Millal DesdeLinux Olin vaid mõnekuune ja kirjutasin iptablesi kohta ülilihtsalt arusaadava õpetuse: iptables algajatele, uudishimulikud, huvitatud (1. osa) . Kasutades metafoore, nagu näiteks meie arvuti võrdlemine majaga, tulemüür maja uksega, aga ka muid näiteid, selgitasin meelelahutuslikult, ilma nii paljude tehniliste ja keeruliste mõisteteta, mis on tulemüür, mis on iptables ja kuidas seda kasutama hakata ja seadistada. See on jätk, eelmise iptablesi õpetuse part 2. osa
Juhtub, et mõned päevad tagasi panin Linksys AP (pääsupunkti) kasutades sõbranna koju Wifi, ehkki asukoht pole tehnoloogia poolest kõige teadlikum ehk see ei seisne selles, et pragunemist oleks palju , on alati hea mõte suurepärase turvalisuse tagamiseks nii Wifi kui ka arvutites.
Ma ei kommenteeri siin Wifi turvalisust, kuna see pole postituse eesmärk, keskendun iptablesi konfiguratsioonile, mida praegu oma sülearvutis kasutan.
Eelmises postituses selgitasin, et tulemüüris tuleb kõigepealt keelata kogu sissetulev liiklus, selleks:
sudo iptables -P INPUT DROP
Seejärel peame lubama oma arvutil andmete sisestamise loa:
sudo iptables -A INPUT -i lo -j ACCEPT
Lisaks meie arvutist pärinevate päringute pakettide vastuvõtmisele:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Seni on meie arvuti suuteline Internetis probleemideta navigeerima, kuid keegi muu keskkonnast (LAN, Internet, Wifi jne) ei pääse meie arvutile kuidagi juurde. Alustame iptable'i konfigureerimist vastavalt oma vajadustele.
Iptablesi logide väljastamiseks teise faili ulogdi abil:
Vaikimisi on iptablesi logid kernelilogis, süsteemilogis vms. Archis vaikimisi ei mäleta ma praegu isegi, kuhu nad lähevad, sellepärast kasutan ulogd nii et iptablesi logid asuvad teises failis.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Minu privaatserverile juurdepääsu andmine:
Ma ei kasuta virtualiseerimiseks VirtualBoxi ega muud sarnast, mul on privaatne server virtualiseeritud Qemu + KVM mis peab olema võimeline ühendama oma sülearvutiga kui iptables-reeglid, mida ma just eespool määrasin, seda ei saa, seetõttu pean ma andma loa oma virtuaalse serveri IP-le, et see saaks minu sülearvutile juurde pääseda :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
Läheme sellest reast üksikasjalikumalt, on oluline, et saaksite aru, mida iga parameeter tähendab, sest neid korratakse edaspidi palju:
-SISEND : Ma ütlen, et kuulutan välja reegel sissetulevale liiklusele
-i virbr0 : Kinnitan, et liides, mille kaudu liiklust aktsepteerin, ei ole etho (LAN) ega wlan0 (Wifi), ma ütlen konkreetselt, et see on minu virbr0 liides, see tähendab virtuaalne võrguliides (sisemine), mille kaudu mu sülearvuti suhtleb minu virtuaalserveriga (ja vastupidi)
-P TCP. : Täpsustan protokolli, enimkasutatavaid on UDP ja TCP, siin piisas tõesti sellest mitte panemisest, vaid ... on tavaks määrata aktsepteeritava protokolli tüüp
-s 192.168.122.88 : Pakettide allikas, allikas. See tähendab, et reegel viitab pakettidele, mis pärinevad konkreetselt IP-st 192.168.122.88
-J VASTU : Juba siin ütlen, mida ma tahan teha ülaltoodule vastavate pakettidega, antud juhul nõustun.
