जब लिनक्स केवल कुछ महीने का था तब मैंने iptables पर ट्यूटोरियल को समझने के लिए एक बहुत ही सरल लिखा: newbies के लिए iptables, उत्सुक, दिलचस्पी (पहला भाग) । रूपकों का उपयोग करना जैसे कि हमारे कंप्यूटर की हमारे घर के साथ तुलना करना, घर के दरवाजे के साथ हमारा फ़ायरवॉल, साथ ही अन्य उदाहरण, मैंने एक सुखद तरीके से समझाया, इतनी सारी तकनीकी या जटिल अवधारणाओं के बिना, फ़ायरवॉल क्या है, iptables क्या है इसका उपयोग कैसे शुरू करें और कॉन्फ़िगर करें। यह निरंतरता है, पिछले iptables ट्यूटोरियल का दूसरा भाग,
ऐसा होता है कि कुछ दिनों पहले एक लिंक्स एपी (एक्सेस प्वाइंट) का उपयोग करते हुए मैंने अपनी प्रेमिका के घर पर एक वाईफाई लगाया, हालांकि तकनीक के मामले में स्थानीयता सबसे अधिक जानकार नहीं है, अर्थात यह नहीं है कि दरार के कई खतरे हैं , यह हमेशा एक अच्छा विचार है कि वाईफ़ाई और कंप्यूटर दोनों में उत्कृष्ट सुरक्षा है।
मैं यहां Wifi की सुरक्षा के बारे में कोई टिप्पणी नहीं करूंगा, क्योंकि यह पोस्ट का उद्देश्य नहीं है, मैं उस iptables कॉन्फ़िगरेशन पर ध्यान केंद्रित करूंगा जिसका उपयोग मैं वर्तमान में अपने लैपटॉप पर करता हूं।
पिछली पोस्ट में मैंने समझाया था कि आने वाले सभी ट्रैफ़िक को पहले अस्वीकार करने के लिए फ़ायरवॉल में यह आवश्यक है:
sudo iptables -P INPUT DROP
फिर हमें अपने कंप्यूटर को डेटा दर्ज करने की अनुमति होनी चाहिए:
sudo iptables -A INPUT -i lo -j ACCEPT
हमारे कंप्यूटर से उत्पन्न अनुरोधों के पैकेट को स्वीकार करने के साथ-साथ:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
अब तक हमारा कंप्यूटर बिना किसी समस्या के इंटरनेट पर नेविगेट कर सकता है, लेकिन किसी भी अन्य वातावरण (LAN, इंटरनेट, वाईफाई, आदि) से कोई भी किसी भी तरह से हमारे कंप्यूटर तक नहीं पहुंच पाएगा। हम अपनी आवश्यकताओं के अनुसार iptables को कॉन्फ़िगर करना शुरू करने जा रहे हैं।
अनुक्रमणिका
अन्य फ़ाइल में iptables लॉग को आउटपुट करने के लिए ulogd का उपयोग करना:
डिफ़ॉल्ट रूप से iptables लॉग कर्नेल लॉग में जाता है, सिस्टम लॉग या ऐसा कुछ ... डिफ़ॉल्ट रूप से आर्क में, अभी मुझे यह भी याद नहीं है कि वे कहाँ जाते हैं, इसलिए मैं उपयोग करता हूं उलझा हुआ ताकि iptables लॉग किसी अन्य फ़ाइल में हो।
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
मेरे निजी सर्वर तक पहुंच प्रदान करना:
मैं वर्चुअलबॉक्स या वर्चुअलाइजेशन के समान कुछ भी उपयोग नहीं करता हूं, मेरे पास मेरा निजी सर्वर वर्चुअलाइज्ड है केमू + केवीएम जो मेरे लैपटॉप से कनेक्ट करने में सक्षम होना चाहिए, जैसे कि iptables नियमों के साथ जो मैंने अभी ऊपर निर्दिष्ट किया है, वह सक्षम नहीं होगा, यही कारण है कि मुझे अपने वर्चुअल सर्वर के आईपी को अनुमति देनी होगी ताकि यह मेरे लैपटॉप तक पहुंच सके :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
