Oletame, et meil on oma reeglid iptables juba mõelnud, kuid hoolimata sellest, kui hästi me neid terminali kirjutame, on arvuti taaskäivitamisel justkui poleks neid reegleid kunagi deklareerinud ... see tähendab, et iga kord, kui taaskäivitame arvuti, on meil kehtivad reeglid või muudatused valmistatud iptables on kadunud.
Selle vältimiseks on mitu lahendust ... Ma räägin teiega siin viisist, kuidas ma veendun, et seda ei juhtuks 🙂
Teades, milliseid reegleid kasutada, panime need faili (/ etc / iptables-script näiteks) ja anname sellele täitmisõigused (chmod + x /etc/iptables-script.sh), kui see on tehtud, on jäänud veel ainult üks samm 😉
Toon näitena reeglid iptables mida ma kasutan minu sülearvuti, Jätan nad pasta meie: Pasta nr.4411
1. Mul on need reeglid ja ma panin need faili nimega: iptables-skript , mis asub /jne/
2. Siis annan talle õigused käivitamiseks: chmod + x / etc / iptables-script
3. Ja nüüd, viimane samm, peame süsteemile käskima selle skripti käivitamisel käivitada, selleks panime selle faili /etc/rc.local. Minu rc.localit näete siin: Pasta nr.4412
Valmis, mitte midagi muud, arvuti käivitamisel kehtivad reeglid (jah, nad on kõik 100% korras) 😀
Ja ärge muretsege ... tuleb VÄGA üksikasjalik õpetus (loodan selle varsti lõpetada) iptables, mis on suunatud algajatele, selgitas üsna lõbusat ja lihtsat 🙂
seoses
Suur aitäh info eest. IPtables on ootel teema, mida ma venitan alati teiseks korraks. Õpetuse ootel! Eelkõige tahaksin, et saaksin ssh kaudu ühendada oma koduarvutiga kõikjalt, kuid see on minu jaoks keeruline, kuna kodus on mul ruuter ja IP, mida Interneti-teenuse pakkuja mulle pakub, muutub sageli. No-ip.org-i kaudu olen suutnud luua hosti, küsimus on selles, et mulle tundub, et olen blokeerinud pordid (ruuterilt ja ma ei tea, kas see toimub ka IPTable-ide kaudu). Igatahes, nagu ma enne ütlesin, juhendajat oodates!
Tere ja tere tulemast 😀
Ruuteri kohta, mida ma ei tea, aga see võib olla jah ... selle võib seal blokeerida. Nüüd, kui te ei kasuta ühtegi tulemüüri, piisab teie arvutis SSH installimisest ja selle käivitamisest ning voila, port 22 avage parooli küsimine 🙂
Töötan teise õpetuse kallal, seletan seda tõesti väga didaktiliselt ja lihtsalt haha.
Tervitused ja tänud kommentaari eest 😀
Teine siin ootab uusi asju iptablesi kohta
See on teel 😀
Täname peatumast ja kommenteerimast ^ - ^
Noh, see iptables on üks kõige põnevamaid asju, mida ma siiani ei tea, kuid vähene, mida olen näinud, viitab sellele, et aastaid tagasi pidin otsustama kasutada Gnu / Linuxi. Mulle meeldib see….
Hea sõber, ma ootan alati teie poolt avaldatud häid õpetusi. Iptables ootab teid.
Vend,
Kuid kas see masin toimib puhverserverina või on see lihtsalt Interneti-ühenduse loomiseks ja kaitstud? On asju, millest ma aru ei saa.
Puhverserveri kohta pole midagi, puhverserveri jaoks peaksite avama ka selle teenuse porti (näiteks 3128). Ärge muretsege, ma panen õpetuse, mis selgitab iptables 😀
Debianis on üks viis reeglite automaatseks laadimiseks installida pakett iptables-persistent (näib vähe tuntud)
Hakkasin seda varianti kasutama, kuid lõpuks otsustasin paigutada skripti kausta /etc/network/if-pre-up.d/, et saaksin teha muid täpsemaid asju, näiteks seada piiravaid reegleid, näiteks varukoopia juhuks, kui on peamised reeglid.
Kas saaksite selgitada, mida te kleepis nr 4411 kehtestate? Ma lugesin seda, aga ma ei tea, mis temaga on!
