iptables pou newbies, kirye, ki enterese (2yèm Pati)

Lè SinceLinux te sèlman yon kèk mwa fin vye granmoun mwen te ekri yon trè senp yo konprann leson patikilye sou iptables: iptables pou newbies, kirye, ki enterese (1ye pati) . Sèvi ak metafò tankou konpare òdinatè nou an ak kay nou an, firewall nou yo ak pòt la nan kay la, osi byen ke lòt egzanp, mwen eksplike nan yon fason amizan, san yo pa anpil teknikalite oswa konsèp konplike, ki sa ki yon firewall, ki sa ki iptables ak ki jan yo kòmanse sèvi ak li ak configured. Sa a se kontinyasyon a, 2yèm pati nan leson patikilye iptables anvan an 🙂

Sa rive ke kèk jou de sa lè l sèvi avèk yon Linksys AP (Aksè Point) mwen mete yon Wifi nan kay mennaj mwen an, byenke lokalite a se pa sa ki pi konesans la an tèm de teknoloji, se sa ki, se pa ke gen anpil danje nan fann , li se toujou Yon bon lide yo gen ekselan sekirite tou de nan Wifi la ak nan òdinatè yo.

Mwen pa pral fè kòmantè sou sekirite nan Wifi isit la, kòm li se pa objektif la nan post la, mwen pral konsantre sou konfigirasyon an iptables ke mwen kounye a itilize sou laptop mwen an.

Kòmandman sa yo egzekite nan yon tèminal, yo bezwen egzekite ak privilèj administratè, mwen pral prepend sudo nan chak lòd, ou ka fè menm bagay la oswa evite itilize sudo pa egzekite kòmandman yo dirèkteman kòm rasin

Nan pòs anvan an mwen te eksplike ke li nesesè nan yon firewall premye refize tout trafik fèk ap rantre, pou sa a:

sudo iptables -P INPUT DROP

Lè sa a, nou dwe pèmèt pwòp òdinatè nou an gen pèmisyon pou antre done:

sudo iptables -A INPUT -i lo -j ACCEPT

Osi byen ke aksepte pake nan demann ki soti nan òdinatè nou an:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Pou yon pi bon konpreyansyon sou liy sa yo, mwen rekòmande li premye mwatye nan atik anvan an: iptables pou newbies, kirye, ki enterese (1ye pati)

Se konsa, lwen òdinatè nou an ka navige entènèt la san yo pa pwoblèm, men pesonn pa soti nan nenpòt ki lòt anviwònman (LAN, entènèt, Wifi, elatriye) yo pral kapab jwenn aksè nan òdinatè nou an nan nenpòt fason. Nou pral kòmanse konfigirasyon iptables selon bezwen nou yo.

Sèvi ak ulogd pwodiksyon iptables mòso bwa yo nan yon lòt dosye:

Pa default mòso bwa yo iptables ale nan boutèy demi lit la Kernel, boutèy demi lit sistèm lan, oswa yon bagay tankou sa ... nan Arch pa default, kounye a mwen pa menm sonje kote yo ale, Se poutèt sa mwen itilize ulogd se konsa ke mòso bwa iptables yo nan yon lòt dosye.

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Bay aksè a sèvè prive mwen an:

Mwen pa sèvi ak VirtualBox oswa nenpòt bagay ki sanble ak Virtualize, mwen gen sèvè prive mwen Virtualized ak Qemu + KVM ki dwe kapab konekte nan laptop mwen an tankou sa yo, ak règleman yo iptables ke mwen jis espesifye pi wo a li pa yo pral kapab, se poutèt sa mwen dwe bay pèmisyon IP la nan sèvè vityèl mwen pou ke li ka jwenn aksè nan laptop mwen :

sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT

Nou pral detaye liy sa a, li enpòtan pou ou konprann ki sa chak paramèt vle di, paske yo pral repete anpil depi koulye a:

