Olen aina ajatellut, että turvallisuus ei koskaan satuta, eikä se ole koskaan tarpeeksi (siksi vilkas Hän leimaa minut pakkomielteiseksi ja psykoottiseksi turvallisuusmaniakiksi ...), joten vaikka käytän GNU / Linuxia, en unohda järjestelmän, salasanojen (satunnaisesti tuotettu pwgen), jne..
Lisäksi, vaikka järjestelmätyyppi unix ovat epäilemättä erittäin turvallisia, on epäilemättä suositeltavaa käyttää a palomuuri, määritä se oikein, jotta se olisi mahdollisimman suojattu 🙂
Tässä selitän sinulle ilman suurta hässäkkää, takertumista tai monimutkaisia yksityiskohtia siitä, kuinka tietää perusasiat iptables.
Mutta … Mikä helvetti on iptables?
iptables Se on osa Linux-ydintä (moduuli), joka käsittelee pakettisuodatusta. Tämä sanoi toisella tavalla, se tarkoittaa sitä iptables Se on ytimen osa, jonka tehtävänä on tietää, mitä tietoja / tietoja / paketteja haluat syöttää tietokoneellesi ja mitkä (ja tekee enemmän asioita, mutta keskitytään nyt tähän. hehe).
Selitän tämän toisella tavalla 🙂
Monet heidän alueillaan käyttävät palomuureja, Firestarter o firehol, mutta nämä palomuurit todella "takaapäin" (taustalla) käyttöä iptables, niin ... miksi ei käyttää suoraan iptables?
Ja sen selitän lyhyesti tässä 🙂
Onko toistaiseksi epäilyksiä? 😀
Työskennellä yhdessä iptables on oltava järjestelmänvalvojan oikeudet, joten tässä käytän sudo (mutta jos kirjoitat kuten juuri, ei ole tarvetta).
Jotta tietokoneemme olisi todella turvallinen, meidän on sallittava vain se, mitä haluamme. Näet tietokoneen ikään kuin se olisi oma koti. Kotona oletuksena EI anna kenenkään tulla sisään, vain tietyt tietyt henkilöt, jotka olet aiemmin hyväksynyt, eikö? Palomuurien kanssa se tapahtuu samalla tavalla. Kukaan ei voi oletusarvoisesti päästä tietokoneellemme, vain ne, jotka haluavat päästä sisään, voivat tulla 🙂
Tämän saavuttamiseksi selitän, tässä ovat vaiheet:
1. Avaa pääte, aseta siihen seuraava ja paina [Tulla sisään]:
sudo iptables -P INPUT DROP
Tämä riittää, jotta kukaan, ehdottomasti kukaan ei pääse tietokoneellesi ... ja tämä "kukaan" ei sisällä sinua
Edellisen rivin selitys: Sen avulla ilmoitamme iptablesille, että kaiken, mikä haluaa tulla tietokoneellemme (INPUT), oletuskäytäntö (-P) on sivuuttaa se, ohittaa se (DROP)Kukaan ei ole varsin yleinen, itse asiassa ehdoton, etkä sinäkään voi selata Internetiä tai mitään, siksi meidän on tuossa terminaalissa laitettava seuraava ja painettava [Tulla sisään]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... en ymmärrä paskaa, Mitä nämä kaksi outoa linjaa tekevät nyt? ...
Yksinkertainen 🙂
Ensimmäisenä rivinä sanotaan, että tietokone itse (-i lo ... muuten, lo = paikallinen isäntä) voi tehdä mitä haluaa. Jotain ilmeistä, mikä saattaa tuntua absurdilta ... mutta uskokaa minua, se on yhtä tärkeää kuin ilma haha.
Toinen rivi, jonka selitän käyttämällä aiemmin käyttämääni esimerkkiä / vertailua / metaforaa, tarkoitan verrata tietokonetta taloon 🙂 Oletetaan esimerkiksi, että asumme talossamme useamman ihmisen kanssa (äiti, isä, veljet, tyttöystävä jne.) ). Jos joku näistä ihmisistä lähtee talosta, onko selvää / loogista, että päästämme heidät sisään palattuaan, ei?