Teisisõnu, aktsepteerin kokkuvõtteks pakette, mis pärinevad IP 192.168.122.88-st, kuid juhul kui soovite sisestada pakette, mis pärinevad sellest IP-st AGA! Nad sisenevad liidesest, mis pole virbr0, see tähendab, oletame, et nad üritavad sisestada pakette IP 192.168.122.88-st, kuid nad on meie Wifi-võrgu arvutist, kui see nii on, lükatakse paketid tagasi. miks? Kuna me täpsustame selgelt, et jah, aktsepteerime pakette alates 192.168.122.88 jah, kuid ja ainult, kuid nad peavad sisestama ka virbr0 liideselt (sisemine, virtuaalne võrguliides), kui paketid pärinevad mõnelt muult liideselt (LAN, RAS, Wifi jne), siis neid ei aktsepteerita. Kui näete liidest, nagu näete, saame seda veelgi piirata, saame paremini kontrollida seda, mis meie arvutisse siseneb (või mitte).
Pingi aktsepteerimine koduse WiFi mis tahes IP-lt:
Mõnes muus arvutis, mis ühendub Wifi-ga, kui proovite minu sülearvutit pingida, tahan seda lubada. põhjus? Idee on ka see, et lähinädalatel naabermajas asuva arvuti võrku ühendamiseks oleks teabe jagamine vähem keeruline ja sujuvam, kui hakkan töölaua Wifi-ga linkide teste tegema, pean pingutama sülearvuti ühenduvuse kontrollimiseks, kui mu sülearvuti ei pinguta mind tagasi, võin arvata, et AP ebaõnnestub või on WiFi-le juurdepääsemisel tekkinud viga, sellepärast tahan pingimise lubada.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-SISEND : Sama mis varem, viitan sissetulevale liiklusele
-ma wlo1 : Sarnane varasemaga. Eelmisel juhul määrasin virtuaalse liidese, antud juhul määrasin teise liidese, minu wifi oma: wlo1
-p icmp : Icmp-protokoll, icmp = ping. See tähendab, et ma ei luba SSH-d ega muud sarnast, luban ainult pingimist (icmp)
-s 192.168.1.0/24 : Pakettide allikas, see tähendab, et kui paketid pärinevad IP 192.168.1-st.? võetakse vastu
-d 192.168.1.51 : Sihtkoha IP, see tähendab minu IP.
-J VASTU : Ma näitan, mida teha pakettidega, mis vastavad ülaltoodule, nõustuge.
See tähendab, et selle jooksvalt selgitamiseks nõustun, et nad pingutavad mind (icmp-protokoll), mille sihtkoht on konkreetselt minu IP, kui nad pärinevad selliselt IP-lt nagu 192.168.1 .__, kuid nad ei saa ka tulla mis tahes võrguliidese kaudu, peavad nad sisestama spetsiaalselt minu WiFi-liidese kaudu (wlo1)
Aktsepteerige SSH ainult ühe IP jaoks:
Vahel pean ühendust võtma SSH minu nutitelefonist sülearvuti juhtimiseks, sellepärast pean selleks lubama SSH-le juurdepääsu oma sülearvutile oma WiFi-ühenduse IP-dest:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
Sellelt joonelt on ainus erinev või väärib esiletõstmist: –Port 22 (SSH-port, mida kasutan)
Teisisõnu, ma aktsepteerin katseid oma sülearvutiga ühenduse loomiseks pordi 22 kaudu, kui nad pärinevad minu wifi IP-st, peavad neil olema ka minu IP-d kindla sihtkohana ja ka wlo1-liidese kaudu, st minu wifi oma (mitte lan jne)
Teie veebisaidi vaatamise lubamine:
See pole minu juhtum, kuid kui kellelgi teist on hostitud veebisait ja ta ei soovi kellelegi juurdepääsu keelata, st et kõikjal saavad kõikjalt sellele veebisaidile juurde pääseda, on see palju lihtsam kui võite arvata:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Teisisõnu lubavad nad siin kogu sissetulevat liiklust (tcp) pordi 80 kaudu. Nagu näete, ei täpsusta ma, millistest IP-dest või võrgust ma juurdepääsu luban, jättes lubamata IP-vahemiku määramata, eeldab iptables, et ma tahan lubada juurdepääs kõigile olemasolevatele IP-vahemikele, see tähendab kogu maailmale 🙂
Muud kombinatsioonid:
Mul on palju muid reegleid, näiteks aktsepteerin IP-de pingimist minu koduvõrgust (selle jaoks on see põhimõtteliselt sama rida nagu eespool, muutes IP-vahemikke), mis on pigem sama, mida ma just eespool selgitasin. . oma sülearvutis ei kasuta ma tõeliselt keerukaid asju, näiteks ühenduste piiramist, anti DDoS-i, jätan selle serverite jaoks, sülearvutis ma seda ei vaja
Igatahes siiani artikkel.