-YON D ' : Mwen di mwen pral deklare yon règ pou trafik entrant

-mwen virbr0 : Mwen deklare ke koòdone nan ki mwen pral aksepte trafik la se pa etho (LAN) oswa wlan0 (Wifi), mwen espesyalman di ke li se koòdone virbr0 mwen an, se sa ki, koòdone nan rezo vityèl (entèn) nan ki laptop mwen kominike ak sèvè vityèl mwen (ak vis vèrsa)

-p tcp : Mwen presize pwotokòl la, pi itilize yo se UDP ak TCP, isit la li te reyèlman ase yo pa mete sa a, men ... li se òdinè presize ki kalite pwotokòl yo aksepte

-s 192.168.122.88 : Sous la, sous pakè yo. Sa se, règ la refere a pake ki espesyalman soti nan IP 192.168.122.88 la

-j AKSEPTE : Deja isit la mwen di sa mwen vle fè ak pakè yo ki matche ak pi wo a, nan ka sa a aksepte.

Nan lòt mo, kòm yon rezime, mwen pral aksepte pake ki soti nan IP 192.168.122.88 a, men nan ka ou vle antre nan pake ki soti nan ki IP MEN! Yo antre nan yon koòdone ki pa virbr0, se sa ki, kite yo di ke yo eseye antre nan pake ki soti nan IP 192.168.122.88 la men yo soti nan yon òdinatè nan rezo Wifi nou an, si se ka a, pake yo pral rejte. poukisa? Paske nou byen presize ke wi, nou aksepte pake soti nan 192.168.122.88 wi, men epi sèlman men, yo menm tou yo gen pou antre nan koòdone virbr0 (entèn, vityèl koòdone rezo), si pake yo soti nan yon lòt koòdone (LAN, RAS, Wifi, elatriye) Lè sa a, yo pa pral aksepte. Pa espesifye koòdone a, jan ou ka wè, nou ka mete restriksyon sou li menm plis, nou ka gen pi bon kontwòl sou sa ki ale nan (oswa ki pa antre nan) òdinatè nou an.

Aksepte ping nan nenpòt IP nan Wifi kay la:

Soti nan kèk lòt òdinatè ki konekte nan Wifi a, si ou eseye ping laptop mwen an mwen vle pèmèt li. rezon Lide a se tou ke nan kèk semèn kap vini yo konekte PC a nan kay la pwochen pòt nan rezo a, se konsa pataje enfòmasyon ta dwe mwens konplèks, plis likid, lè mwen kòmanse fè tès yo konekte Desktop la Wifi a, mwen pral bezwen ping laptop mwen yo tcheke koneksyon, si laptop mwen pa ping m 'tounen, mwen ka panse ke AP a echwe, oswa ke te gen yon erè lè aksè Wifi a, se poutèt sa mwen vle pèmèt ping la.

sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT

-YON D ' : Menm jan ak anvan, mwen refere a trafik fèk ap rantre

-mwen wlo1 : Menm jan ak anvan. Nan ka anvan an mwen espesifye koòdone vityèl la, nan ka sa a mwen presize yon lòt koòdone, ki nan wifi mwen an: wlo1

-p icmp : Pwotokòl Icmp, icmp = ping. Sa vle di, mwen pa pèmèt SSH oswa anyen menm jan an, mwen sèlman pèmèt ping (icmp)

-s 192.168.1.0/24 : Sous la nan pake yo, se sa ki, osi lontan ke pake yo soti nan yon IP 192.168.1.? ap aksepte

-d 192.168.1.51 : Destinasyon IP, se sa ki, IP mwen an.

-j AKSEPTE : Mwen endike kisa w dwe fè ak pakè yo ki matche ak pi wo a, aksepte.