Juuri niin tuo toinen rivi tekee. Kaikki aloittamamme yhteydet (jotka tulevat tietokoneeltamme), kun haluat tämän yhteyden kautta syöttää joitain tietoja, iptables päästää nämä tiedot sisään. Vielä yksi esimerkki sen selittämiseksi, jos yritämme selata selainta Internetissä, ilman näitä kahta sääntöä emme voi, no kyllä ... selain muodostaa yhteyden Internetiin, mutta kun se yrittää ladata tietoja (.html, .gif jne.) Tietokoneellemme näyttää meille, et voi iptables Se estää pakettien (datan) syöttämisen, kun taas näiden sääntöjen mukaisesti, kun aloitamme yhteyden sisäpuolelta (tietokoneeltamme) ja että sama yhteys yrittää syöttää tietoja, se sallii pääsyn.
Kun tämä on valmis, olemme jo ilmoittaneet, että kukaan ei pääse mihinkään palveluun tietokoneellamme, kukaan muu kuin itse tietokone (127.0.0.1) ja lukuun ottamatta itse tietokoneessa käynnistettyjä yhteyksiä.
Selitän nyt vielä yhden yksityiskohdan nopeasti, koska tämän opetusohjelman toinen osa selittää ja käsittelee enemmän tätä heheä, en halua edetä liikaa 😀
Sattuu, että heillä on esimerkiksi verkkosivusto, joka on julkaistu tietokoneellaan, ja he haluavat, että jokainen näkee kyseisen verkkosivuston, kuten aiemmin ilmoitimme, että kaikki oletuksena EI ole sallittua, ellei toisin mainita, kukaan ei näe verkkosivusto. Nyt saamme kuka tahansa näkemään verkkosivustomme tai verkkosivustomme, joita meillä on tietokoneellamme. Tätä varten laitamme:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Tämä on hyvin helppo selittää 😀
Tällä rivillä ilmoitamme, että hyväksyt tai sallit (-J HYVÄKSY) kaikki liikenne satamaan 80 (–Tuki 80) tee siitä TCP (-p tcp) ja että se on myös saapuvaa liikennettä (-TULO). Laitoin portin 80, koska se on verkkopalvelimen portti, toisin sanoen ... kun selain yrittää avata sivuston X-tietokoneella, se näyttää aina oletusarvoisesti kyseisessä portissa.
Nyt ... mitä tehdä, kun tiedät, mitkä säännöt on asetettava, mutta kun käynnistämme tietokoneen uudelleen, näemme, että muutoksia ei tallennettu? ... no, tein jo tänään toisen opetusohjelman:
Kuinka käynnistää iptables-säännöt automaattisesti
Siellä selitän sen yksityiskohtaisesti 😀
Ja tässä loppuu 1. opetusohjelma päälle iptables aloittelijoille, uteliaita ja kiinnostuneita 😉 ... älä huoli, se ei ole viimeinen hehe, seuraava käsittelee samoja, mutta tarkempia sääntöjä, yksityiskohtaisesti kaikkea hieman ja lisää turvallisuutta. En halua laajentaa tätä paljon enemmän, koska todellisuudessa on välttämätöntä, että tukikohdat (mitä luet täällä alussa) ymmärtävät sen täydellisesti 🙂
Terveisiä ja ... tule, selvitän epäilyt, kunhan tiedät vastauksen LOL !! (En ole tämän asiantuntija ylivoimaisesti hahaha)
Oikein hyvä! Vain kysymys? Onko sinulla aavistustakaan oletusasetuksista? Kysymys on vainoharhainen, että olen vain: D.
Paljon kiitoksia.
Oletuksena hyvin, oletusarvoisesti se hyväksyy kaiken. Toisin sanoen tietokoneellesi asettama palvelu ... palvelu, joka on julkista loput 😀
Sinä ymmärrät?
