J'ai toujours pensé que la sécurité ne faisait jamais de mal, et ce n'était jamais assez (Voilà pourquoi animé Il me qualifie de maniaque de la sécurité obsessionnel et psychotique ...), donc même lorsque j'utilise GNU / Linux, je ne néglige pas la sécurité de mon système, mes mots de passe (généré aléatoirement avec pwgen), etc..
De plus, même lorsque le type de système Unix sont sans aucun doute très sûrs, il est sans aucun doute recommandé d'utiliser un Pare-feu, configurez-le correctement, pour être le mieux protégé possible 🙂
Ici, je vais vous expliquer sans trop de tracas, de nœuds ou de détails complexes comment connaître les bases de iptables.
Mais … Qu'est-ce que c'est iptables?
iptables C'est la partie du noyau Linux (un module) qui s'occupe du filtrage des paquets. Cela dit d'une autre manière, cela signifie que iptables est la partie du noyau dont le travail est de savoir quelles informations / données / paquet vous voulez entrer dans votre ordinateur, et quoi non (et fait plus de choses, mais concentrons-nous là-dessus pour l'instant hehe).
Je vais expliquer cela d'une autre manière 🙂
Beaucoup de leurs distributions utilisent des pare-feu, Firestarter o firehol, mais ces pare-feu en fait `` par derrière '' (en arrière-plan) utilisation iptables, alors ... pourquoi ne pas utiliser directement iptables?
Et c'est ce que je vais expliquer brièvement ici 🙂
Jusqu'à présent, y a-t-il un doute? 😀
Travailler avec iptables il est nécessaire d'avoir des autorisations administratives, donc ici je vais utiliser sudo (mais si vous entrez comme racine, il n'y a pas besoin).
Pour que notre ordinateur soit vraiment sécurisé, nous devons seulement autoriser ce que nous voulons. Voyez votre ordinateur comme si c'était votre propre maison. Par défaut, vous NE laissez personne entrer, seules certaines personnes spécifiques que vous avez approuvées auparavant peuvent entrer, n'est-ce pas? La même chose se produit avec les pare-feu, par défaut, personne ne peut entrer dans notre ordinateur, seuls ceux d'entre nous peuvent entrer 🙂
Pour y parvenir, j'explique, voici les étapes:
1. Ouvrez un terminal, mettez-y ce qui suit et appuyez sur [Entrer]:
sudo iptables -P INPUT DROP
Cela suffira pour que personne, absolument personne ne puisse entrer dans votre ordinateur ... et ce "personne" vous inclut 😀
Explication de la ligne précédente: Avec elle, nous indiquons à iptables que la politique par défaut (-P) pour tout ce qui veut entrer dans notre ordinateur (INPUT) est de l'ignorer, de l'ignorer (DROP)Personne n'est assez général, absolu en fait, ni vous-même ne pourrez surfer sur Internet ou quoi que ce soit, c'est pourquoi nous devons dans ce terminal mettre ce qui suit et appuyer sur [Entrer]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... je ne comprends pas la merde, Que font ces deux lignes étranges maintenant? ...
Simple
La première ligne de ce qu'il dit est que l'ordinateur lui-même (-i lo ... au fait, lo = localhost) peut faire ce qu'il veut. Quelque chose d'évident, qui peut même sembler absurde ... mais croyez-moi, c'est aussi important que l'air haha.
La deuxième ligne que je vais expliquer en utilisant l'exemple / la comparaison / la métaphore que j'ai utilisée auparavant, je veux dire comparer l'ordinateur avec la maison 🙂 Par exemple, supposons que nous vivions avec plus de personnes dans notre maison (mère, père, frères, petite amie, etc. ). Si l'une de ces personnes quitte la maison, est-il évident / logique que nous la laisserons entrer une fois de retour, non?
C'est précisément ce que fait cette deuxième ligne. Toutes les connexions que nous initions (qui proviennent de notre ordinateur), lorsque par cette connexion vous souhaitez entrer des données, iptables laissera entrer ces données. En mettant un autre exemple pour l'expliquer, si en utilisant notre navigateur, nous essayons de surfer sur Internet, sans ces 2 règles, nous ne pourrons pas, eh bien oui ... le navigateur se connectera à Internet, mais quand il essaiera de télécharger des données ( .html, .gif, etc.) sur notre ordinateur pour nous montrer, vous ne pourrez pas iptables Il refusera l'entrée de paquets (données), tandis qu'avec ces règles, lorsque nous initierons la connexion de l'intérieur (depuis notre ordinateur) et que cette même connexion est celle qui essaie de saisir des données, cela permettra l'accès.