Sa vle di, epi eksplike sa nan yon fason kouri, mwen aksepte ke yo ping m '(ICMP pwotokòl) ki gen destinasyon se espesyalman IP mwen, osi lontan ke yo soti nan yon IP tankou 192.168.1 .__ men tou, yo pa ka vini soti nan nenpòt koòdone rezo yo, yo gen antre espesyalman nan koòdone rezo Wifi mwen an (wlo1)

Aksepte SSH sèlman pou yon sèl IP:

Pafwa mwen bezwen konekte pa SSH soti nan smartphone mwen kontwole laptop la, se poutèt sa mwen dwe pèmèt SSH aksè nan laptop mwen an soti nan IP yo nan Wifi mwen an, pou sa:

sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT

Soti nan liy sa a bagay la sèlman ki diferan oswa ki merite yo dwe make se: –Pò 22 (SSH pò mwen itilize)

Sa vle di, mwen aksepte tantativ pou konekte avèk laptop mwen an nan pò 22, osi lontan ke yo soti nan nenpòt ki IP nan wifi mwen an, yo menm tou yo gen IP mwen kòm yon destinasyon espesifik ak tou vini nan koòdone nan wlo1, se sa ki, mwen wifi (pa lan, elatriye)

Pèmèt yo wè sit entènèt ou an:

Li se pa ka mwen an, men si nenpòt nan ou gen yon sit entènèt anime epi yo pa vle refize aksè a nenpòt ki moun, se sa ki, ke tout moun soti nan nenpòt kote ka jwenn aksè nan sit entènèt sa a, li se pi senp pase sa ou ka panse:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Nan lòt mo, isit la yo ap pèmèt tout trafik fèk ap rantre (tcp) nan pò 80. Kòm ou ka wè, mwen pa presize ki soti nan ki IP oswa rezo mwen pèmèt aksè, pa pa espesifye yon seri IP yo ki pèmèt, iptables sipoze ke mwen vle yo ki pèmèt aksè a tout chenn IP ki egziste deja, se sa ki, nan lemonn antye 🙂

Lòt konbinezon:

Mwen gen anpil lòt règ tankou, pou egzanp, aksepte ping pou IP soti nan LAN lakay mwen (pou sa a li se fondamantalman liy lan menm jan ak pi wo a, chanje chenn yo IP), ki se plis nan menm bagay la ke mwen jis eksplike pi wo a .. .. nan laptop mwen an tankou mwen pa sèvi ak bagay sa yo reyèlman konplèks, ki nan limite koneksyon, anti DDoS, mwen kite sa pou serveurs yo, sou laptop mwen an mwen pa bezwen li lo

De tout fason, byen lwen tèlman atik la.

Kòm ou ka wè, k ap travay ak iptables se pa sa ki konplèks pa nenpòt vle di, yon fwa ou bati yon script nan kote ou ekri règ ou li trè senp Lè sa a, modifye li, ajoute oswa retire règ nan firewall ou.

Mwen pa konsidere tèt mwen yon ekspè sou sijè a, byen lwen soti nan li, malgre nenpòt kesyon ou ka genyen, yo kòmantè isit la, mwen pral eseye ede ou otank posib.

Concerne


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

31 kòmantè, kite ou

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.

  1.   risketo diro

    Trè bon, trè byen eksplike, gwo.
    Mwen renmen sa a ki kalite pòs.

    1.    KZKG ^ Gaara diro

      Mèsi anpil pou kòmantè 🙂

      Pòs sa a te yon dèt ke mwen te gen pou yon tan long, li se bèl ak bèl nan fen a pou kapab peye li koupe ^ _ ^

      Concerne

      1.    FIXOCONN diro

        yon kesyon ou nan kuba?
        ... Sa rive ke kèk jou de sa lè l sèvi avèk yon Linksys AP (Aksè Point) mwen mete yon koneksyon Wi-Fi nan kay mennaj mwen an

        1.    KZKG ^ Gaara diro

          Wi nan kou, mwen te fèt ak ap viv nan Kiba. poukisa kesyon an?