हम इस पंक्ति का विस्तार करने जा रहे हैं, यह महत्वपूर्ण है कि आप समझें कि प्रत्येक पैरामीटर का क्या मतलब है, क्योंकि वे अब से बहुत दोहराए जाएंगे:
-एक INPUT : मैं कह रहा हूं कि मैं इनबाउंड ट्रैफिक के लिए एक नियम घोषित करने जा रहा हूं
-इ वरबर ० : मैं घोषणा करता हूं कि जिस इंटरफ़ेस के माध्यम से मैं ट्रैफ़िक को स्वीकार करूंगा वह एथो (LAN) या wlan0 (Wifi) नहीं है, मैं विशेष रूप से कहता हूं कि यह मेरा virbr0 इंटरफ़ेस है, अर्थात वर्चुअल नेटवर्क इंटरफ़ेस (आंतरिक) जिसके माध्यम से मेरा लैपटॉप समाप्त हो जाता है मेरे वर्चुअल सर्वर के साथ (और इसके विपरीत)
-पी टीसीपी : मैं प्रोटोकॉल निर्दिष्ट करता हूं, सबसे अधिक इस्तेमाल किए जाने वाले यूडीपी और टीसीपी हैं, यहां यह वास्तव में इसे डालने के लिए पर्याप्त नहीं था लेकिन ... यह स्वीकार करने के लिए प्रोटोकॉल के प्रकार को निर्दिष्ट करने के लिए प्रथागत है
-स 192.168.122.88 : स्रोत, संकुल का स्रोत। दूसरे शब्दों में, नियम उन पैकेटों को संदर्भित करता है जो विशेष रूप से आईपी 192.168.122.88 से आते हैं
-जे ACCEPT : पहले से ही यहां मैं कहता हूं कि मैं उन पैकेजों के साथ क्या करना चाहता हूं जो उपरोक्त मेल खाते हैं, इस मामले में स्वीकार करते हैं।
दूसरे शब्दों में, एक सारांश के रूप में, मैं उन पैकेटों को स्वीकार करने जा रहा हूं जो IP 192.168.122.88 से आते हैं, लेकिन अगर आप उस IP BUT से आने वाले पैकेट में प्रवेश करना चाहते हैं! वे ऐसे इंटरफ़ेस से प्रवेश करते हैं जो कि virbr0 नहीं है, अर्थात यह कहें कि वे IP 192.168.122.88 से पैकेट में प्रवेश करने की कोशिश करते हैं, लेकिन वे हमारे Wifi नेटवर्क के कंप्यूटर से हैं, अगर ऐसा है तो पैकेट को अस्वीकार कर दिया जाएगा। क्यों? क्योंकि हम स्पष्ट रूप से निर्दिष्ट करते हैं कि हाँ, हम पैकेट को 192.168.122.88 से स्वीकार करते हैं, हाँ, लेकिन केवल और केवल, लेकिन, उन्हें कुंवारी इंटरफ़ेस (आंतरिक, आभासी नेटवर्क इंटरफ़ेस) से भी प्रवेश करना होगा, अगर पैकेट दूसरे इंटरफ़ेस (LAN, RAS,) से आते हैं वाईफ़ाई, आदि) तब उन्हें स्वीकार नहीं किया जाएगा। इंटरफ़ेस को निर्दिष्ट करके, जैसा कि आप देख सकते हैं कि हम इसे और भी अधिक प्रतिबंधित कर सकते हैं, हम अपने कंप्यूटर में प्रवेश करने वाले (या दर्ज नहीं) पर बेहतर नियंत्रण रख सकते हैं।
घर वाईफ़ाई के किसी भी आईपी से पिंग स्वीकार करना:
यदि आप अपने लैपटॉप को पिंग करने की कोशिश करते हैं, तो मैं इसे अनुमति देने के लिए कोशिश करने वाले कुछ अन्य कंप्यूटर से, वाईफाई से कनेक्ट करता हूं। कारण? विचार यह भी है कि अगले कुछ हफ्तों में घर के पीसी को नेटवर्क से जोड़ने के लिए, इसलिए जानकारी साझा करना कम जटिल, अधिक तरल होगा, जब मैं डेस्कटॉप को वाईफाई से लिंक करने के लिए परीक्षण करना शुरू कर दूंगा, तो मैं करूंगा कनेक्टिविटी की जांच करने के लिए मेरे लैपटॉप को पिंग करने की आवश्यकता है, अगर मेरा लैपटॉप मुझे वापस नहीं करता है तो मैं सोच सकता हूं कि एपी विफल हो रहा है, या यह कि वाईफ़ाई तक पहुंचने में कोई त्रुटि थी, इसलिए मैं पिंग की अनुमति देना चाहता हूं।