Nagu näete, pole iptablesiga töötamine sugugi nii keeruline. Kui olete koostanud skripti, kuhu oma reeglid kirjutate, on see väga lihtne, seejärel muutke seda, lisage või eemaldage reeglid oma tulemüüri.
Ma ei pea ennast selle teema eksperdiks kaugel, hoolimata teie kahtlustest, kommenteerivad nad siin, proovin teid aidata nii palju kui saan.
seoses
Väga hea, väga hästi selgitatud, suurepärane.
Ma armastan seda tüüpi postitusi.
Suur aitäh kommenteerimise eest 🙂
See postitus oli võlg, mis mul pikka aega oli, lõpuks on meeldiv ja meeldiv, kui saan selle ära maksta ^ _ ^
seoses
küsimus olete Kuubal?
... Juhtub, et paar päeva tagasi panin Linksys AP (pöörduspunkti) abil sõbranna koju Wifi
Jah, muidugi, olen sündinud ja elan Kuubal. miks küsimus?
@FIXOCONN: Tere, sõber ja andestage küsimuse offtopic, kuid kuidas määratleda Cinnamon kuvamist kasutajaagendis töölauakeskkonnana? Ma kasutan Mint 13 koos kaneeliga, kuid mitte mingil juhul ei saa Cinnamoni logo ilmuda minu kasutajaagendis iga kord, kui sellel saidil kommenteerin
Kas oleksite nii lahke ja edastaksite mulle oma kasutajaagendi andmed, kui see pole liiga palju probleeme? Ma tahaksin teada, et need andmed oleksid ise paigutatud =)
Jätan teile lehe, et saaksite selle üle vaadata ja mulle teavet anda. Tänud ja administraatorid, andestage minu poolt "trollimine" (kui võite seda nii nimetada) minu poolt selle teabega -> http://user-agent-string.info/
Lisage "Cinnamon" (jutumärkideta) UserAgenti mis tahes ossa, seejärel peaks logo ilmuma järgmistes kommentaarides 🙂
Väga hea postitus! väga selge 😀
Täname, et lugesite meid ja aitäh kommentaari eest 🙂
Aitäh! See aitab mind tõesti!
Tere, kõigepealt palju õnne blogi jaoks, minu arvates on see suurepärane.
Midagi, mida võib olla hea mainida, on see, et ULOG-iga sisselogimise võimalus ei tööta operatsioonisüsteemides, millel on ulogd2, sel juhul peaks reegel olema:
sudo iptables -A SISEND -p tcp -m tcp –tcp-lipud FIN, SYN, RST, ACK SYN -j NFLOG
Kõigepealt tänan teid väga selle eest, mida blogi kohta öeldakse 🙂
Mul on Archi installitud ulogd v2.0.2-2 ja minu pandud rida töötab probleemideta (pidin panema logetase = 1 kausta /etc/ulogd.conf, kuid see viib logid probleemideta teise faili.
Kas kasutate ulogd v2 või uuemat versiooni, kas minu jäetud rida töötab teie jaoks valesti?
Tervitused ja aitäh kommenteerimise eest.
Ootasin alati teist osa, mäletan, kui esimest lugesin (see oli minu algatamine tulemüürides). Tänud @ KZKG ^ Gaara, lugupidamisega 🙂
Aitäh, et lugesid mind 😀
Ja hehe jah, mis ma ütlesin ... see postitus oli võlg, mis mul ammu oli ^ _ ^
Tervitades. Väga hea postitus. Püüan seadistada iptablesi reegleid liikluse ümbersuunamiseks kalmaaridest dansguardianiks ja see ei saavuta endiselt eesmärki. Ma hindaksin selles osas abi.
selle jaoks iptables? Kas seda ei tehta otse kalmaari ACL-idega?