        2.    Sam burgos diro

          @FIXOCONN: Bonjou zanmi ak padonnen offtopic la nan kesyon an, men ki jan ou defini Cinnamon parèt tankou yon anviwònman Desktop nan itilizatè-ajan an? Mwen sèvi ak Mint 13 ak Cinnamon, men nan okenn fason mwen pa jwenn logo la Cinnamon parèt nan itilizatè-ajan mwen chak fwa mwen fè kòmantè sou sit sa a

          Èske ou ta dwe janti jan yo pase m 'detay ajan itilizatè ou si li se pa twòp pwoblèm? Mwen ta renmen konnen ke done yo mete l 'tèt mwen =)

          Mwen kite ou yon paj pou ou ka revize li epi ban mwen enfòmasyon an. Mèsi ak admins, padonnen "trol la" (si ou ka rele li sa) sou pati mwen ak enfòmasyon sa a -> http://user-agent-string.info/

          1.    KZKG ^ Gaara diro

            Ajoute "Cinnamon" (san quotes yo) nan nenpòt pati nan UserAgent a, lè sa a logo la ta dwe parèt nan kòmantè nan lavni 🙂

  2.   Bruno cascio diro

    Trè bon pòs la! trè klè 😀

    1.    KZKG ^ Gaara diro

      Mèsi pou lekti ak mèsi pou kòmantè ou 🙂

  3.   vo diro

    Mèsi! Li reyèlman ede m 'anpil!

  4.   Oscar Grenada diro

    Bonjou, premye nan tout konpliman anpil pou blog la, mwen panse ke li nan gwo.
    Yon bagay ki ta ka bon mansyone se ke opsyon a louvri sesyon ak ULOG pa travay nan sistèm opere ki gen ulogd2, pou ka sa a règ la ta dwe:
    sudo iptables -A INPUT -p tcp -m tcp –tcp-drapo FIN, SYN, RST, ACK SYN -j NFLOG

    1.    KZKG ^ Gaara diro

      Premye a tout, mèsi anpil pou sa ou di sou blog la 🙂

      Nan Arch mwen gen ulogd v2.0.2-2 enstale, ak liy lan ke mwen mete travay san pwoblèm (mwen te mete yon loglevel = 1 nan /etc/ulogd.conf, men li pran mòso bwa yo nan yon lòt dosye san yo pa pwoblèm.

      Sèvi ak ulogd v2 oswa pi wo, liy lan mwen kite travay mal pou ou?

      Salitasyon ak mèsi pou fè kòmantè.

  5.   Citux diro

    Mwen te toujou ap tann pou dezyèm pati a, mwen sonje lè mwen li premye a (li te inisyasyon mwen nan firewall). Mèsi @ KZKG ^ Gaara, konsidere 🙂

    1.    KZKG ^ Gaara diro

      Mèsi pou lekti mwen 😀
      E hehe wi, mwen te di ... pòs sa a se te yon dèt ke mwen te gen yon bon bout tan de sa ^ _ ^

  6.   Imaj lokatè Jose Luis Gonzalez diro

    Salitasyon. Trè bon pòs la. Mwen ap eseye configured règ iptables redireksyon trafik soti nan kalma nan dansguardian epi li toujou pa reyalize objektif la. Mwen ta apresye kèk èd nan sans sa a.

    1.    KZKG ^ Gaara diro

      iptables pou sa? Èske se pa sa ki fè dirèkteman ak ACLs nan kalma?

  7.   anonim diro

    "Mwen gen anpil lòt règ tankou .."
    Se sa mwen rele paranoya, ti gason
    Yon ti kras pi plis epi ou mete yon pake nan Rotwailer a nan chak pò louvri sou modèm ou / routeur 🙂

    1.    KZKG ^ Gaara diro

      HAHAHAHAHAHAHAHAHA Mwen ap mouri nan ri ak rottwailers yo hahahaha

  8.   Ivan diro

    Bonjou zanmi, li rive ke mwen bezwen èd nan konfigirasyon IPTables nan yon fason ke li refize aksè sèlman pou pò 80 lè mwen tape adrès la nan navigatè a nan nameservers koutim mwen an, se sa ki, lè pou egzanp mwen tape ns1.mydomain.com ak ns2.mydomain. com (ki se nameservers mwen) IPtables refize aksè nan pò 80 pou ke navigatè a ap eseye chaje paj la, men apre yon ti tan li ekspire epi pa janm chaje, li rive ke mwen te deja eseye ak kòmandman tankou sa a:

    iptables -A INPUT -d ns1.midomini.com -p tcp –port 80 -j gout
    iptables -A INPUT -d ns2.midomini.com -p tcp –port 80 -j gout