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-एक INPUT : पहले की तरह ही, मैं आने वाले ट्रैफ़िक का संदर्भ देता हूं
—इ wlo1 : पहले जैसा। पिछले मामले में मैंने वर्चुअल इंटरफ़ेस निर्दिष्ट किया था, इस मामले में मैं एक अन्य इंटरफ़ेस निर्दिष्ट करता हूं, जो कि मेरी wifi: wlo1
-पी आईसीएमपी : आईसीएमपी प्रोटोकॉल, आईसीएमपी = पिंग। यही है, मैं SSH या कुछ भी समान की अनुमति नहीं दे रहा हूं, मैं केवल पिंग (icmp) की अनुमति देता हूं
-एस 192.168.1.0/24 : पैकेट का स्रोत, जब तक पैकेट एक आईपी 192.168.1 से आते हैं? स्वीकार किया जाएगा
-डॉ ५ : डेस्टिनेशन आईपी, यानी मेरा आईपी।
-जे ACCEPT : मैं इंगित करता हूं कि उपरोक्त पैकेज के साथ क्या करना है, स्वीकार करें।
यही है, और इसे एक तरह से समझाने के लिए, मैं स्वीकार करता हूं कि वे मुझे (icmp प्रोटोकॉल) पिंग करते हैं, जिनका गंतव्य विशेष रूप से मेरा IP है, जब तक कि वे IP से आते हैं जैसे कि 192.168.1 .__ लेकिन साथ ही, वे नहीं आ सकते हैं। किसी भी नेटवर्क इंटरफ़ेस से, उन्हें विशेष रूप से मेरे Wifi नेटवर्क इंटरफ़ेस (wlo1) से प्रवेश करना होगा
SSH को केवल एक IP के लिए स्वीकार करें:
कभी-कभी मुझे इससे जुड़ना पड़ता है लैपटॉप को नियंत्रित करने के लिए मेरे स्मार्टफोन से एस.एस.एच., यही कारण है कि मुझे इसके लिए अपने वाईफाई के आईपी से एसएसएच को अपने लैपटॉप तक पहुंचने की अनुमति देनी चाहिए:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
इस लाइन से केवल एक चीज जो अलग है या जो हाइलाइट किए जाने योग्य है: -पोर्ट 22 (SSH पोर्ट I का उपयोग करें)
दूसरे शब्दों में, मैं अपने लैपटॉप को पोर्ट 22 के माध्यम से कनेक्ट करने के प्रयासों को स्वीकार करता हूं, जब तक कि वे मेरे वाईफाई के एक आईपी से आते हैं, उन्हें भी मेरे आईपी को एक विशिष्ट गंतव्य के रूप में रखना होगा और साथ ही wlo1 इंटरफ़ेस के माध्यम से आना होगा, अर्थात, मेरी वाईफाई की (लैन नहीं, आदि)
उन्हें अपनी वेबसाइट देखने के लिए अनुमति देना:
यह मेरा मामला नहीं है, लेकिन यदि आप में से किसी के पास एक होस्ट की गई वेबसाइट है और वह किसी को भी एक्सेस करने से इंकार नहीं करना चाहता है, अर्थात यह कि हर कोई उस वेबसाइट तक पहुंच सकता है, तो आप जितना सोच सकते हैं, उससे कहीं ज्यादा सरल है:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
दूसरे शब्दों में, यहाँ वे सभी आने वाले ट्रैफ़िक (tcp) को पोर्ट 80 के माध्यम से अनुमति दे रहे हैं। जैसा कि आप देख सकते हैं, मैं यह निर्दिष्ट नहीं करता कि जिस आईपी या नेटवर्क को मैं एक्सेस की अनुमति देता हूं, आईपी सीमा को निर्दिष्ट करने की अनुमति नहीं देकर, iptables मान लेता है कि मैं चाहता हूं सभी मौजूदा आईपी श्रेणियों तक पहुँच की अनुमति देने के लिए, अर्थात पूरी दुनिया के लिए
