Uvijek sam mislio da sigurnost nikad ne škodi i da je nikad dovoljno (zato živo Naziva me opsesivnim i psihotičnim sigurnosnim manijakom ...), pa čak i kada koristim GNU / Linux, ne zanemarujem sigurnost svog sustava, svoje lozinke (nasumično generirani sa pwgen) itd.
Nadalje, čak i kada tip sustava Unix su nesumnjivo vrlo sigurni, nesumnjivo se preporučuje korištenje a vatrozid, pravilno ga konfigurirajte, da bude što bolje zaštićen 🙂
Ovdje ću vam bez puno gnjavaže, zapetljavanja ili složenih detalja objasniti kako znati osnove iptables.
Ali ... Koji su vrag iptables?
iptables Dio je Linux jezgre (modula) koji se bavi filtriranjem paketa. Ovo rečeno na drugi način, to znači iptables je dio jezgre čiji je posao znati koje informacije / podatke / paket želite unijeti u svoje računalo, a koje ne (i radi više stvari, ali usredotočimo se na ovo za sada hehe).
Objasnit ću to na drugi način 🙂
Mnogi na svojim distribucijama koriste vatrozid, Firestarter o Vatreni alkohol, ali ovi vatrozidi zapravo "odostraga" (u pozadini) koristiti iptables, onda ... zašto ne koristiti izravno iptables?
I to ću ovdje ukratko objasniti 🙂
Zasad postoji li sumnja? 😀
Za rad iptables potrebno je imati administrativna dopuštenja, pa ću ovdje koristiti sudo (ali ako uđete kao korijen, nema potrebe).
Da bi naše računalo bilo uistinu sigurno, moramo dopustiti samo ono što želimo. Gledajte na svoje računalo kao da je to vaš vlastiti dom, u svom domu prema zadanim postavkama NE dopuštate nikome da uđe, mogu ući samo određene osobe koje ste prije odobrili, zar ne? S vatrozidima se to događa isto, prema zadanim postavkama nitko ne može ući u naše računalo, samo oni koji žele ući 🙂
Da bih to postigao, objašnjavam slijedeće korake:
1. Otvorite terminal, u njega stavite sljedeće i pritisnite [Unesi]:
sudo iptables -P INPUT DROP
To će biti dovoljno da nitko, apsolutno nitko ne može ući u vaše računalo ... a ovaj "nitko" uključuje i vas 😀
Objašnjenje prethodnog retka: Pomoću njega iptables naznačujemo da je zadana politika (-P) za sve što želi ući u naše računalo (INPUT) njegovo ignoriranje, ignoriranje (DROP)Nitko nije posve uopćen, u stvari apsolutni, niti ćete vi sami moći surfati internetom ili bilo što drugo, zato na taj terminal moramo staviti sljedeće i pritisnuti [Unesi]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... ne razumijem sranja, Što sada rade te dvije čudne linije? ...
Jednostavno 🙂
Prvo što kaže je da je računalo samo po sebi (-i lo ... usput, lo = localhost) može raditi što god želi. Nešto očito, što se može činiti apsurdnim ... ali vjerujte mi, jednako je važno kao i zrak haha.
Drugi redak objasnit ću primjerom / usporedbom / metaforom koju sam prije koristio, mislim na usporedbu računala s kućom. Na primjer, pretpostavimo da živimo s više ljudi u svojoj kući (majka, otac, braća, djevojka itd.) Ako bilo tko od ovih ljudi napusti kuću, je li očito / logično da ćemo ih pustiti kad se vrate, zar ne?
Upravo to čini taj drugi redak. Sve veze koje iniciramo (koje dolaze s našeg računala), kada putem te veze želite unijeti neke podatke, iptables pustit će te podatke. Dajući još jedan primjer da to objasnimo, ako pomoću našeg preglednika pokušamo surfati internetom, bez ova 2 pravila nećemo moći, pa da ... preglednik će se povezati s internetom, ali kada pokuša preuzeti podatke (.html, .gif itd.) Na naše računalo da nam pokaže, neće moći iptables Zabranit će unos paketa (podataka), dok će s ovim pravilima, budući da povezujemo iznutra (s našeg računala), a ta ista veza pokušava pokušati unijeti podatke, omogućiti pristup.