"Mul on palju muid reegleid nagu .."
Seda ma nimetan paranoiaks, poiss
Veel natuke ja panete oma modemi / ruuteri igasse avatud porti pakk Rotwailerit 🙂
HAHAHAHAHAHAHAHAHA suren koos rotilõikajatega naeru hahahaha
Tervitussõber, juhtub, et vajan abi IPT-tabelite konfigureerimisel nii, et see keelab juurdepääsu ainult porti 80, kui sisestan aadressi oma kohandatud nimeserverite brauserisse, see tähendab, et näiteks kui sisestan ns1.mydomain.com ns2.mydomain. com (mis on minu nimeserverid) IPtabelid keelavad juurdepääsu porti 80, nii et brauser proovib lehte laadida, kuid mõne aja pärast see aegub ja seda ei laadita, juhtub, et olen juba proovinud järgmiste käskudega:
iptables -A SISEND -d ns1.midomini.com -p tcp –port 80 -j DROP
iptables -A SISEND -d ns2.midomini.com -p tcp –port 80 -j DROP
Ainus asi, mida ta teeb, on keelata kõigi minu domeenide sisenemine porti 80 (kuna neil on sama IP kui virtuaalsel hostil), tahan, et see oleks ainult minu nimeserverite URL-is ja IP-s, millele nimeserverid osutavad, see tähendab, et IP-tabelid keelavad juurdepääsu porti 80:
ns1.midomini.com (osutus A) -> 102.887.23.33
ns2.midomini.com (osutus A) -> 102.887.23.34
ja IP-d, millele nimeserverid osutavad
102.887.23.33
102.887.23.34
Selle süsteemiga ettevõtte näide on: Dreamhost
Nende nimeserverid: ns1.dreamhost.com ja ns2.dreamhost.com ning IP-d, millele nad osutavad, ei vasta brauseri aadressiribale kirjutades
Tänan teid juba ette tähelepanu eest, tahaksin väga, et annaksite mulle sellega kaasa, mul on seda väga vaja ja kiiresti !!
Head päeva !!
Tere Ivan,
Võtke minuga ühendust e-posti teel (kzkggaara[at]desdelinux[dot]net), et sellest rahulikumalt rääkida ja paremini lahti seletada, homme ma vastan sulle kindlasti (täna lähen mööda)
See, mida soovite teha, on lihtne, ma ei tea, miks read, mis te mulle ütlete, teie jaoks ei tööta, peakski olema, kuid peate kontrollima logisid ja muid asju, mis siin ümber läheksid liiga pikaks.
Tervitused ja ootan teie e-maili
teoreetiliselt saaksin iptablesiga takistada selliste programmide nagu aircrack ühenduse katkestamise taotlusi. Mul on õigus ??? Noh, ma teen katseid, kuid kui ütlete mulle, et teeksite mulle XDDD-d väga rõõmsaks
Teoreetiliselt ma arvan nii, nüüd ma ei tea, kuidas seda saaks teha, ma pole seda kunagi teinud ... aga ma kordan, et teoreetiliselt arvan, et võiks.
Pärast iptablesi reeglite rakendamist on mul võimatu pääseda kohalikus võrgus jagatud Windowsi kaustadele juurde. Millist reeglit peaksin selle parandamiseks rakendama?
Gracias.
Milliseid iptablesi reegleid kasutasite?
See on "Uptables for newbies" 2. osa, kas lugesite esimest? Ma palun seda teada, kas olete rakendanud reegleid, mis olid eelmises postituses
Jah, ma olen mõlemad osad läbi lugenud. Skripti puhul lähtun ma ühest teisest postitusest, mille olete postitanud reeglite alustamise kohta süsteemiga.