Joten ... kun et halua X-verkkosivuston näkevän sen JA Ystäväsi tai tietyn IP-osoitteen, tulee palomuuri, htaccess tai jokin tapa estää pääsy.
Terveisin,
Veli, erinomainen !!!! Luen nyt ensimmäisen ...
Kiitos avusta…
disla
Kiitos opetusohjelmasta, se on kätevä.
Ainoa asia, jonka haluan tietää tai varmistaa, on, että minulla ei näillä ohjeilla ole ongelmia esimerkiksi tehdä p2p-siirtoja, ladata tiedostoja tai soittaa videopuheluita. Lukemani ei, ei pitäisi olla mitään ongelmia, mutta mieluummin on varmistettava ennen kuin kirjoitan riveille.
Kiitos nyt.
Tervehdys.
Sinulla ei pitäisi olla ongelmia, mutta tämä on melko peruskokoonpano, seuraavassa opetusohjelmassa selitän tarkemmin, kuinka voit lisätä omat säännöt, riippuen kunkin tarpeesta jne. 🙂
Mutta toistan, että sinulla ei pitäisi olla ongelmia, jos sinulla on niitä, käynnistä tietokone uudelleen ja voila, ikään kuin et olisi koskaan määrittänyt iptablesia 😀
Uudelleenkäynnistää ? Se kuulostaa hyvin ikkunalliselta. Pahimmassa tapauksessa sinun on vain huuhdeltava iptables-säännöt ja asetettava oletuskäytännöksi ACCEPT ja asia on korjattu, joten rockandroleo, sinulla ei ole ongelmia.
Saludos!
Ja anteeksi, kun pyysin toista pyyntöä, mutta koska olemme palomuurin aiheena, on mahdollista, että selität, kuinka näitä samoja komentoja käytetään graafisissa palomuuriliitännöissä, kuten gufw tai firestarter.
Ensinnäkin, kiitos.
Tervehdys.
Selitän Firestarterin, gufw, olen vain nähnyt sen enkä käyttänyt sitä sellaisenaan, ehkä selitän sen lyhyesti tai ehkä vilkas tee se itse 🙂
Sitten kun tunnen olevani hakkeri, luen sen, halusin aina oppia turvallisuudesta
Erinomainen opetusohjelma, näyttää siltä, että se on hyvin selitetty, ja vaikka se on askel askeleelta, sitä parempi, kuten sanotaan, nukkeille.
Tervehdys.
hahahaha kiitos 😀
Loistava.
Selvästi selitetty.
Meidän täytyy lukea se ja lukea se uudelleen, kunnes tieto on ratkaistu, ja jatkaa sitten seuraavilla opetusohjelmilla.
Kiitos artikkelista.
Kiitos 😀
Olen yrittänyt selittää sen, koska olisin halunnut sen selitettävän minulle ensimmäistä kertaa, LOL!
Terveisiä 🙂
Erittäin hyvä, testaan ja se toimii oikein, mikä vastaa sääntöjen automaattista käynnistämistä alussa. Jätän sen, kun julkaiset toisen osan, kunnes minulla on vielä vähän työtä kirjoittamalla komennot joka kerta kun käynnistän uudelleen PC, kiitos ystävästä tutosta ja kuinka nopeasti julkaisit sen.
kiitos suosituksesta ja selityksistä.
Näet, mitä koskee iptables seuraavilla tavoilla:
sudo iptables -L
Tarkka 😉
Lisään n itse asiassa:
iptables -nL
Kiitos opetusohjelmasta, odotan innolla toista osaa, tervehdyksiä.
milloin toinen osa ilmestyy
Minulla on välityspalvelin kalmareilla Machine1: ssä, se antaa Internet-selauksen muille koneille tällä LAN 192.168.137.0/24: llä ja se kuuntelee 192.168.137.22:3128 (avaan portin 3128 kaikille, joilla on firestarter), Machine1: stä, jos laitoin Firefoxin käyttämään välityspalvelinta 192.168.137.22:3128, se toimii. Jos toiselta tietokoneelta, jonka IP-osoite on 192.168.137.10, esimerkiksi Machine2, asetin sen käyttämään välityspalvelinta 192.168.137.22:3128, se ei toimi, paitsi jos koneeseen 1 laitoin firestarterin jakamaan Internetiä LAN-verkon kanssa, siellä jos välityspalvelin toimii, virtaustiedot kulkevat välityspalvelimen kautta, mutta jos Machine2: ssä ne poistavat välityspalvelimen käytön ja osoittavat yhdyskäytävän oikein, he voivat navigoida vapaasti.