    Men, sèl bagay li fè se refize antre nan pò 80 nan tout domèn mwen yo (depi yo pataje menm IP ak Virtual Host), mwen vle li sèlman nan url nameservers mwen yo ak IP kote nameservers mwen yo montre, se sa ki, tab IP refize aksè nan pò 80 nan:

    ns1.midomini.com (Montre A) -> 102.887.23.33
    ns2.midomini.com (Montre A) -> 102.887.23.34

    ak IP yo ke nameservers yo montre

    102.887.23.33
    102.887.23.34

    Yon egzanp yon konpayi ki gen sistèm sa a se: Dreamhost
    Nameservers yo: ns1.dreamhost.com ak ns2.dreamhost.com ak IP yo yo montre yo pa reponn lè tape nan ba adrès navigatè a

    Mèsi anpil davans pou atansyon ou, mwen ta renmen anpil pou ou ban m 'yon men ak sa mwen reyèlman bezwen li epi ijan !!

    Bonjou !!

    1.    KZKG ^ Gaara diro

      Bonjou Ivan,

      Kontakte mwen pa imèl (kzkggaara [nan] desdelinux [dot] net) pou pale li pi kalm epi eksplike ou pi byen, demen san mank map reponn ou (jodi a mwen an pas

      Ki sa ou vle fè se senp, mwen pa konnen poukisa liy yo ou di m 'pa travay pou ou, yo ta dwe, men ou dwe tcheke mòso bwa ak lòt bagay ki ta ka twò lontan alantou isit la.

      Bonjou ak mwen rete tann pou imèl ou

  9.   neysonv diro

    teyorikman ak iptables mwen te kapab anpeche demann dekoneksyon soti nan pwogram tankou aircrack. Mwen gen rezon ??? Oke mwen pral fè tès men si ou di m 'ke ou ta fè m' trè kontan XDDD

    1.    KZKG ^ Gaara diro

      Nan teyori mwen panse sa, kounye a, mwen pa konnen ki jan li ta ka fè, mwen pa janm te fè li ... men mwen repete, nan teyori, mwen panse ke li te kapab.

  10.   Alex diro

    Apre ou fin aplike règ iptables yo, li enposib pou mwen jwenn aksè nan dosye fenèt pataje sou rezo lokal la. Ki règ mwen ta dwe aplike pou ranje li?
    Mèsi poutèt ou.

    1.    KZKG ^ Gaara diro

      Ki règ iptables ou te aplike?
      Sa a se pati nan 2nd nan "iptables pou newbies", ou te li youn nan premye? Mwen mande sa a konnen si ou aplike règleman yo ki te nan pòs anvan an

      1.    Alex diro

        Wi, mwen te li tou de pati yo. Pou script la mwen baze tèt mwen sou yon lòt pòs ou afiche sou kòmanse règ ak systemd.

        #! / bin / bash
        # - UTF 8 -

        # Iptables binè
        iptables = »/ usr / bin / iptables»

        jete ""

        ## Tab pwòp ##
        $ iptables -F
        $ iptables -X
        $ iptables -Z
        #echo »- Fè FLUS pou iptables» && eko »»

        ## Etabli mòso bwa ak ULOGD ##
        $ iptables -A INPUT -p tcp -m tcp –tcp-drapo FIN, SYN, RST, ACK SYN -j ULOG

        ## Defini règleman DROP default ##
        $ iptables -P INPUT DROP
        $ iptables -P ANVAN gout
        #echo »- Règleman DROP defini pa default» && eko »»

        ## Pèmèt tout bagay lokalhost ##
        $ iptables -A ENPUT -i lo -j AKSEPTE
        $ iptables -A OUTPUT -o lo -j AKSEPTE
        #echo »- Tout pèmèt pou localhost» && eko »»