Avec ceci prêt, nous avons déjà déclaré que personne ne peut accéder à aucun service sur notre ordinateur, personne à part l'ordinateur lui-même (127.0.0.1) et aussi, à l'exception des connexions qui sont démarrées sur l'ordinateur lui-même.
Maintenant, je vais vous expliquer un détail de plus rapidement, car la 2ème partie de ce tutoriel expliquera et couvrira plus sur ce hehe, je ne veux pas trop avancer 😀
Il arrive que, par exemple, ils aient un site Web publié sur leur ordinateur, et ils veulent que ce site soit vu par tout le monde, comme avant nous avons déclaré que tout par défaut n'est PAS autorisé, sauf indication contraire, personne ne pourra voir notre site Web. Maintenant, nous allons faire en sorte que tout le monde puisse voir le site Web ou les sites Web que nous avons sur notre ordinateur, pour cela nous mettons:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
C'est très simple à expliquer 😀
Avec cette ligne, nous déclarons que vous acceptez ou autorisez (-j ACCEPTER) tout le trafic vers le port 80 (–Dport 80) en faire TCP (-p TCP), et qu'il s'agit également du trafic entrant (-UNE ENTRÉE). Je mets le port 80, car c'est le port de l'hôte Web, c'est-à-dire ... lorsqu'un navigateur essaie d'ouvrir un site sur un ordinateur X, il regarde toujours par défaut sur ce port.
Maintenant ... que faire lorsque vous savez quelles règles définir, mais lorsque nous redémarrons l'ordinateur, nous voyons que les modifications n'ont pas été enregistrées? ... eh bien, pour cela j'ai déjà fait un autre tutoriel aujourd'hui:
Comment démarrer automatiquement les règles iptables
Là je l'explique en détail 😀
Et ici se termine le 1er tutoriel sur iptables pour les débutants, curieux et intéressés 😉 ... ne vous inquiétez pas, ce ne sera pas le dernier hehe, le prochain traitera des mêmes règles, mais plus spécifiques, détaillant un peu plus tout et augmentant la sécurité. Je ne veux pas étendre cela beaucoup plus, car en réalité il faut que les bases (ce que vous lisez ici au début) le comprennent parfaitement 🙂
Salutations et ... allez, je clarifie les doutes, tant que vous connaissez la réponse LOL !! (Je ne suis pas de loin un expert sur ce hahaha)
Très bon! Juste une question? Avez-vous une idée des paramètres par défaut? La question est de paranoïa que je suis juste: D.
Merci beaucoup.
Par défaut, bien par défaut il accepte tout. En d'autres termes, service que vous mettez sur votre ordinateur ... service qui sera public pour le reste 😀
Tu comprends?
Donc ... lorsque vous ne voulez pas que le site Web X le voie ET que votre ami, ou une certaine adresse IP, il y a le pare-feu, htaccess ou une méthode pour refuser l'accès.
Cordialement,
Frère, excellent !!!! Maintenant, je vais lire le premier ...
Merci pour ton aide…
Disla
Merci pour le tutoriel, il m'est utile.
La seule chose que je voudrais savoir ou m'assurer est si, avec ces instructions, je n'aurai aucun problème pour effectuer des transferts p2p, télécharger des fichiers ou passer des appels vidéo, par exemple. D'après ce que j'ai lu non, il ne devrait y avoir aucun problème, mais je préfère m'assurer avant d'entrer dans les lignes.
Merci à partir de maintenant.
Salutations.
Vous ne devriez pas avoir de problèmes, cependant c'est une configuration assez basique, dans le prochain tutoriel je vous expliquerai plus en détail comment ajouter vos propres règles, en fonction du besoin de chacune, etc.
Mais je le répète, vous ne devriez pas avoir de problèmes, si vous les avez il suffit de redémarrer l'ordinateur et le tour est joué, comme si vous n'aviez jamais configuré iptables 😀
Redémarrer ? Cela semble très windowsero. Dans le pire des cas, il vous suffit de vider les règles iptables et de définir les stratégies par défaut sur ACCEPTER et le problème est résolu, donc rockandroleo, vous n'aurez pas de problèmes.
