Olen alati arvanud, et ohutus ei tee kunagi haiget ja sellest ei piisa kunagi (sellepärast elav Ta nimetab mind obsessiivseks ja psühhootiliseks julgeoleku maniakiks), nii et isegi GNU / Linuxi kasutamisel ei jäta ma tähelepanuta oma süsteemi, oma paroolide (juhuslikult genereeritud pwgen), jne..
Veelgi enam, isegi süsteemide tüübi korral Unix on kahtlemata väga ohutud, on kahtlemata soovitatav kasutada a tulemüüri, seadistage see korralikult, et see oleks võimalikult hästi kaitstud 🙂
Seletan teile siin ilma suurema segaduse, sasipundarite ja keeruliste detailideta, kuidas põhitõdesid teada saada iptables.
Aga … Mis pagan on iptables?
iptables See on Linuxi kerneli (moodul) osa, mis tegeleb pakettide filtreerimisega. See ütles teisiti, see tähendab seda iptables See on tuuma osa, mille ülesanne on teada, millist teavet / andmeid / paketti soovite oma arvutisse sisestada ja mida mitte (ja teeb veel asju, kuid keskendume praegu sellele hehe).
Seletan seda muul viisil 🙂
Paljud oma distros kasutavad tulemüüre, Firestarter o firehol, kuid need tulemüürid on tegelikult „tagantpoolt“ (taustal) kasutamine iptables, siis ... miks mitte kasutada otse iptables?
Ja seda ma siin lühidalt selgitan 🙂
Siiani on mingit kahtlust? 😀
Et töötada iptables on vaja administraatori õigusi, nii et siin ma kasutan sudo (aga kui sisestate nagu juur, pole vajadust).
Selleks, et meie arvuti oleks tõeliselt turvaline, peame lubama ainult seda, mida tahame. Vaadake oma arvutit nii, nagu oleks see teie enda kodu, oma kodus EI laske vaikimisi kellelgi siseneda, ainult teatud kindlad inimesed, kelle olete enne heaks kiitnud, võivad sisse astuda, eks? Tulemüüridega juhtub sama, vaikimisi ei saa keegi meie arvutisse siseneda, ainult need, kes soovivad siseneda entrari
Selle saavutamiseks selgitan järgmisi samme:
1. Avage terminal, sinna pange järgmine ja vajutage [Sisenema]:
sudo iptables -P INPUT DROP
Sellest piisab, et keegi, absoluutselt keegi ei saaks teie arvutisse siseneda ... ja see "keegi" hõlmab ka teid endid
Eelmise rea selgitus: Sellega näitame iptablesile, et vaikepoliitika (-P) kõigil, mis soovivad meie arvutisse siseneda (INPUT), on seda ignoreerida, ignoreerida (DROP)Keegi pole päris üldine, tegelikult absoluutne, ka teie ise ei saa internetis surfata ega midagi muud, seepärast peame sellesse terminali lisama järgmise ja vajutama [Sisenema]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... ma ei saa jama aru, Mida need kaks imelikku joont nüüd teevad? ...
Lihtne 🙂
Esimene rida ütleb, et arvuti ise (-i lo ... muide, lo = kohalik host) saab teha mida iganes soovib. Midagi ilmset, mis võib tunduda isegi absurdne ... aga uskuge mind, see on sama oluline kui õhk haha.
Teist rida, mida ma selgitan, kasutades varem kasutatud näidet / võrdlust / metafoori, pean silmas arvuti võrdlemist majaga 🙂 Oletame näiteks, et elame oma majas rohkemate inimestega (ema, isa, vennad, tüdruksõber jne). Kui keegi neist inimestest kodust lahkub, kas on ilmne / loogiline, et laseme nad tagasi, kui nad tagasi tulevad, ei?
Just seda teeb see teine rida. Kõik meie algatatud ühendused (mis tulevad meie arvutist), kui soovite selle ühenduse kaudu sisestada mõned andmed, iptables laseb need andmed sisse. Selle selgitamiseks lisan veel ühe näite: kui proovime oma brauserit kasutades Internetis surfata, siis ilma nende kahe reeglita me ei saa, jah jah ... brauser loob Interneti-ühenduse, kuid kui ta proovib andmeid (.html, .gif jne) meie arvutisse alla laadida meile näidata ei saa ta seda iptables See keelab pakettide (andmete) sisestamise, samas kui nende reeglite kohaselt, kuna me algatame ühenduse seestpoolt (meie arvutist) ja see sama ühendus on see, mis proovib andmeid sisestada, võimaldab see juurdepääsu.