S tim smo spremni, već smo izjavili da nitko ne može pristupiti bilo kojoj usluzi na našem računalu, nitko osim samog računala (127.0.0.1), a osim veza koje su pokrenute na samom računalu.
Sad ću vam objasniti još jedan detalj, jer će drugi dio ovog vodiča objasniti i pokriti više o tome hehe, ne želim previše napredovati 😀
Dogodi se da na primjer imaju objavljenu web stranicu na svom računalu i žele da je tu web stranicu vide svi, kao što smo prije izjavili da sve po defaultu NIJE dopušteno, osim ako nije drugačije naznačeno, nitko neće moći vidjeti naš web stranica. Sada ćemo učiniti da svatko može vidjeti web mjesto ili web mjesta koja imamo na računalu, za ovo stavljamo:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Ovo je vrlo jednostavno objasniti 😀
Tom linijom izjavljujemo da prihvaćate ili dopuštate (-j PRIHVATI) sav promet do luke 80 (–Dport 80) neka bude TCP (-p tcp), te da je to i dolazni promet (-ULAZ). Stavio sam priključak 80, jer je to priključak web domaćina, to jest ... kada preglednik pokuša otvoriti web mjesto na X računalu, on uvijek izgleda prema zadanim postavkama na tom priključku.
Sad ... što učiniti kad znate koja pravila postaviti, ali kad ponovno pokrenemo računalo, vidimo da promjene nisu spremljene? ... pa, za to sam danas već napravio još jedan tutorial:
Kako automatski pokrenuti pravila iptables
Tamo to detaljno objašnjavam 😀
I ovdje završava 1. tutorial na prikladni za početnike, znatiželjne i zainteresirane 😉 ... ne brinite, neće to biti zadnji hehe, sljedeći će se baviti istom stvari, ali konkretnijim pravilima, detaljno opisujući sve i povećavajući sigurnost. Ne želim ovo produžiti puno više, jer u stvarnosti je neophodno da ga baze (ono što ste ovdje pročitali na početku) savršeno razumiju 🙂
Pozdrav i ... hajde, razjašnjavam sumnje, sve dok znate odgovor LOL !! (Nisam daleko stručnjak za ovo hahaha)
Vrlo dobro! Samo pitanje? Znate li koje su zadane postavke? Pitanje je paranoično da sam samo: D.
Puno hvala.
Po defaultu, pa po defaultu prihvaća sve. Odnosno usluga koju stavite na računalo ... usluga koja će u ostatku biti javna 😀
Razumiješ?
Dakle ... kad ne želite da ga X web stranica vidi I vašeg prijatelja ili određenu IP adresu, dolazi vatrozid, htaccess ili neka metoda kojom se uskraćuje pristup.
pozdrav,
Brate, izvrsno !!!! Sad ću pročitati prvu ...
Hvala na pomoći…
disla
Hvala na tutorijalu, dobro mi dođe.
Jedino što želim znati ili biti siguran da li s ovim uputama neću imati problema s izvršavanjem p2p prijenosa, preuzimanjem datoteka ili upućivanjem video poziva, na primjer. Iz onoga što sam pročitao ne, ne bi trebalo biti nikakvih problema, ali radije bih bio siguran prije ulaska u redove.
Hvala od sada.
Pozdrav.
Ne biste trebali imati problema, međutim ovo je prilično osnovna konfiguracija, u sljedećem uputstvu detaljnije ću objasniti kako dodati vlastita pravila, ovisno o potrebi svakog od njih itd.
Ali ponavljam, ne biste trebali imati problema, ako ih imate, samo ponovo pokrenite računalo i voila, kao da nikada niste konfigurirali iptables 😀
Ponovno pokrenuti? Zvuči vrlo prozirno. U najgorem slučaju, jednostavno morate isprazniti pravila iptables i postaviti zadane politike na ACCEPT i stvar je riješena, tako da, rockandroleo, nećete imati problema.
Saludos!