Saludos!
Et, désolé de faire une autre demande, mais puisque nous sommes sur le sujet du pare-feu, il est possible que vous expliquiez comment appliquer ces mêmes commandes dans les interfaces graphiques de pare-feu comme gufw ou firestarter.
Nous vous remercions à l'avance.
Salutations.
Je vais expliquer Firestarter, gufw je l'ai seulement vu et ne l'ai pas utilisé comme tel, peut-être que je vais l'expliquer brièvement ou peut-être animé fais-le moi-même 🙂
Ensuite, quand je veux me sentir comme un hacker, je vais le lire, j'ai toujours voulu en savoir plus sur la sécurité
Excellent tutoriel, il me semble bien expliqué et bien que ce soit pas à pas le mieux, comme on dirait, pour les nuls.
Salutations.
hahahaha merci 😀
Génial.
Clairement expliqué.
Nous devrons le lire et le relire jusqu'à ce que les connaissances soient acquises, puis continuer avec les tutoriels suivants.
Merci pour l'article.
Merci 😀
J'ai essayé de l'expliquer comme j'aurais aimé qu'on me l'explique pour la première fois, LOL !!
Salutations 🙂
Très bien, je teste et cela fonctionne correctement, ce qui correspond à démarrer les règles automatiquement au début je le laisserai pour quand vous publierez la deuxième partie, jusque-là j'aurai un peu plus de travail à taper les commandes à chaque fois que je redémarrerai le PC, merci ami pour le tuto et pour la rapidité avec laquelle vous l'avez publié.
merci pour la recommandation et les explications.
Vous pouvez voir ce qui s'applique avec iptables avec:
sudo iptables -L
Exact 😉
J'ajoute le n en réalité:
iptables -nLMerci pour le tutoriel, j'attends avec impatience la deuxième partie, salutations.
quand sortira la deuxième partie
J'ai un proxy avec squid sur Machine1, il donnera la navigation Internet à d'autres machines sur ce LAN 192.168.137.0/24, et il écoute sur 192.168.137.22:3128 (j'ouvre le port 3128 pour toute personne avec un allume-feu), depuis Machine1 si J'ai mis Firefox à utiliser le proxy 192.168.137.22:3128 cela fonctionne. Si à partir d'un autre pc avec ip 192.168.137.10 par exemple, Machine2, je le configure pour utiliser le proxy 192.168.137.22:3128 cela ne fonctionne pas, sauf si sur Machine1 je mets dans Firestarter pour partager internet avec le LAN, là si le proxy fonctionne, les données de flux passent par le proxy, mais si sur Machine2 ils suppriment l'utilisation du proxy et pointent correctement la passerelle, ils pourront naviguer librement.
Ca parle de quoi?
Avec iptables, quelles seraient les règles?
«J'essaie de rester du côté obscur de la force, car c'est là que se trouve le plaisir de la vie. et avec le délire de jedi hahahahaha
Très bon! Je suis un peu en retard, non? haha le post a environ 2 ans mais j'ai été plus qu'utile .. je vous remercie de l'avoir expliqué si simplement que j'ai pu le comprendre haha je continue avec les autres parties ..
Merci d'avoir lu 🙂
Oui, le post n'est pas entièrement nouveau mais il est toujours très utile, presque rien n'a changé dans le fonctionnement des pare-feu au cours de la dernière décennie je pense 😀
Salutations et merci à vous pour vos commentaires
Quelle explication avec des fleurs et tout. Je suis un utilisateur "novice" mais avec beaucoup de désir d'apprendre Linux, récemment je lisais un article sur un script nmap pour voir qui se connectait à mon réseau et ne pas vous faire long, dans un commentaire sur ce message un utilisateur a dit que Nous allons appliquer la fameuse première ligne que vous avez mise d'iptables et cela suffisait, et comme je suis un formidable noobster, je l'ai appliqué mais comme vous l'avez écrit ici, il n'est pas entré sur Internet 🙁
Merci pour ce post expliquant l'utilisation d'iptables, j'espère que vous l'étendez et m'expliquez pleinement son fonctionnement total. À votre santé!