Selle valmisolekuga oleme juba deklareerinud, et keegi ei pääse meie arvutis ühegi teenuse juurde, keegi muu kui arvuti ise (127.0.0.1) ja ka arvutis endas käivitatud ühendused.
Nüüd selgitan veel ühe detaili kiiresti, sest selle õpetuse 2. osas selgitatakse ja kajastatakse selle hehe kohta rohkem, ma ei taha liiga palju edasi liikuda
Juhtub, et näiteks neil on arvutis avaldatud veebisait ja nad tahavad, et seda veebisaiti näeksid kõik, kuna me varem kuulutasime, et vaikimisi kõik EI OLE lubatud, kui pole märgitud teisiti, ei näe keegi meie veebisaidil. Nüüd paneme igaühe nägema meie arvutis olevat veebisaiti või veebisaite, selleks me paneme:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Seda on väga lihtne seletada 😀
Selle reaga kinnitame, et nõustute või lubate (-J VASTU) kogu liiklus sadamasse 80 (–Port 80) tehke sellest TCP (-P TCP.) ja et see on ka sissetulev liiklus (-SISEND). Ma panin pordi 80, kuna see on veebi port, see tähendab ... kui brauser üritab X-arvutis saiti avada, näeb see vaikimisi alati selles pordis välja.
Nüüd ... mida teha, kui teate, milliseid reegleid seada, kuid arvuti taaskäivitamisel näeme, et muudatusi ei salvestatud? ... noh, selleks tegin täna juba teise õpetuse:
Kuidas iptablesi reegleid automaatselt käivitada
Seal selgitan seda üksikasjalikult 😀
Ja siin lõpeb 1. õpetus edasi iptables algajatele, uudishimulikud ja huvitatud 😉 ... ärge muretsege, see ei ole viimane hehe, järgmine tegeleb samade, kuid täpsemate reeglitega, kirjeldades kõike natuke rohkem ja suurendades turvalisust. Ma ei taha seda palju pikendada, sest tegelikult on vaja, et alused (mida te siin alguses lugesite) sellest suurepäraselt aru saaksid 🙂
Tervitused ja ... tule nüüd, selgitan kahtlused, kui teate vastust LOL !! (Ma pole kaugeltki selle hahaha ekspert)
Väga hea! Ainult küsimus? Kas teil on aimugi, mis on vaikeseaded? Küsimus on paranoiline, et ma olen lihtsalt: D.
Suur aitäh.
Vaikimisi aktsepteerib see kõike. Teisisõnu teenus, mille panite oma arvutisse ... teenus, mis on ülejäänud osa avalik 😀
Sa saad aru?
Niisiis ... kui te ei soovi, et X veebisait seda näeks JA teie sõpra või kindlat IP-d, tuleb tulemüür, htaccess või mõni meetod juurdepääsu keelamiseks.
Regards,
Vend, suurepärane !!!! Nüüd loen esimest ...
Tänan abi eest…
disla
Aitäh õpetuse eest, see tuleb mulle kasuks.
Ainus asi, mida ma tahan teada või veenduda, on see, et mul pole nende juhiste abil probleeme näiteks p2p-ülekannete tegemisel, failide allalaadimisel või videokõnede tegemisel. Sellest, mida lugesin ei, ei tohiks probleeme olla, kuid eelistan enne ridadesse sisenemist selles veenduda.
Tänan nüüdsest.
Tervitused.
Teil ei tohiks probleeme olla, kuid see on üsna lihtne konfiguratsioon, järgmises õpetuses selgitan põhjalikumalt, kuidas oma reegleid lisada, sõltuvalt igaühe vajadusest jne 🙂
Kuid ma kordan, et teil ei tohiks probleeme olla, kui teil on need lihtsalt arvuti taaskäivitada ja see on kõik, nagu poleks iptableid kunagi seadistanud 😀
Taaskäivita ? See kõlab väga aknarikkalt. Halvimal juhul peate lihtsalt iptable-reeglid loputama ja vaikepoliitikateks määrama ACCEPT ning asi on lahendatud, nii et rockandroleo, teil pole probleeme.
Saludos!