#! / bin / bash
# - UTF 8 -
# Iptables binaarne
iptables = »/ usr / bin / iptables»
viskas välja ""
## Puhasta lauad ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo »- valmistatud FLUS iptable'idesse» && kaja »»
## Logide loomine ULOGD-iga ##
$ iptables -A SISEND -p tcp -m tcp –tcp-lipud FIN, SYN, RST, ACK SYN -j ULOG
## Defineeri DROP-i vaikepoliitika ##
$ iptables -P INPUT DROP
$ iptables -P EDASI DROP
#echo »- vaikimisi määratletud DROP-i poliitika» && echo »»
## Luba kõigil localhostil ##
$ iptables -A SISEND -i lo -j VASTU
$ iptables -A VÄLJUND -o lo -j VASTU
#echo »- kõik on lubatud kohalikule hostile» && echo »»
## Luba sisestada minu algatatud ühenduste pakette ##
$ iptables -A INPUT -m olek – riik RIIGITATUD, SEOTUD -j VÕTTA
#echo »- minu» && echo »» algatatud lubatud ühenduse paketid
viskas välja " ##############################"
echo »## KONFIGUURITUD IPTABLID OK! ## »
viskas välja " ##############################"
Olen Internetist lugenud, et samba jaoks peaksid skriptis olema järgmised reeglid:
$ iptables -A SISEND -p tcp –port 139 -j VASTU
$ iptables -A SISEND -p tcp –port 445 -j VASTU
$ iptables -A SISEND -p udp –sport 137 -j VASTU
$ iptables -A SISEND -p udp –port 137 -j VASTU
$ iptables -A SISEND -p udp –port 138 -j VASTU
Kuid isegi nendega ei näe ma Windowsi töörühmi. : S
Probleem lahendatud. Muutke töörühma ja hostid lubage parameetreid samba konfiguratsioonifailis.
Suurepärane artikkel, lihtsalt suurepärane !!!!
Ma lihtsalt lugesin seda ja mulle meeldib nii see, kuidas te seda selgitate, kui ka iptable'i tõeliselt kasulik kasutus, tahaksin tõesti õppida, kuidas seda põhjalikumalt kasutada.
Tervitused ja suurepärane artikkel, loodan, et avaldate Iptablesi kohta rohkem! ^^
Kallis;
Mul on iptablesiga puhverserver ja üks mu võrkidest ei saa pingida http://www.google.cl sel põhjusel on mul pordid blokeeritud ja proovin tuhandeid võimalusi pordide avamiseks ja midagi ei juhtu. Kui ma ei saa pingida, ei saa ma Outlooki ühendada
Palju õnne postituse puhul! Väga hea. Aga mul on küsimus. Mõnikord võib võrgus teile määratud IP-aadress muutuda (kui on tõsi, et me saaksime oma MAC-aadressidele IP-i määrata), kuid kas Iptablesiga on võimalus lubada meie serverile juurdepääs MAC-aadressi kaudu SSH kaudu?
Loodan, et olen ennast hästi selgitanud.
Tervitades ja tänan teid väga!
Tere, teate, et mul oli Linuxi server konfigureeritud ja pärast nende käskude sisestamist blokeerisin kõik ja kaotasin juurdepääsu, suutsin peaaegu kõik taastada, kuid mul on puudu 2 asja. * Ma ei pääse enam veebibrauserist juurde cname «serveri» kaudu, kui ip-ga, 10.10.10.5 ja teisest küljest ei näe ma võrgus Windows Exploreri jagatud ressursse, enne kui panin \\ serveri ja nägin kõiki jagatud ressursse. Loodan, et saate mind aidata, ma tean, et see on rumal, kuid ma ei suuda seda lahendada, aitäh
Tsiteerin sõna-sõnalt:
"
Icmp-protokoll, icmp = ping. See tähendab, et ma ei luba SSH-d ega muud sarnast, luban ainult pingimist (icmp)
"
ICMP ja PING ei ole samad. Ping on küll osa ICMP protokollist, kuid see pole veel kõik. ICMP (Internet Control Message Protocol) protokollil on palju rohkem kasutusviise, millest mõned on teatud ohtudega. Ja nõustute kogu ICMP-liiklusega. Peaksite piirduma ainult pingiga.
Saludos!
Ma pean praktikal käima, kuid ma ei saa iptablesist suurt midagi aru, kas saaksite mind aidata ...
aitäh !!!!!!!