अन्य संयोजन:
मेरे पास कई अन्य नियम हैं जैसे, उदाहरण के लिए, अपने घर LAN से IP के लिए पिंग स्वीकार करें (इसके लिए मूल रूप से ऊपर की समान लाइन है, IP पर्वतमाला बदल रही है), जो कि मैंने अभी ऊपर बताया है उसी में से एक है। , मेरे लैपटॉप में इस तरह के रूप में मैं वास्तव में जटिल चीजों का उपयोग नहीं करता हूं, कनेक्शन को सीमित करने के लिए, एंटी डीडीओएस, मैं सर्वर के लिए छोड़ देता हूं, अपने लैपटॉप पर मुझे इसकी आवश्यकता नहीं है such
वैसे भी, अभी तक लेख।
जैसा कि आप देख सकते हैं, iptables के साथ काम करना किसी भी तरह से जटिल नहीं है, एक बार जब आप एक स्क्रिप्ट बनाते हैं जिसमें आप अपने नियमों को लिखते हैं तो यह बहुत सरल होता है, फिर इसे संशोधित करें, नियमों को अपने फ़ायरवॉल में जोड़ें या निकालें।
मैं अपने आप को इस विषय पर एक विशेषज्ञ नहीं मानता हूं, इससे बहुत दूर, आपके पास कोई भी प्रश्न होने के बावजूद, वे यहां टिप्पणी करते हैं, मैं आपकी यथासंभव मदद करने की कोशिश करूंगा।
सादर
31 टिप्पणियाँ, तुम्हारा छोड़ दो
बहुत अच्छा, बहुत अच्छा समझाया, बहुत अच्छा।
मुझे इस प्रकार की पोस्ट पसंद है।
Comment टिप्पणी करने के लिए आपका बहुत-बहुत धन्यवाद
यह पद एक ऐसा ऋण था जो मेरे पास लंबे समय से था, यह अंत में सुखद और सुखद है जो इसे बंद करने में सक्षम है ^ _ ^
सादर
एक सवाल है आप क्यूबा में हैं?
... ऐसा होता है कि कुछ दिन पहले एक लिंक एपी (एक्सेस प्वाइंट) का उपयोग करके मैंने अपनी प्रेमिका के घर पर एक वाईफ़ाई लगा दिया
हां, मैं क्यूबा में पैदा हुआ था और रहता था। सवाल क्यूँ?
@FIXOCONN: नमस्कार मित्र और प्रश्न के ऑफटॉप को क्षमा कर दें, लेकिन उपयोगकर्ता-एजेंट में डेस्कटॉप वातावरण के रूप में दिखने के लिए आप दालचीनी को कैसे परिभाषित करते हैं? मैं मिंट 13 का उपयोग दालचीनी के साथ करता हूं, लेकिन किसी भी तरह से मैं अपने उपयोगकर्ता-एजेंट को इस साइट पर टिप्पणी करने के लिए दालचीनी का लोगो नहीं देता हूं
क्या आप इतने दयालु होंगे कि यदि आप बहुत अधिक परेशानी नहीं है तो मुझे अपने उपयोगकर्ता एजेंट का विवरण दें? मैं यह जानना चाहूंगा कि डेटा को इसे स्वयं रखने के लिए =)
मैं आपको एक पृष्ठ छोड़ता हूं ताकि आप इसकी समीक्षा कर सकें और मुझे जानकारी दे सकें। धन्यवाद और प्रशंसा, इस जानकारी के साथ मेरी ओर से "ट्रोलिंग" (यदि आप इसे कॉल कर सकते हैं) को क्षमा करें -> http://user-agent-string.info/
UserAgent के किसी भी हिस्से में "दालचीनी" (बिना उद्धरण के) जोड़ें, फिर लोगो को भविष्य की टिप्पणियों में दिखाई देना चाहिए on
बहुत अच्छा पोस्ट! बहुत स्पष्ट 😀
पढ़ने के लिए धन्यवाद और आपकी टिप्पणी के लिए धन्यवाद for
धन्यवाद! यह वास्तव में मुझे बहुत मदद करता है!