(Juhul kui olete juba mõne teise õpetuse postitanud, vabandage küsimust, kuid ma otsisin iptablesi ja leidsin mõned õpetused)
Ja teisest küljest on see, mida nad mainivad iptables-persistent paketis, teie mainitud aseainena?
Praegu rakendan juba seda, mida te üksikasjalikult kirjeldate https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Tere 😀
Jah, see pole tegelikult nii keeruline.
- Kõigepealt määrasin muutujad, et salvestada mõne lisamärgi kirjutamine, see alates ridadest 4 kuni 18.
- Pärast 23. kuni 25. puhastan kõik, mis olen kirjutanud iptablesi, mis on tühi või 100% puhas, siis kirjutan reeglid.
- Aastatel 29 ja 30 kinnitan, et vaikimisi EI Luba oma sülearvutil sissetulevat liiklust (sisendit) ega seda läbivat liiklust (edasi)
- 34-s ütlen, et lo (lo = localhost, mis on sülearvuti ise) saab võrku kasutada.
- 38-s täpsustan, et minu algatatud ühendused, kui need ühendused genereerivad pakette, mis üritavad arvutisse siseneda, kuna olin nende pakettide algus (kuna need olid loodud minu poolt tehtud toimingutega), siis saavad nad sisestada .
- Nüüd hakkan alates 42. aastast lubama erinevat tüüpi ühendusi või erinevate sadamate kaudu. See tähendab, et punktis nr 42 luban sissetulevat pingimist koduvõrgust (muutuja casa_network) IP-le, mis mu sülearvutil kodus on (muutuja geass_casa_lan).
- 43-s sama, kuid antud juhul täpsustan, et see on minu kodus oleva sülearvuti IP, jah, kuid kohtvõrgu asemel toimub see Wifi kaudu.
- Ja sellest ajast alates on sama tüüpi reeglid ... lubage juurdepääs teatud portidele või teenustele, mis mul sülearvutis on, teatud IP-dele või võrkudele 🙂
Ma tõesti soovitan teil seda lugeda: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Kui pärast seda on teil teatud reeglites endiselt kahtlusi, küsige minult siin või foorumi kaudu (http://foro.desdelinux.net) ja ma tõesti selgitan, mida see nõuab 🙂
Umbes iptables-persistent, ma pole seda tegelikult kasutanud, ma ei saa teile kinnitada ... juhtub, et pakettide, täpsemalt iptablesi filtreerimine on väga delikaatne asi, sest suur osa meie süsteemi turvalisusest sõltub sellest ja sel põhjusel, kui olen milleski kindel, siis ei taga ma selle õiget toimimist.
Tervitused 😀
Aitäh vastuse eest. Jah, ma lugesin linki, mille te mulle andsite! Tegelikult rakendatakse neid seni, kuni ma välja lülitan / taaskäivitan sudo iptables -A SISEND -i lo -j VASTU
sudo iptables -A INPUT -m olek – riik MÄÄRATUD, SEOTUD -j ACCEPT (pluss eelmine selles postituses mainitud).
Pärast paari lugemist tulemüüridest ja sellest, kuidas ma olen sunnitud pidama ühendust ja vastu võtma faile, mis tulevad arvutitelt koos M $ -ga, tundus iptablesi rakendamine õige.
Kui kopeerin kleebise nr 4411 sisu oma märkmikku, kas peaksin midagi muutma või see lihtsalt töötaks?
Iga arvuti on erinev, sest iga kasutaja on. Kõigepealt peate määratlema, millised teenused teil arvutis on (veeb jms), ja teadma, milliseid teenuseid soovite avalikud olla (millele teised pääsevad juurde) ja milliseid mitte.
Oma skriptis (mida ma pean nüüd muutma hehe) määran, et veebiserver (HTTP) on teatud IP-de jaoks nähtav, ping lubab seda kõigile teatud võrkudes jne jne jne.
Kui vajad abi, kirjuta minu isiklikule meilile, aitan sind hea meelega: kzkggaara[@]desdelinux[.]net
Või jätke postitus meie foorumisse ja rohkem kasutajaid aitab teid: http://foro.desdelinux.net
Panen foorumis teema kokku, aitäh vastuste eest. Ja valmistu veel paariks kahtluseks heh! Igatahes loen natuke teemat, et mitte kuritarvitada
testimine ... et näha, kas te mind vastu võtate, on mul palju küsimusi teile esitada!
Tere, vennas, tahtsin näha, kas peale selle postituse on veel õpetusi, mida alustan iptablesis ja tahan ennast dokumenteerida