Ja vabandust, et esitasin veel ühe taotluse, kuid kuna meil on tulemüüri teema, on võimalik, et selgitate, kuidas neid samu käske rakendada tulemüüride graafilistes liidestes, näiteks gufw või firestarter.
Esiteks, aitäh.
Tervitused.
Seletan Firestarterit, gufw, ma olen seda ainult näinud ega kasutanud sellisena, võib-olla selgitan lühidalt või võib-olla elav tee seda ise 🙂
Siis, kui tahan end häkkerina tunda, loen seda, tahtsin alati õppida turvalisuse kohta
Suurepärane õpetus tundub mulle hästi selgitatud ja kuigi see on samm-sammult parem, nagu öeldakse, mannekeenide jaoks.
Tervitused.
hahahaha aitäh 😀
Suurepärane.
Selgelt seletatud.
See on vajalik läbi lugeda ja uuesti lugeda, kuni teadmised on kinnitatud, ja jätkake seejärel järgmiste õpetustega.
Täname artikli eest.
Aitäh 😀
Olen püüdnud seda seletada nii, nagu sooviksin seda mulle esimest korda selgitada, LOL !!
Tervitused 🙂
Väga hea, testin ja see töötab õigesti, mis vastab reeglite automaatsele käivitamisele alguses. Jätan selle siis, kui avaldate teise osa, kuni mul on veel natuke tööd käskude tippimisega iga kord, kui taaskäivitan PC, tänan sõpra tuto ja selle avaldamise eest.
aitäh soovituse ja selgituste eest.
Näete, mis kehtib iptablesi puhul järgmistega:
sudo iptables -L
Täpne 😉
Lisan n tegelikult:
iptables -nLTäname õpetuse eest, ootan huviga teist osa, tervitusi.
millal tuleb teine osa välja
Mul on Machine1-s kalmaaridega puhverserver, see võimaldab Interneti-sirvimist teistele selle laniga 192.168.137.0/24 asuvatele masinatele ja see kuulab saidil 192.168.137.22:3128 (avan port 3128 kõigile, kellel on taaskäivitaja), Machine1-st, kui panin Firefoxi kasutama puhverserverit 192.168.137.22:3128 see töötab. Kui mujalt arvutist, mille ip on 192.168.137.10, näiteks Machine2, seadsin ma selle puhverserveriks 192.168.137.22:3128, siis see ei tööta, välja arvatud juhul, kui Machine1-sse panin Firefoxi, et Interneti-ühendust laniga jagada, siis kui puhverserver töötab, vooandmed toimuvad puhverserveri kaudu, kuid kui Machine2-s eemaldavad nad puhverserveri kasutamise ja suunavad lüüsi õigesti, saavad nad vabalt navigeerida.
Mis see on?
Millised oleksid reeglid iptablesiga?
"Püüan jääda jõu varjuküljele, sest seal on elumõnu." ja jedide deliiriumiga hahahahaha
Väga hea! Olen natuke hiljaks jäänud, eks? haha postitus on umbes 2 aastat vana, aga ma olin enam kui kasulik .. tänan teid, et selgitasite seda nii lihtsalt, et saaksin sellest aru, haha jätkan teiste osadega ..
Täname, et lugesite 🙂
Jah, postitus ei ole täiesti uus, kuid on siiski väga kasulik, peaaegu mitte midagi pole muutunud tulemüüride tööviisil viimase kümne aasta jooksul
Tervitused ja aitäh kommenteerimise eest
Milline seletus lillede ja kõigega. Olen algaja kasutaja, kuid soovin palju õppida Linuxi. Hiljuti lugesin postitust nmap-skripti kohta, et näha, kes on minu võrguga ühenduses, ja mitte teid pikaks ajada. Selle postituse kommentaaris ütles kasutaja, et Rakendame kuulsat esimest rida, mille panite iptables'ist ja sellest piisas ning kuna ma olen tohutu noobster, siis rakendasin seda, kuid nagu te siin kirjutasite, ei sisenenud see Internetti 🙁
Tänan teid selle postituse eest, mis selgitab iptable'i kasutamist, loodan, et pikendate seda ja selgitate täielikult selle täielikku toimimist. Terviseks!
Täname teid lugemise ja kommenteerimise eest 🙂
iptables on fenomenaalne, see teeb oma ülesande nii välja lülitada, et nii hästi, et ... me ei saa isegi ise välja tulla, see on kindel, kui me ei tea, kuidas seda konfigureerida. Seetõttu olen püüdnud iptable'e võimalikult lihtsalt lahti seletada, sest mõnikord pole kõigil võimalik esimest korda millestki aru saada.