नमस्कार, सबसे पहले ब्लॉग के लिए बहुत-बहुत बधाई, मुझे लगता है कि यह बहुत अच्छा है।
उल्लेख करने के लिए कुछ अच्छा हो सकता है कि उलॉग के साथ लॉग करने का विकल्प ulogd2 वाले ऑपरेटिंग सिस्टम में काम नहीं करता है, इस मामले के लिए नियम होना चाहिए:
sudo iptables-INPUT -p tcp -m tcp –tcp-flag FIN, SYN, RST, ACK SYN -j NFLOG
सबसे पहले, ब्लॉग के बारे में आप जो कहते हैं, उसके लिए बहुत-बहुत धन्यवाद
मेरे पास ulogd v2.0.2-2 Arch में स्थापित है, और मैंने जो लाइन काम की है वह बिना किसी समस्या के काम करती है (मुझे /etc/ulogd.conf में एक loglevel = 1 डालना था, लेकिन यह बिना किसी समस्या के लॉग को दूसरी फ़ाइल में ले जाता है।
आप ulogd v2 या उच्चतर का उपयोग करते हैं, क्या वह रेखा जिसे मैंने आपके लिए गलत काम छोड़ा है?
सादर और टिप्पणी के लिए धन्यवाद।
मैं हमेशा दूसरे भाग की प्रतीक्षा कर रहा था, मुझे याद है कि जब मैंने पहली बार पढ़ा (यह फायरवॉल में मेरी दीक्षा थी)। धन्यवाद @ KZKG ^ गारा, का संबंध है
मुझे पढ़ने के लिए धन्यवाद for
और हेह, हाँ, मैंने क्या कहा ... यह पोस्ट एक ऋण था जिसे मैंने बहुत पहले ^ _ ^ किया था
सादर। बहुत अच्छा पोस्ट। मैं iptables नियमों को स्क्वीड से डांसगार्डियन तक ट्रैफ़िक पुनर्निर्देशित करने के लिए कॉन्फ़िगर करने का प्रयास कर रहा हूं और यह अभी भी लक्ष्य को प्राप्त नहीं करता है। मैं इस संबंध में कुछ मदद की सराहना करूंगा।
उस के लिए iptables? क्या यह स्क्वीड में सीधे ACL के साथ नहीं किया गया है?
"मेरे पास कई अन्य नियम हैं जैसे .."
इसे ही मैं व्यामोह कहता हूं, लड़का
थोड़ा और आप अपने मॉडेम / राउटर पर प्रत्येक खुले बंदरगाह में रोटविलर का एक पैकेट रखें
HAHAHAHAHAHAHAHAHA मैं रट्टा मारने वालों के साथ हाहाकार मर रहा हूं
अभिवादन मित्र, ऐसा होता है कि मुझे IPTables को इस तरह से कॉन्फ़िगर करने में मदद की आवश्यकता है कि यह केवल पोर्ट 80 के लिए एक्सेस से इनकार करता है जब मैं अपने कस्टम नेमसर्वर के ब्राउज़र में पता टाइप करता हूं, तो यह है कि उदाहरण के लिए मैं ns1.mydadain.com टाइप करता हूं और ns2.mydomain। com (जो कि मेरे नेमवेरर्स हैं) IPtables पोर्ट 80 तक पहुंचने से इनकार करते हैं ताकि ब्राउज़र पृष्ठ को लोड करने का प्रयास करे लेकिन थोड़ी देर के बाद यह समाप्त हो जाता है और कभी लोड नहीं होता है, ऐसा होता है कि मैंने पहले ही इस तरह के आदेशों के साथ प्रयास किया है।
iptables-INPUT -d ns1.midomini.com -p tcp -dport 80 -j DROP
iptables-INPUT -d ns2.midomini.com -p tcp -dport 80 -j DROP
लेकिन केवल एक चीज जो मेरे सभी डोमेन में पोर्ट 80 में प्रवेश करने से इनकार करती है (क्योंकि वे एक ही आईपी को वर्चुअल होस्ट के रूप में साझा कर रहे हैं), मैं चाहता हूं कि यह केवल मेरे नेमवेरर्स के आईपी में हो और जिस आईपी से मेरे नेमसर्वर इंगित करें, यह है कि, आईपी टेबल 80 पोर्ट में प्रवेश से इनकार करते हैं:
ns1.midomini.com (इशारा करते हुए) -> 102.887.23.33
ns2.midomini.com (इशारा करते हुए) -> 102.887.23.34
और IPs जो नेमसर्वर को इंगित करते हैं
102.887.23.33
102.887.23.34
एक कंपनी का उदाहरण है जिसके पास यह प्रणाली है: ड्रीमहोस्ट
उनके नेमसर्वर: ns1.dreamhost.com और ns2.dreamhost.com और वे IP, जो ब्राउज़र के एड्रेस बार में टाइप किए जाने पर प्रतिक्रिया नहीं करने के लिए इंगित करते हैं
आपका ध्यान देने के लिए बहुत-बहुत धन्यवाद, मैं आपको बहुत-बहुत शुभकामनाएं देता हूं, इसके लिए आपको मेरा हाथ चाहिए और मुझे इसकी तुरंत जरूरत है !!
