Neuling in iptables "ziemlich sicher" ist
Öffnen Sie dann die Ports, die wir benötigen.
Ich mag die Seite wirklich, sie hat sehr gute Dinge. Danke für das Teilen!
Viele Grüße!
Guten Abend an alle, die kommentiert haben, aber mal sehen, ob Sie klarstellen können, warum ich mehr verloren bin als ein Wolf im Abwasserkanal. Ich bin Kubaner und ich denke, wir gehen immer weiter auf jedes mögliche Thema ein und gut: Entschuldigen Sie mich im Voraus, wenn es nichts damit zu tun hat das Thema!!!
Ich habe einen UBUNTU Server 15-Server und es stellt sich heraus, dass ich einen darin gehosteten Dienst habe, der von einem anderen Programm bereitgestellt wird, das Stream-TV ist, aber ich versuche, ihn über die MAC-Adresse zu steuern, damit die Steuerung des Ports, zum Beispiel 6500, ihn zufällig auswählt Niemand kann über diesen Port eintreten, es sei denn, er hat die in den iptables angegebene MAC-Adresse. Ich habe die Konfigurationen dieses Artikels Nummer eins vorgenommen und es funktioniert sehr gut, besser als ich wollte, aber ich habe in todooooooooooooo nach Informationen gesucht und nicht die glückliche Konfiguration gefunden, die es einer Mac-Adresse erlaubt, nur einen bestimmten Port und sonst nichts zu verwenden.
danke im Voraus!
Hallo, wie geht es dir? Ich habe den Artikel iptables für Neulinge gelesen. Er ist sehr gut. Ich gratuliere dir. Ich weiß nicht viel über Linux. Deshalb möchte ich dir eine Frage stellen. Ich habe ein Problem. Wenn du mir helfen kannst. Ich danke dir. Ich habe einen Server mit Mehrere IPs und alle paar Tage, wenn der Server E-Mails über die IPs auf dem Server sendet, werden keine E-Mails mehr gesendet. Damit er erneut E-Mails senden kann, muss ich Folgendes eingeben:
/etc/init.d/iptables stoppen
Wenn ich das schreibe, beginnt es wieder, E-Mails zu senden, aber nach ein paar Tagen blockiert es wieder. Können Sie mir sagen, welche Befehle ich eingeben muss, damit der Server die IP nicht blockiert? Ich habe gelesen und von dem, was Sie auf der Seite sagen, mit Diese 2 Zeilen müssten gelöst werden:
sudo iptables -A EINGANG -i lo -j AKZEPTIEREN
sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
Da ich jedoch nicht weiß, ob dies der Fall ist, bevor ich diese Befehle schreibe, wollte ich überprüfen, ob die IP-Adressen des Servers nicht mehr blockiert werden. Ich warte auf Ihre sofortige Antwort. Grüße. Nikolaus.
Hallo guten Morgen, ich habe dein kleines Tutorial gelesen und es schien sehr gut zu sein und aus diesem Grund möchte ich dir eine Frage stellen:
Wie kann ich die Anforderungen, die über die lo-Schnittstelle (localhost) eingehen, an einen anderen Computer (eine andere IP) mit demselben Port umleiten? Ich verwende so etwas
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –an 148.204.38.105:3306
aber es leitet mich nicht um, ich überwache Port 3306 mit tcpdump und wenn es Pakete empfängt, sie aber nicht an die neue IP sendet, aber wenn ich Anfragen von einem anderen Computer mache, leitet es sie um. Kurz gesagt, es leitet mich um, was durch -i eth0 hereinkommt, aber nicht, was durch -i lo hereinkommt.
Im Voraus schätze ich die große oder kleine Hilfe, die Sie mir geben können. salu2.
Hallo, wie geht es dir, die Seite ist sehr gut, sie enthält viele Informationen.
Ich habe ein Problem und wollte sehen, ob Sie mir helfen können. Ich habe die PowerMta in Centos 6 mit Cpanel installiert. Das Problem ist, dass die PowerMta nach einigen Tagen keine E-Mails mehr nach außen sendet. Es ist, als ob die IPs blockiert sind und jede Tage muss ich den Befehl /etc/init.d/iptables stoppen, damit die PowerMta wieder E-Mails ins Ausland sendet, damit das Problem für ein paar Tage gelöst ist, aber dann passiert es wieder.
Wissen Sie, wie ich das Problem lösen kann? Gibt es etwas, das ich auf dem Server oder in der Firewall konfigurieren kann, damit dies nicht erneut geschieht? Da ich nicht weiß, warum dies geschieht, hoffe ich, dass Sie es bald tun, wenn Sie mir helfen können Antworten.
Grüße.
Nicolas.
Ausgezeichnete und sehr klare Erklärung, ich habe nach Büchern gesucht, aber sie sind sehr umfangreich und mein Englisch ist nicht sehr gut.
Kennen Sie Bücher, die Sie auf Spanisch empfehlen?
Wie wäre es mit einem guten Morgen, sehr gut erklärt, aber ich habe immer noch keinen Zugang aus dem Internet. Ich erkläre, ich habe einen Server mit Ubuntu, der zwei Netzwerkkarten hat, eine mit dieser Konfiguration. Link encap: Ethernet HWaddr a0: f3: c1: 10 : 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maske: 255.255.255.0 und die zweite mit dieser anderen Link-Kapsel: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64 Bcast: 192.168.1.255 Maske: 255.255.255.0, wobei die zweite diejenige ist, die mein Gateway hat, nämlich 192.168.1.64, aber die erste Karte ist diejenige, die meine Kameras steuert, und ich möchte sie von meiner festen IP-Adresse aus aus dem Internet sehen. Ich kann sie von der aus sehen lan aber nicht aus dem internet, kannst du mir dabei helfen? , oder wenn mein Router derjenige ist, der falsch konfiguriert ist, ist es ein TP-Link-Bogenschütze c2 ,,, danke
Hallo, ich habe das gerade auf meinem Server gemacht und weißt du, wie kann ich es wiederherstellen?
iptables -P EINGABETROPFEN
Ich hinterlasse dir meine E-Mail ing.lcr.21@gmail.com
Ich habe ein bisschen nach hochwertigen Posts oder Blog-Posts zu diesem Inhalt gesucht. Googeln Ich habe endlich diese Website gefunden. Durch das Lesen dieses Artikels bin ich überzeugt, dass ich gefunden habe, wonach ich gesucht habe, oder zumindest habe ich das seltsame Gefühl, genau das gefunden zu haben, was ich brauchte. Natürlich werde ich Sie diese Website nicht vergessen lassen und empfehlen, ich plane, Sie regelmäßig zu besuchen.
Grüße
Ich gratuliere dir wirklich! Ich habe viele Seiten mit Iptables gelesen, aber keine so einfach erklärt wie Ihre. ausgezeichnete Erklärung !!
Vielen Dank, dass Sie mir mit diesen Erklärungen das Leben leichter gemacht haben!
Für einen Moment fühle ich mich arabisch xD
Mein Lehrer verwendet dies, um zu unterrichten, Danke und Grüße. Gang