Mitä tämä on?
Mitkä säännöt olisivat iptablesin kanssa?
"Yritän pysyä voiman pimeällä puolella, koska siellä on elämän hauskaa." ja jedien deliriumilla hahahahaha
Oikein hyvä! Olen vähän myöhässä, eikö? haha viesti on noin 2 vuotta vanha, mutta olin enemmän kuin hyödyllinen .. Kiitos, että selitit sen niin helposti, että voisin ymmärtää sen haha jatkan muiden osien kanssa ..
Kiitos lukemisesta 🙂
Kyllä, viesti ei ole aivan uusi, mutta se on silti erittäin hyödyllinen, melkein mikään ei ole muuttunut palomuurien toiminnassa viimeisen vuosikymmenen aikana
Terveisiä ja kiitos kommenteista
Mikä selitys kukilla ja kaikella. Olen "aloittelija" käyttäjä, mutta haluan paljon halua oppia Linuxia. Luin äskettäin nmap-komentosarjaa käsittelevän viestin nähdäksesi, kuka on liittynyt verkkooni, eikä viivästyttäisi sinua. Käyttäjä sanoi kyseisen viestin kommentissa Käytämme kuuluisaa ensimmäistä riviä, jonka laitoit iptablesista, ja se riitti, ja koska olen valtava noobster, käytin sitä, mutta kuten olet kirjoittanut täällä, se ei päässyt Internetiin 🙁
Kiitos tästä iptablesin käyttöä selittävästä viestistä, toivottavasti laajennat sitä ja selität minulle täysin sen täydellisen toiminnan. Kippis!
Kiitos lukemisesta ja kommentoinnista 🙂
iptables on ilmiömäinen, se tekee työnsä sulkemalla niin hyvin, että ... emme edes pääse itsestämme, se on varmaa, ellemme osaa konfiguroida sitä. Siksi olen yrittänyt selittää iptables mahdollisimman yksinkertaisesti, koska joskus kaikki eivät pysty ymmärtämään jotain ensimmäistä kertaa.
Kiitos kommentista, terveisin ^ _ ^
PS: Tietoja viran jatkamisesta, tässä on 2. osa: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
No, kiitos paljon, jos luin toisen osan ja aloin heti pelata konsolilla valtavan oppaasi kanssa. Paljon kiitoksia, hei muuten toivon, että voit auttaa minua, koska minulla on vähän epäilyksiä ja kuten tiedätkin, että olen aloittelija, joka yrittää oppia tästä upeasta ilmaisesta ohjelmistosta, siihen pisteeseen, minulla oli äskettäin asennettu erilainen distro johon muokkain tiedostoa dhcp.config ja jätin sen näin:
#lähetä isäntänimi ""; No, se toimi minulle siinä distrossa ja kaikki oli hyvin, tietokoneeni nimeä ei näy reitittimeni dhcp-palvelimessa, vain tietokoneen kuvake, mutta tässä uudessa distrossa muokkain samaa riviä ja jätin sen samalla, mutta se ei toiminut. Voisitko ohjata minua vähän? 🙁 Ole hyvä ...
Koska tämä voi olla jotain monimutkaisempaa tai laajempaa, luo aihe foorumillemme (foorumi.desdelinux.net) ja siellä autamme sinua yhdessä 🙂
Kiitos lukemisesta ja kommentoinnista
Valmiina, kiitos vastauksesta. Huomenna aamulla teen aiheen ja toivon, että voit auttaa minua, tervehdyksiä ja tietysti halauksen.