I, žao nam je što smo podnijeli još jedan zahtjev, ali budući da smo na temi vatrozida, moguće je da objasnite kako primijeniti te iste naredbe u grafičkim sučeljima vatrozida poput gufw ili firestarter.
Hvala unaprijed.
Pozdrav.
Objasnit ću Firestarter, gufw Samo sam ga vidio i nisam ga koristio kao takvog, možda ću to objasniti ukratko ili možda živo učini sam 🙂
Tada, kad se poželim osjećati kao haker, pročitat ću je, uvijek sam želio naučiti o sigurnosti
Izvrsna lekcija, čini mi se dobro objašnjena i iako je korak po korak bolja, kako bi rekli, za lutke.
Pozdrav.
hahahaha hvala 😀
Sjajno.
Jasno objašnjeno.
Bit će potrebno pročitati ga i ponovno čitati dok se znanje ne ustali, a zatim nastaviti sa sljedećim vodičima.
Hvala na članku.
Hvala 😀
Pokušao sam to objasniti kako bih volio da mi je to prvi put objašnjeno, LOL !!
Pozdrav 🙂
Vrlo dobro, testiram i radi ispravno, što odgovara automatskom pokretanju pravila na početku, ostavit ću to kad objavite drugi dio, do tada ću imati malo više posla pri upisivanju naredbi svaki put kad ponovo pokrenem računalo, hvala prijatelju za tuto i za to koliko ste ga brzo objavili.
hvala na preporuci i objašnjenjima.
Možete vidjeti što se odnosi na iptables sa:
sudo iptables -L
Točno 😉
Dodajem n zapravo:
iptables -nLHvala na lekciji, radujem se drugom dijelu, pozdrav.
kad će izaći drugi dio
Imam proxy s lignjama na Machine1, on će omogućiti pregledavanje interneta drugim strojevima na tom lancu 192.168.137.0/24, a sluša na 192.168.137.22:3128 (otvorim port 3128 za sve koji imaju firestarter), iz Machine1 ako stavim firefox da koristi proxy 192.168.137.22:3128, to radi. Ako s drugog računala s ip 192.168.137.10, na primjer, Machine2, postavim ga da koristi proxy 192.168.137.22:3128 ne radi, osim ako na Machine1 stavim firestarter za dijeljenje interneta s LAN-om, ako proxy radi, protok podaci su preko proxyja, ali ako na Machine2 uklone upotrebu proxyja i pravilno usmjere pristupnik, moći će se slobodno kretati.
O čemu se radi?
Kakva bi bila pravila s iptablesima?
"Pokušavam ostati na tamnoj strani sile, jer je tu zabava života." i s delirijem jedi hahahahaha
Vrlo dobro! Malo kasnim zar ne? haha post je star oko 2 godine, ali bio sam više nego koristan .. zahvaljujem vam što ste ga objasnili tako jednostavno da bih ga mogao razumjeti haha nastavljam s ostalim dijelovima ..
Hvala na čitanju 🙂
Da, post nije posve nov, ali je i dalje vrlo koristan, mislim da nije promijenio gotovo ništa u vezi s radom vatrozida u posljednjem desetljeću 😀
Pozdrav i hvala vam na komentaru
Kakvo objašnjenje s cvijećem i svime. Korisnik sam "novak", ali s puno želje za učenjem Linuxa, nedavno sam čitao post o nmap skripti kako bih vidio tko se povezao s mojom mrežom, a ne da bih vas dugo čekao, u komentaru na taj post korisnik je Primijenit ćemo poznati prvi redak koji ste stavili iz iptables-a i to je bilo dovoljno, a kako sam strašan nobster, primijenio sam ga, ali kao što ste ovdje napisali, nije ušao na Internet 🙁
Hvala vam na ovom postu koji objašnjava upotrebu iptables-a, nadam se da ćete ga proširiti i u potpunosti objasniti njegov puni rad. Živjeli!
Hvala vam što ste čitali i komentirali 🙂
iptables je fenomenalan, radi svoj posao gašenja, tako dobro da ... ne možemo ni sami izaći, to je sigurno, osim ako ga ne znamo konfigurirati. Zbog toga sam pokušao objasniti iptable što jednostavnije, jer ponekad ne mogu svi nešto razumjeti prvi put.