        ## Pèmèt antre nan pakè koneksyon ke mwen kòmanse ##
        $ iptables -A INPUT -m leta-leta etabli, ki gen rapò -j AKSEPTE
        #echo »- Pake koneksyon ki pèmèt mwen inisye» && eko »»

        jete "################################"
        eko »## IPTABLES KONFIGURE OK! ## »
        jete "################################"

        Mwen te li sou entènèt la ke pou samba ou ta dwe gen règleman sa yo nan script la:

        $ iptables -A INPUT -p tcp –port 139 -j AKSEPTE
        $ iptables -A INPUT -p tcp –port 445 -j AKSEPTE
        $ iptables -A INPUT -p udp –sport 137 -j AKSEPTE
        $ iptables -A INPUT -p udp –port 137 -j AKSEPTE
        $ iptables -A INPUT -p udp –port 138 -j AKSEPTE

        Sepandan, pa menm avèk yo mwen ka wè fenèt workgroups. : S

      2.    Alex diro

        Pwoblèm rezoud. Modifye gwoup travay la ak gen tout pouvwa a pèmèt paramèt nan dosye konfigirasyon samba a.

  11.   otkmanz diro

    Ekselan atik, jis gwo !!!!
    Mwen jis li li e mwen renmen tou de fason ou eksplike li ak itilizasyon reyèlman itil nan iptables, mwen ta reyèlman renmen aprann kouman yo sèvi ak li nan pi gwo pwofondè.
    Bonjou ak atik ekselan, mwen espere ou pibliye plis enfòmasyon sou Iptables! ^^

  12.   Leo diro

    Mezanmi;

    Mwen gen yon prokurasyon ak iptables ak youn nan rezo mwen an pa ka ping http://www.google.cl pou rezon sa a mwen gen pò yo bloke epi eseye mil fason yo louvri pò yo e pa gen anyen k ap pase. Si mwen pa ka ping mwen pa ka konekte pespektiv

  13.   Borja diro

    Konpliman pou pòs la! Trè byen. Men, mwen gen yon kesyon. Pafwa adrès IP ki asiyen ou nan rezo a ka chanje (si se vre ke nou ta ka asiyen yon IP MAC Addres nou an), men èske gen yon posibilite ak Iptables pou pèmèt aksè nan sèvè nou an via SSH pa MAC adrès?

    Mwen espere ke mwen te eksplike tèt mwen byen.

    Salitasyon, e mèsi anpil!

  14.   Fernando Martin Gan diro

    Bonjou, ou konnen mwen te gen yon sèvè Linux configuré ak apre k ap antre nan kòmandman sa yo mwen bloke tout bagay ak pèdi aksè, mwen te kapab refè prèske tout bagay men mwen manke 2 bagay sa yo. * Mwen pa kapab jwenn aksè nan yon navigatè entènèt nan cname «sèvè a» si pa ip, 10.10.10.5 ak sou lòt men an mwen pa wè resous yo pataje soti nan Windows Explorer a sou rezo a, anvan mwen mete \\ sèvè ak Mwen te wè tout resous pataje. Mwen espere ke ou ka ede m ', mwen konnen li nan komik men mwen pa ke yo te kapab rezoud li, mèsi

  15.   tau diro

    Mwen site literalman:
    '
    Icmp pwotokòl, icmp = ping. Sa vle di, mwen pa pèmèt SSH oswa anyen menm jan an, mwen sèlman pèmèt ping (icmp)
    '

    ICMP ak PING yo pa menm. Pinging se yon pati nan pwotokòl ICMP a, men se pa tout bagay. Pwotokòl ICMP (Pwotokòl Mesaj Kontwòl Entènèt la) gen anpil plis itilizasyon, kèk ladan yo ki gen sèten danje. Epi w ap aksepte tout trafik ICMP. Ou ta dwe mete restriksyon sou sèlman ping.

    Bonjou!

  16.   ozkr diro

    Mwen dwe fè yon pratik men mwen pa konprann anpil bagay sou iptables, ou ta ka tanpri ede m ...
    mèsi !!!!!!!