Merci à vous d'avoir lu et commenté 🙂
iptables est phénoménal, il fait son travail de fermeture alors, si bien que ... nous ne pouvons même pas sortir nous-mêmes, c'est sûr, à moins de savoir comment le configurer. C'est pourquoi j'ai essayé d'expliquer iptables aussi simplement que possible, car parfois tout le monde n'est pas capable de comprendre quelque chose la première fois.
Merci pour le commentaire, salutations ^ _ ^
PS: A propos de l'extension du post, voici la 2ème partie: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Eh bien, merci beaucoup, si j'ai lu la deuxième partie et que j'ai immédiatement commencé à jouer sur la console avec votre formidable guide. Merci beaucoup, au fait j'espère que vous pourrez m'aider car j'ai un petit doute et comme vous le savez bien, je suis un débutant qui essaie d'en apprendre davantage sur ce merveilleux logiciel gratuit, au fait, j'ai récemment fait installer une distribution différente auquel j'ai modifié le fichier dhcp.config une ligne et le laisser comme ceci:
#send nom-d'hôte ""; Eh bien, cela a fonctionné pour moi dans cette distribution et tout allait bien, le nom de mon pc n'apparaît pas dans le serveur DHCP de mon routeur, seulement l'icône du pc, mais dans cette nouvelle distribution j'ai modifié la même ligne en la laissant la même mais cela n'a pas fonctionné. Pouvez-vous me guider un peu? 🙁 S'il vous plaît ...
Puisqu'il peut s'agir de quelque chose de plus complexe ou plus étendu, créez un sujet dans notre forum (forum.desdelinux.net) et là ensemble nous vous aiderons 🙂
Merci d'avoir lu et commenté
Prêt, merci pour la réponse. Demain matin je fais le sujet et j'espère que vous pourrez m'aider, salutations et bien sûr un câlin.
Excellent article.
Pensez-vous qu'avec cela, je peux implémenter un pare-feu en utilisant iptables dans ma maison ou ai-je besoin de savoir autre chose? Avez-vous un tutoriel de configuration ou avec ces articles il reste?
salutations
En fait, cela a été la base et les moyens, si vous voulez quelque chose de plus avancé (comme la limite de connexion, etc.), vous pouvez vérifier tous les messages qui parlent d'iptables ici - » https://blog.desdelinux.net/tag/iptables
Cependant, avec cela, j'ai presque tout mon pare-feu local 🙂
Ils ne semblent pas mauvais du tout au début.
Mais cela modifierait quelque chose.
Je laisserais tomber une entrée et je transmettrais et accepterais une sortie
-P INPUT -m état -état ESTABLISHED, RELATED -j ACCEPT
Ce serait suffisant pour qu'un newbi dans iptables soit "assez sûr"
Ensuite, ouvrez les ports dont nous avons besoin.
J'aime beaucoup la page, ils ont de très bonnes choses. Merci d'avoir partagé!
Salutations!
Buenas noches a todos los que han comentado pero a ver si me aclaran porque estoy mas perdido que un lobo en alcantarilla, soy cubano y creo que siempre vamos mas alla en todo tema posible y bueno: Disculpen de ante manos si no tiene que ver con le thème!!!
J'ai un serveur UBUNTU Server 15 et il s'avère que j'ai un service hébergé à l'intérieur qui est fourni par un autre programme qui est stream TV mais j'essaye de le contrôler via l'adresse MAC afin que le contrôle du port par exemple 6500 qui le sélectionne au hasard Personne ne peut entrer par ce port à moins que ce ne soit avec l'adresse MAC indiquée dans les iptables. J'ai fait les configurations de cet article numéro un et cela fonctionne très bien
Merci d'avance!