अच्छा दिन !!
हाय इवान,
मुझे ईमेल से संपर्क करें (kzkggaara [at] desdelinux [dot] net) अधिक शांति से बोलने और आपको बेहतर समझाने के लिए, कल बिना असफल हुए मैं आपको जवाब दूंगा (आज मैं गुजर रहा हूं)
आप जो करना चाहते हैं वह सरल है, मुझे नहीं पता कि आप जो लाइनें मुझे बताते हैं, वे आपके लिए काम नहीं करते हैं, उन्हें करना चाहिए, लेकिन आपको लॉग और अन्य चीजों की जांच करनी होगी जो कि यहां बहुत लंबा होगा।
नमस्ते और मुझे आपके ईमेल का इंतजार है
सैद्धांतिक रूप से iptables के साथ मैं एयरक्रेक जैसे कार्यक्रमों से वियोग अनुरोध भेजने से बच सकता था। मैं सही हूँ??? वैसे मैं परीक्षण करूंगा लेकिन अगर आप मुझसे कहेंगे कि आप मुझे बहुत खुश करेंगे तो एक्सडीडीडी
सिद्धांत रूप में मुझे ऐसा लगता है, अब, मुझे नहीं पता कि यह कैसे किया जा सकता है, मैंने कभी नहीं किया है ... लेकिन मैं दोहराता हूं, सिद्धांत रूप में, मुझे लगता है कि मैं कर सकता था।
Iptables नियम लागू करने के बाद, स्थानीय नेटवर्क पर साझा किए गए विंडोज़ फ़ोल्डर तक पहुंचना मेरे लिए असंभव है। इसे ठीक करने के लिए मुझे क्या नियम लागू करना चाहिए?
शुक्रिया.
आपने किन iptables नियमों को लागू किया?
यह "newbies के लिए iptables" का दूसरा भाग है, क्या आपने पहला पढ़ा है? मैं यह जानने के लिए कहता हूं कि क्या आपने पिछले पोस्ट में लागू नियमों को लागू किया है
हां, मैंने दोनों हिस्सों को पढ़ा है। स्क्रिप्ट के लिए मैं खुद को एक और पोस्ट पर आधार बनाता हूं जिसे आपने सिस्टमड के साथ नियम शुरू करने के बारे में पोस्ट किया है।
#! / Bin / bash
# - UTF 8 -
# मैं बाइनरी को सक्षम करता हूं
iptables = »/ usr / bin / iptables»
फेंक दिया ""
## साफ टेबल ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo »- iptables के लिए फ़्लश» && गूंज »»
## ULOGD ## के साथ लॉग स्थापित करना
$ iptables-INPUT -p tcp -m tcp –tcp- झंडे फिन, SYN, RST, ACK SYN -j ULOG
## डिफ़ॉल्ट DROP नीति को परिभाषित करें ##
$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
#echo »- डिफ़ॉल्ट रूप से परिभाषित DROP नीति» && गूंज »»
## लोकलहोस्ट को # सब कुछ देने की अनुमति दें ##
$ iptables-IN INUTUT -i lo -j ACCEPT
$ iptables-OUTPUT -o lo -j ACCEPT
#echo »- सभी स्थानीयहोस्ट» और & #
## मुझे ## आरंभ करने वाले कनेक्शन के पैकेट दर्ज करने दें
$ iptables-INPUT -m राज्य -स्टेट स्थापित, संबंधित -j ACCEPT
# जियो »- मेरे और & इको» द्वारा शुरू किए गए कनेक्शन वाले पैकेट »
फेंक दिया " ##############################"
गूंज »## IPTABLES संकलित ठीक है! ## »
फेंक दिया " ##############################"
मैंने इंटरनेट पर पढ़ा है कि सांबा के लिए आपको स्क्रिप्ट में निम्नलिखित नियम होने चाहिए:
$ iptables-INPUT -p tcp -dport 139 -j ACCEPT
$ iptables-INPUT -p tcp -dport 445 -j ACCEPT
$ iptables-INPUT -p udp -sport 137 -j ACCEPT
$ iptables-INPUT -p udp -dport 137 -j ACCEPT
$ iptables-INPUT -p udp -dport 138 -j ACCEPT
हालांकि, उनके साथ भी नहीं मैं विंडोज़ कार्यसमूह देख सकता हूं। : एस
समस्या सुलझ गयी। कार्यसमूह को संशोधित करें और मेजबानों को सांबा कॉन्फ़िगरेशन फ़ाइल में पैरामीटर की अनुमति दें।
बहुत बढ़िया लेख, सिर्फ महान !!!!