Täname kommentaari eest, lugupidamine ^ _ ^
PS: postituse pikendamise kohta on siin 2. osa: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Noh, tänan teid väga, kui ma lugesin teist osa ja hakkasin kohe teie tohutu giidiga konsoolil mängima. Suur aitäh, hei, muide, ma loodan, et saate mind aidata, kuna mul on veidi kahtlusi ja nagu te teate, et ma olen algaja, kes üritab selle imelise tasuta tarkvara kohta teada saada, siis mul oli hiljuti installitud teine distro millele muutsin faili dhcp.config rida ja jätsin selle järgmiselt:
#saada hostinimi ""; Noh, see töötas minu jaoks selles distroos ja kõik oli korras, minu ruuteri dhcp-serveris ei ilmu minu pc-nime, ainult arvuti ikoon, kuid selles uues distroos muutsin sama rida, jättes selle samaks, kuid see ei töötanud. Kas saaksite mind natuke suunata? 🙁 Palun ...
Kuna see võib olla midagi keerukamat või ulatuslikumat, looge teema meie foorumisse (foorum.desdelinux.net) ja seal aitame teid koos 🙂
Täname lugemast ja kommenteerimast
Valmis, aitäh vastuse eest. Homme hommikul tegelen teemaga ja loodan, et saate mind aidata, tervitusi ja muidugi kallistust.
Suurepärane artikkel.
Kas arvate, et saan selle abil oma majas iptablesi abil tulemüüri rakendada või pean midagi muud teadma? Kas teil on seadistamise õpetus või koos nende artiklitega jääb see alles?
osas
Tegelikult on see olnud põhitõde ja vahend: kui soovite midagi täpsemat (nt ühenduse piirangut jne), saate siin vaadata kõiki postitusi, mis räägivad iptablesist - https://blog.desdelinux.net/tag/iptables
Sellega on mul aga peaaegu kogu minu kohalik tulemüür 🙂
Need ei tundu alustuseks üldse halvad.
Kuid see muudaks midagi.
Ma loobuksin sisendist ja edastaksin väljendi
-P INPUT -m olek –riik on asutatud, SEOTUD -j VÕTTA
Sellest piisaks, et iptablesis olev uustulnuk oleks "üsna ohutu"
Seejärel avage vajalikud sadamad.
Mulle leht väga meeldib, neil on väga häid asju. Aitäh jagamast!
Tervitused!
Head ööd kõigile kommenteerijatele, kuid vaatame, kas saate selgitada, miks ma olen kanalisatsioonis rohkem eksinud kui hunt, olen Kuuba ja arvan, et läheme alati igas võimalikus teemas edasi ja hästi: teema !!!
Mul on server UBUNTU Server 15 ja selgub, et mul on seal hostitud teenus, mida pakub teine voogesitusprogramm, kuid proovin seda juhtida MAC-aadressi kaudu nii, et juhuslikult selle valiva pordi juhtimine näiteks 6500 Keegi ei saa selle pordi kaudu siseneda, kui see pole koos iptablesis märgitud MAC-aadressiga. Ma tegin selle artikli number üks konfiguratsioonid ja see töötab väga aaaaaaaaaaaaaaaaaaaaaaaayyayyayya, paremini kui tahtsin, kuid olen otsinud teavet Todooooooooooooooo-st ja ma ei leidnud õnnelikku konfiguratsiooni, mis võimaldaks Mac-aadressil kasutada ainult teatud porti ja mitte midagi muud.
ette tänades!
Tere, kuidas läheb, lugesin artiklit iptables algajatele, see on väga hea, õnnitlen teid, ma ei tea linuxist palju, nii et ma tahan teile küsimuse esitada, mul on probleem, kui saate mind aidata, ma tänan teid, mul on server mitu IP-d ja iga paari päeva tagant, kui server saadab serveris olevate IP-de kaudu e-kirju, lõpetab ta meilide saatmise, nii et selleks, et ta saaks uuesti e-kirju saata, pean panema:
/etc/init.d/iptables peatub
Kui ma selle panin, hakkab see uuesti e-kirju saatma, kuid mõne päeva pärast blokeeritakse see uuesti, kas oskate öelda, millised käsud mul on vaja panna, et server ei blokeeriks IP-sid? Lugesin ja lehel öeldu põhjal Need 2 rida tuleks lahendada:
sudo iptables -A SISEND -i lo -j VASTU
sudo iptables -A INPUT -m olek – riik MÄÄRATUD, SEOTUD -j ACCEPT
aga kuna ma ei tea, kas see nii on, tahtsin enne nende käskude sisestamist näha, kas sellega ei blokeerita enam serveri IP-sid, siis ootan teie kiiret vastust. Tervitades. Nicholas.