Erinomainen artikkeli.
Luuletko, että tämän avulla voin toteuttaa palomuurin talossani iptablesin avulla vai onko minun tiedettävä jotain muuta? Onko sinulla kokoonpano-opetusohjelmaa tai näiden artikkelien kanssa se jää jäljelle?
terveiset
Itse asiassa tämä on ollut perusasiat ja keinot. Jos haluat jotain edistyneempää (kuten yhteysraja jne.), Voit tarkistaa kaikki iptablesista kertovat viestit täältä - » https://blog.desdelinux.net/tag/iptables
Tällä on kuitenkin melkein kaikki paikalliset palomuurini 🙂
Ne eivät tunnu aluksi ollenkaan pahoilta.
Mutta se muuttaisi jotain.
Pudotan syötteen ja eteenpäin ja hyväksyn tuotoksen
-P SYÖTTÖ -m-tila -VALTIO PERUSTETTU, LIITTYVÄ -j HYVÄKSY
Se riittäisi, että iptablesin newbi olisi "melko turvallinen"
Avaa sitten tarvitsemamme portit.
Pidän todella sivusta, heillä on erittäin hyviä asioita. Kiitos jakamisesta!
Tervehdys!
Hyvää iltaa kaikille kommentoiville, mutta katsotaanpa, voitko selvittää, miksi olen enemmän kadonnut kuin susi viemäriin, olen kuubalainen ja luulen, että menemme aina eteenpäin kaikilla mahdollisilla aiheilla ja hyvin: anteeksi, jos sillä ei ole mitään tekemistä aihe!!!
Minulla on UBUNTU Server 15 -palvelin ja käy ilmi, että minulla on palvelu, jota isännöi toinen ohjelma, joka on TV-suoratoisto, mutta yritän hallita sitä MAC-osoitteen kautta niin, että esimerkiksi satunnaisesti valitsevan portin hallinta Kukaan ei pääse portin kautta, ellei se ole iptablesissa ilmoitetun MAC-osoitteen kanssa. Tein tämän artikkelin numero yksi kokoonpanot ja se toimii hyvinyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy hyvin, paremmin kuin halusin, mutta olen etsinyt tietoa todooooooooooooo, enkä löytänyt onnellista kokoonpanoa, joka sallisi Mac-osoitteen käyttää vain tiettyä porttia eikä mitään muuta.
Kiitos jo etukäteen!
Hei, kuinka voit, luin artikkelin iptables aloittelijoille, se on erittäin hyvä, onnittelen sinua, en tiedä paljon linuxista, siksi haluan esittää sinulle kysymyksen, minulla on ongelma, jos voit auttaa minua, kiitos, minulla on palvelin useita IP-osoitteita ja muutaman päivän välein, kun palvelin lähettää sähköposteja palvelimessa olevien IP-osoitteiden kautta, se lopettaa sähköpostiviestien lähettämisen, joten minun täytyy laittaa:
/etc/init.d/iptables pysähtyy
Kun laitoin sen, se alkaa lähettää sähköposteja uudelleen, mutta muutaman päivän kuluttua se estää uudelleen, voitko kertoa minulle, mitä komentoja minun on annettava, jotta palvelin ei estä ip: tä? Luin ja mitä sanot sivulla, Nämä kaksi riviä olisi ratkaistava:
sudo iptables -A SYÖTTÖ -i lo -j HYVÄKSY
sudo iptables -A TULO -m-tila –tila PERUSTETTU, LIITTYVÄ -j HYVÄKSY
mutta koska en tiedä onko se, niin ennen niiden komentojen asettamista halusin nähdä, eikö palvelimen IP-osoitteita enää estetä, odotan nopeaa vastaustasi. Terveiset. Nicholas.