Bonjour, comment allez-vous, j'ai lu l'article iptables pour les débutants, c'est très bien, je vous félicite, je ne connais pas grand chose à Linux, c'est pourquoi je veux vous poser une question, j'ai un problème, si vous pouvez aidez-moi je vous remercie, j'ai un serveur avec plusieurs IP et tous les quelques jours, lorsque le serveur envoie des e-mails via les IP qui se trouvent sur le serveur, il arrête d'envoyer des e-mails, donc pour qu'il envoie à nouveau des e-mails, je dois mettre:
/etc/init.d/iptables arrête
Quand je mets cela, il recommence à envoyer des e-mails, mais après quelques jours, il est à nouveau bloqué, pouvez-vous me dire quelles commandes je dois mettre pour que le serveur ne bloque pas les adresses IP? Je lisais et d'après ce que vous dites sur la page, avec Ces 2 lignes devraient être résolues:
sudo iptables -A INPUT -i lo -j ACCEPTER
sudo iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
mais comme je ne sais pas si c'est ce que c'est, avant de mettre ces commandes, je voulais voir si avec cela les adresses IP du serveur ne seront plus bloquées, j'attends votre réponse rapide. Cordialement. Nicolas.
Bonjour bonjour, j'ai lu votre petit tutoriel et il m'a paru très bien et pour cette raison j'aimerais vous poser une question:
Comment puis-je rediriger les demandes qui entrent via l'interface lo (localhost) vers un autre ordinateur (une autre IP) avec le même port, j'utilise quelque chose comme ça
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –à 148.204.38.105:3306
mais il ne me redirige pas, je surveille le port 3306 avec tcpdump et s'il reçoit des paquets mais ne les envoie pas vers la nouvelle adresse IP, mais si je fais des demandes depuis un autre ordinateur, il les redirige. En bref, cela me redirige ce qui entre via -i eth0, mais pas ce qui entre via -i lo.
Par avance, j'apprécie beaucoup ou peu d'aide que vous pouvez me donner. salu2.
Bonjour, comment allez-vous, la page est très bonne, elle contient beaucoup d'informations.
J'ai un problème et je voulais voir si vous pouvez m'aider, j'ai PowerMta installé dans Centos 6 avec Cpanel, le problème est qu'après quelques jours, le PowerMta cesse d'envoyer des e-mails vers l'extérieur, c'est comme si les IP étaient bloquées, et Chaque jour, je dois placer la commande /etc/init.d/iptables stop, avec cela le PowerMta recommence à envoyer des e-mails à l'étranger, avec cela le problème est résolu pendant quelques jours, mais cela se reproduit.
Savez-vous comment je peux faire pour résoudre le problème? Y a-t-il quelque chose que je peux configurer sur le serveur ou dans le pare-feu pour que cela ne se reproduise plus? Puisque je ne sais pas pourquoi cela se produit, si vous pouvez m'aider je merci, j'espère que votre réponse bientôt.
Salutations.
Nicolas
Explication excellente et très claire, j'ai cherché des livres mais ils sont très détaillés et mon anglais n'est pas très bon.
Connaissez-vous des livres que vous recommandez en espagnol?
Que diriez-vous de bonjour, très bien expliqué, mais je n'ai toujours pas d'entrée d'Internet, je vais vous expliquer, j'ai un serveur avec Ubuntu, qui a deux cartes réseau, une avec cette configuration Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 et le second avec cet autre Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Masque: 255.255.255.0, où le second est celui de ma passerelle, qui est 192.168.1.64, mais la première carte est celle qui contrôle mes caméras et je veux les voir depuis Internet depuis mon IP fixe ,,, Je peux les voir depuis le réseau local mais pas depuis Internet, pourriez-vous m'aider? , ou si mon routeur est celui qui est mal configuré, c'est un tp-link archer c2 ,,, merci
Bonjour, je viens de faire ça sur mon serveur et vous savez, comment puis-je le récupérer?
iptables -P BAISSE D'ENTRÉE
Je vous laisse mon email ing.lcr.21@gmail.com
Je cherchais un peu des articles de haute qualité ou des articles de blog sur ce contenu. Sur Google, j'ai finalement trouvé ce site Web. En lisant cet article, je suis convaincu que j'ai trouvé ce que je cherchais ou du moins que j'ai cette sensation étrange, j'ai découvert exactement ce dont j'avais besoin. Bien sûr je vous ferai oublier ce site et le recommanderai, je prévois de vous rendre visite régulièrement.
salutations
Je vous félicite vraiment! J'ai lu de nombreuses pages d'iptables mais aucune n'est aussi simplement expliquée que la vôtre; excellente explication !!
Merci de me faciliter la vie avec ces explications!
Pendant un instant je me sens arabe xD
Mon professeur l'utilise pour enseigner, remercier et saluer. gang