Tere, tere hommikust, lugesin teie väikest õpetust ja see tundus väga hea ning sel põhjusel tahaksin teile küsimuse esitada:
Kuidas saab lo liidese (localhost) kaudu sisestatud taotlusi suunata teise arvutisse (teine IP) sama porti, kasutan midagi sellist
iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –to 148.204.38.105:3306
kuid see ei suunata mind ümber, jälgin porti 3306 koos tcpdumpiga ja kui see võtab vastu pakette, kuid ei saada neid uuele IP-le, aga kui esitan teisest arvutist päringuid, suunab ta need ümber. Lühidalt, see suunab ümber selle, mis tuleb läbi -i eth0, kuid mitte selle, mis tuleb läbi -i lo.
Eelnevalt hindan palju või vähe abi, mida saate mulle anda. salu2.
Tere, kuidas läheb, leht on väga hea, sellel on palju teavet.
Mul on probleem ja ma tahtsin teada, kas saate mind aidata, mul on PowerMta installitud Centos 6 koos Cpaneliga, probleem on see, et mõne päeva pärast lõpetab PowerMta e-kirjade saatmise väljastpoolt, see on nagu ip-d on blokeeritud, ja iga päev pean panema käsu /etc/init.d/iptables stop, sellega hakkab PowerMta uuesti välismaale e-kirju saatma, nii et probleem lahendatakse paar päeva, kuid siis juhtub see uuesti.
Kas teate, kuidas saan probleemi lahendada? Kas on midagi, mida saan serveris või tulemüüris konfigureerida, nii et seda enam ei juhtuks? Kuna ma ei tea, miks see juhtub, siis kas saate mind aidata aitäh, loodan, et vastate kiiresti.
Tervitused.
Nicholas.
Suurepärane ja väga selge seletus, olen otsinud raamatuid, kuid need on väga mahukad ja mu inglise keel pole eriti hea.
Kas teate mõnda raamatut, mida soovitate hispaania keeles?
Kuidas oleks hea hommikuga, väga hästi selgitatud, kuid mul pole ikkagi Interneti-sissepääsu, ma selgitan, et mul on Ubuntuga server, millel on kaks võrgukaarti, ühel on see konfiguratsioon Link link: Ethernet HWaddr a0: f3: c1: 10 : 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 ja teine selle teise linkkarbiga: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64 Bcast: 192.168.1.255 Mask: 255.255.255.0, kus teine on minu väraval, mis on 192.168.1.64, kuid esimene kaart on see, mis kontrollib minu kaameraid ja ma tahan neid näha oma Interneti-ühenduse kaudu oma fikseeritud ip-st ,,, ma näen neid lan, kuid mitte Internetist, kas saaksite mind selles aidata? või kui minu ruuter on valesti konfigureeritud, on see tp-link archer c2 ,,, aitäh
Tere, tegin seda just oma serveris ja teate, kuidas ma saaksin selle taastada?
Iptable -P sisendi langus
Jätan teile oma e-maili ing.lcr.21@gmail.com
Olen üsna palju otsinud selle sisuga kvaliteetseid postitusi või blogipostitusi. Googeldades leidsin selle veebisaidi lõpuks üles. Selle artikli lugemisega olen veendunud, et olen leidnud selle, mida otsisin või vähemalt on mul selline kummaline tunne, olen avastanud täpselt selle, mida vajasin. Muidugi panen teid seda veebisaiti unustama ja soovitan, kavatsen teid regulaarselt külastada.
seoses
Ma õnnitlen teid tõesti! Olen lugenud palju iptable'i lehti, kuid ühtegi pole nii lihtsalt selgitatud kui teie; suurepärane selgitus !!
Täname, et teete nende selgitustega mu elu lihtsamaks!
Korraks tunnen araabia keelt xD
Minu õpetaja kasutab seda õpetamiseks, tänamiseks ja tervitamiseks. jõuk