Hvala na komentaru, pozdrav ^ _ ^
PS: O proširenju posta, evo 2. dijela: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Pa, hvala vam puno, ako sam pročitao drugi dio i odmah počeo igrati na konzoli s vašim ogromnim vodičem. Puno vam hvala, hej usput se nadam da mi možete pomoći jer malo sumnjam i kao što dobro znate, ja sam početnik koji pokušava naučiti o ovom divnom besplatnom softveru, do te mjere, nedavno sam instalirao drugačiji distro na što sam modificirao datoteku dhcp.config redak i ostavio ga ovako:
#send host-name ""; Pa, uspjelo mi je u toj distribuciji i sve je bilo u redu, moje ime računala se ne pojavljuje na dhcp poslužitelju mog usmjerivača, već samo ikona računala, ali u ovoj novoj distro distro modificirao sam isti redak ostavljajući ga istim nije uspjelo. Možete li me malo uputiti? 🙁 Molim te ...
Budući da ovo može biti nešto složenije ili opsežnije, napravite temu na našem forumu (forum.desdelinux.net) i tamo ćemo vam zajedno pomoći 🙂
Hvala na čitanju i komentiranju
Spremni, hvala na odgovoru. Sutra ujutro radim temu i nadam se da mi možete pomoći, pozdrav i naravno zagrljaj.
Izvrsan članak.
Mislite li da s tim mogu implementirati vatrozid koristeći iptable u svojoj kući ili trebam znati nešto drugo? Imate li neki vodič za konfiguraciju ili s ovim člancima ostaje?
pozdravi
Zapravo je ovo osnovno i srednje, ako želite nešto naprednije (poput ograničenja veze, itd.) Ovdje možete provjeriti sve postove koji govore o iptablima - » https://blog.desdelinux.net/tag/iptables
Međutim, s ovim imam gotovo sav lokalni vatrozid 🙂
Za početak se uopće ne čine lošima.
Ali to bi nešto izmijenilo.
Ispustio bih ulaz i proslijedio i prihvatio izlaz
-P ULAZ -m stanje –država USTANOVLJENA, POVEZANA -j PRIHVATENA
To bi bilo dovoljno da newbi u iptablesu bude "prilično siguran"
Zatim otvorite priključke koji su nam potrebni.
Stranica mi se jako sviđa, imaju jako dobre stvari. Hvala na dijeljenju!
Pozdrav!
Laku noć svima koji su komentirali, ali da vidimo možete li pojasniti zašto sam izgubljeniji od vuka u kanalizaciji, ja sam Kubanac i mislim da uvijek idemo dalje u svakoj mogućoj temi i dobro: tema!!!
Imam poslužitelj UBUNTU Server 15 i ispada da u sebi imam uslugu hostiranu koju pruža drugi program koji emitira TV, ali pokušavam je kontrolirati putem MAC adrese tako da kontrola porta, na primjer 6500, odabire nasumce Nitko ne može ući preko te luke ako nije s MAC adresom naznačenom u iptables. Napravio sam konfiguracije ovog članka broj jedan i to jako dobro djeluje, bolje nego što sam želio, ali informacije sam potražio u todooooooooooooooo i nisam pronašao sretnu konfiguraciju koja omogućava da mac adresa koristi samo određeni port i ništa drugo.
Hvala unaprijed!
Pozdrav, kako ste, pročitao sam članak iptables za početnike, vrlo je dobar, čestitam vam, ne znam puno o linuksu, zato vas želim pitati, imam problem, ako mi možete pomoći Zahvaljujem se, imam poslužitelj s nekoliko IP-ova i svakih nekoliko dana, kada poslužitelj šalje e-poštu putem IP-a koji su na poslužitelju, prestaje slati e-poštu, pa da bi ponovno poslao e-poštu moram staviti:
/etc/init.d/iptables zaustaviti
Kad to stavim, ponovno počinje slati e-poštu, ali nakon nekoliko dana ponovno se blokira, možete li mi reći koje naredbe moram staviti da poslužitelj ne blokira ip? Čitao sam i iz onoga što kažete na stranici, s Morala bi se riješiti ova dva retka:
sudo iptables -A ULAZ -i lo -j PRIHVATI
sudo iptables -A ULAZ -m stanje -država USTANOVLJENA, POVEZANA -j PRIHVAĆA
Ali budući da ne znam je li to što je, prije stavljanja tih naredbi želio sam vidjeti hoće li s tim više blokirati ip poslužitelja, čekam vaš brz odgovor. Pozdrav. Nikole.