Hei hyvää huomenta, luin pienen opetusohjelmasi ja se näytti erittäin hyvältä, ja tästä syystä haluaisin esittää sinulle kysymyksen:
Kuinka voin ohjata pyynnöt, jotka tulevat lo-käyttöliittymän (localhost) kautta toiseen tietokoneeseen (toiseen IP: hen) samalla portilla, käytän jotain tällaista
iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –to 148.204.38.105:3306
mutta se ei ohjaa minua uudelleen, seuraan porttia 3306 tcpdumpilla ja jos se vastaanottaa paketteja, mutta ei lähetä niitä uudelle IP: lle, mutta jos teen pyyntöjä toiselta tietokoneelta, se ohjaa ne uudelleen. Lyhyesti sanottuna se ohjaa minut uudelleen sisään -i eth0: n kautta, mutta ei sitä, mikä tulee sisään -i lo: n kautta.
Arvostan etukäteen paljon tai vähän apua, jota voit antaa minulle. salu2.
Hei, kuinka voit, sivu on erittäin hyvä, sillä on paljon tietoa.
Minulla on ongelma ja halusin nähdä, voitko auttaa minua, minulla on PowerMta asennettuna Centos 6: een Cpanelin kanssa. Ongelmana on, että muutaman päivän kuluttua PowerMta lopettaa sähköpostiviestien lähettämisen ulkopuolelle, se on kuin IP: t ovat estettyjä, ja joka päivä minun on asetettava komento /etc/init.d/iptables stop, jolloin PowerMta alkaa lähettää sähköposteja uudelleen ulkomaille, jolloin ongelma ratkaistaan muutaman päivän ajan, mutta sitten se tapahtuu uudelleen.
Tiedätkö, miten voin ratkaista ongelman? Onko jotain, jonka voin määrittää palvelimella tai palomuurissa, jotta se ei toistu? Koska en tiedä miksi näin tapahtuu, voitko auttaa minua kiitos, toivon vastauksesi pian.
Tervehdys.
Nicolas.
Erinomainen ja selkeä selitys, olen etsinyt kirjoja, mutta ne ovat hyvin laajoja ja englannin kieleni ei ole kovin hyvä.
Tiedätkö kirjoja, joita suosittelet espanjaksi?
Entä hyvää huomenta, erittäin hyvin selitetty, mutta minulla ei silti ole sisäänkäyntiä Internetistä, selitän, minulla on palvelin Ubuntulla, jolla on kaksi verkkokorttia, toisella tämä kokoonpanolinkkilinkki: Ethernet HWaddr a0: f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Peite: 255.255.255.0 ja toinen tämän toisen linkkikapasiteetin kanssa: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64. 192.168.1.255 Bcast: 255.255.255.0 Peite: 192.168.1.64, jossa toinen on yhdyskäytäväni, joka on 2, mutta ensimmäinen kortti on se, joka ohjaa kameraani ja haluan nähdä ne Internetistä kiinteä IP-osoitteeni ,,, näen ne lanista, mutta en Internetistä, voisitko auttaa minua tässä? , tai jos reitittimeni on määritetty väärin, se on tp-link archer cXNUMX ,,, kiitos
Hei, tein juuri tämän palvelimellani ja tiedätkö, kuinka voin palauttaa sen?
iptables -P INPUT DROP
Jätän sinulle sähköpostini ing.lcr.21@gmail.com
Olen etsinyt korkealaatuisia viestejä tai blogiviestejä tästä sisällöstä. Googling löysin vihdoin tämän verkkosivuston. Tämän artikkelin lukemisen jälkeen olen vakuuttunut siitä, että olen löytänyt etsimäni tai ainakin minulla on se outo tunne, olen löytänyt juuri sen, mitä tarvitsin. Tietysti varmistan, ettet unohda tätä verkkosivustoa ja suosittelen sitä, aion vierailla säännöllisesti.
terveiset
Onnittelen sinua todella! Olen lukenut monia iptables-sivuja, mutta yksikään ei ole niin yksinkertaisesti selitetty kuin sinun; erinomainen selitys!
Kiitos, että helpoitit elämääni näiden selitysten avulla!
Hetken tunnen arabien xD
Opettajani käyttää tätä opettamiseen, kiitos ja tervehdys. jengi