मैं अभी इसे पढ़ता हूं और आपको यह समझाने के लिए दोनों तरह से प्यार करता हूं और iptables का वास्तव में उपयोगी उपयोग है, मैं वास्तव में यह सीखना चाहता हूं कि इसे अधिक गहराई से कैसे उपयोग किया जाए।
नमस्ते और उत्कृष्ट लेख, मुझे आशा है कि आप Iptables के बारे में अधिक प्रकाशित करेंगे! ^ ^
प्रिय;
मेरे पास iptables के साथ एक प्रॉक्सी है और मेरा एक नेटवर्क पिंग नहीं कर सकता है http://www.google.cl इस कारण से मैंने बंदरगाहों को अवरुद्ध कर दिया है और बंदरगाहों को खोलने के लिए एक हजार तरीके की कोशिश कर रहा हूं और कुछ भी नहीं होता है। अगर मैं पिंग नहीं कर सकता तो मैं आउटलुक कनेक्ट नहीं कर सकता
पोस्ट पर बधाई! बहुत अच्छा। लेकिन मेरे पास एक प्रश्न है। कभी-कभी नेटवर्क में आपके द्वारा असाइन किया गया आईपी पता बदल सकता है (यदि यह सच है कि हम अपने मैक एड्रेस को आईपी असाइन कर सकते हैं), लेकिन क्या मैक पते के साथ SSH के माध्यम से हमारे सर्वर तक पहुंच की अनुमति देने के लिए Iptables के साथ एक संभावना है?
मुझे उम्मीद है कि मैंने खुद को अच्छी तरह से समझाया है।
सादर, और बहुत बहुत धन्यवाद!
नमस्कार, आप जानते हैं कि मेरे पास एक लिनक्स सर्वर कॉन्फ़िगर था और इन कमांडों को डालने के बाद मैंने सब कुछ ब्लॉक कर दिया और एक्सेस खो दिया, मैं लगभग सब कुछ ठीक कर सकता था लेकिन मुझे 2 चीजें याद आ रही हैं। * मैं अब एक वेब ब्राउज़र से cname «सर्वर» के माध्यम से एक्सेस नहीं कर सकता हूं, अगर आईपी, 10.10.10.5 और दूसरी तरफ मैं नेटवर्क पर विंडोज़ एक्सप्लोरर से साझा संसाधनों को नहीं देखता, इससे पहले कि मैं \\ सर्वर डालूं और सभी साझा संसाधनों को देखा। मुझे आशा है कि आप मेरी मदद कर सकते हैं, मुझे पता है कि यह मूर्खतापूर्ण है, लेकिन मैं इसे हल करने में सक्षम नहीं हो रहा हूं, धन्यवाद
मैं शब्दशः उद्धृत करता हूं:
'
आईसीएमपी प्रोटोकॉल, आईसीएमपी = पिंग। यही है, मैं SSH या कुछ भी समान की अनुमति नहीं दे रहा हूं, मैं केवल पिंग (icmp) की अनुमति देता हूं
'
ICMP और पिंग समान नहीं हैं। पिंगिंग ICMP प्रोटोकॉल का एक हिस्सा है, लेकिन यह सब कुछ नहीं है। ICMP (इंटरनेट कंट्रोल मैसेज प्रोटोकॉल) प्रोटोकॉल के कई और उपयोग हैं, जिनमें से कुछ में कुछ खतरे हैं। और आप सभी ICMP ट्रैफिक को स्वीकार कर रहे हैं। आपको केवल पिंग तक ही सीमित रखना होगा।
Saludos!
मुझे इंटर्नशिप करनी है, लेकिन मैं iptables के बारे में ज्यादा नहीं समझता, क्या आप कृपया मेरी मदद कर सकते हैं ...।
धन्यवाद!!!!!!!