Pozdrav, dobro jutro, pročitao sam vaš mali tutorial i čini mi se vrlo dobrim i iz tog razloga bih vas htio pitati:
Kako mogu preusmjeriti zahtjeve koji dolaze putem sučelja lo (localhost) na drugo računalo (drugu IP) s istim portom, koristim nešto poput ovoga
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –do 148.204.38.105:3306
ali me ne preusmjerava, nadgledam port 3306 s tcpdump i ako prima pakete, ali ih ne šalje na novi IP, ali ako zahtjev upućujem s drugog računala, preusmjerava ih. Ukratko, preusmjerava me ono što dolazi kroz -i eth0, ali ne i ono što dolazi kroz -i lo.
Unaprijed cijenim veliku ili malu pomoć koju mi možete pružiti. salu2.
Pozdrav, kako ste, stranica je jako dobra, ima puno informacija.
Imam problem i htio sam vidjeti možete li mi pomoći, instalirao sam PowerMta u Centos 6 s Cpanelom, problem je u tome što nakon nekoliko dana PowerMta prestaje slati e-poštu prema van, čini se da su IP adrese blokirane i svaka dana moram postaviti naredbu /etc/init.d/iptables stop, s tim da PowerMta počinje ponovno slati e-poštu u inozemstvo, s tim da se problem rješava nekoliko dana, ali onda se to ponovi.
Znate li kako mogu riješiti problem? Mogu li nešto konfigurirati na poslužitelju ili u vatrozidu da se to više ne ponovi? Budući da ne znam zašto se to događa, ako mi možete pomoći Zahvaljujem vam, nadam se da ćete uskoro odgovor.
Pozdrav.
Nikole.
Izvrsno i vrlo jasno objašnjenje, tražio sam knjige, ali one su vrlo opsežne i moj engleski jezik nije baš dobar.
Znate li neku knjigu koju preporučite na španjolskom?
Što kažete na dobro jutro, vrlo dobro objašnjeno, ali još uvijek nemam ulaz s interneta, objasnit ću, imam poslužitelj s Ubuntuom, koji ima dvije mrežne kartice, jednu s ovom konfiguracijom Encap veze: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maska: 255.255.255.0 i drugi s ovim drugim omotom veze: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, pri čemu je drugi onaj koji ima moj pristupnik, a to je 192.168.1.64, ali prva je kartica ona koja kontrolira moje kamere i želim ih vidjeti s internet s mog fiksnog ip-a ,, vidim ih s lan-a, ali ne i s interneta, možete li mi pomoći oko toga? , ili ako je moj usmjerivač pogrešno konfiguriran, to je tp-link archer c2 ,,, hvala
Pozdrav, upravo sam to učinio na svom poslužitelju i znate, kako to mogu oporaviti?
iptables -P ULAZNA KAP
Ostavljam vam svoj e-mail ing.lcr.21@gmail.com
Malo sam tražio visokokvalitetne postove ili blogove o ovom sadržaju. Guglajući Napokon sam pronašao ovu web stranicu. Čitajući ovaj članak, uvjeren sam da sam pronašao ono što sam tražio ili barem imam taj čudan osjećaj, otkrio sam točno ono što sam trebao. Naravno, potrudit ću vas da ne zaboravite ovu web stranicu i preporučiti je, planiram vas redovito posjećivati.
pozdravi
Zaista vam čestitam! Pročitao sam mnogo stranica iptables, ali niti jednu tako jednostavno objašnjenu kao vašu; izvrsno objašnjenje !!
Hvala što ste mi olakšali život s ovim objašnjenjima!
Na trenutak se osjećam arapskim xD
Moj učitelj koristi ovo za podučavanje, hvala i pozdrav. banda