Mindig azt gondoltam, hogy a biztonság soha nem árt, és soha nem elég (ezért élénk Megszállott és pszichotikus biztonsági mániákusnak titulál ...), így még a GNU / Linux használatakor sem hanyagolom el a rendszerem, a jelszavak (véletlenszerűen generált pwgen) stb.
Továbbá, még akkor is, ha a rendszer típusa van Unix kétségtelenül nagyon biztonságosak, kétségtelenül ajánlott használni tűzfal, konfigurálja megfelelően, hogy a lehető legjobban védve legyen 🙂
Itt különösebb szóváltás, kusza vagy összetett részletek nélkül elmagyarázom neked, hogyan kell megismerni az alapokat iptables.
De … Mi a fene az iptables?
iptables Ez a Linux kernel (modul) része, amely a csomagszűréssel foglalkozik. Ez másképp szólva azt jelenti iptables A kernelnek az a része, amelynek feladata tudni, hogy milyen információkat / adatokat / csomagokat szeretne beírni a számítógépébe, és mi nem (és még több dolgot csinál, de most erre összpontosítsunk hehe).
Ezt másképp magyarázom el 🙂
Sok disztrójuk tűzfalat használ, Firestarter o firehol, de ezek a tűzfalak valójában „hátulról” (a háttérben) használata iptables, akkor ... miért ne használhatná közvetlenül iptables?
És ezt itt röviden elmagyarázom 🙂
Eddig kétséges? 😀
Valakivel együtt dolgozni iptables szükséges adminisztratív engedélyekkel rendelkezni, ezért itt fogom használni sudo (de ha tetszik beírod gyökér, nincs szükség).
Ahhoz, hogy számítógépünk valóban biztonságos legyen, csak azt kell megengednünk, amit akarunk. Lássa a számítógépét úgy, mintha a saját otthona lenne, otthonában alapértelmezés szerint NEM engedhet be senkit, csak bizonyos meghatározott személyek léphetnek be, akiket korábban jóváhagyott. A tűzfalakkal ugyanez történik, alapértelmezés szerint senki sem léphet be a számítógépünkbe, csak azok léphetnek be 🙂
Ennek eléréséhez elmagyarázom, íme a következő lépések:
1. Nyisson meg egy terminált, tegye bele a következőket, majd nyomja meg az gombot [Belép]:
sudo iptables -P INPUT DROP
Ez elég lesz ahhoz, hogy senki, egyáltalán senki ne léphessen be a számítógépébe ... és ez a "senki" magában foglalja 😀
Az előző sor magyarázata: Ezzel jelezzük az iptables számára, hogy az alapértelmezett házirend (-P) minden, ami be akar lépni a számítógépünkbe (INPUT), figyelmen kívül hagyja, figyelmen kívül hagyja (DROP)Senki sem egészen általános, abszolút, sőt, maga sem fog tudni internetezni vagy bármi mást, ezért be kell írnunk a terminálba a következőket és nyomja meg [Belép]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... nem értem a szart, Mit csinál most ez a két furcsa vonal? ...
Egyszerű 🙂
Az első sor azt mondja, hogy maga a számítógép (-i lo ... mellesleg lo = localhost) bármit megtehet. Valami nyilvánvaló, ami még abszurdnak is tűnhet ... de hidd el, ez ugyanolyan fontos, mint a levegő haha.
A második sort a korábban használt példa / összehasonlítás / metafora segítségével magyarázom el, vagyis a számítógépet a házhoz hasonlítom. Tegyük fel például, hogy több emberrel élünk a házunkban (anya, apa, testvérek, barátnő stb.) ). Ha ezek közül az emberek elhagyják a házat, nyilvánvaló / logikus, hogy beengedjük őket, amint visszatérnek, nem?
Ez a második sor pontosan ezt teszi. Az összes kapcsolat, amelyet elindítottunk (a számítógépünkről származik), amikor ezen a kapcsolaton keresztül meg akar adni néhány adatot, iptables beengedi ezeket az adatokat. Még egy példát hozva a magyarázatára: ha a böngészőnk segítségével megpróbálunk szörfözni az interneten, akkor e két szabály nélkül nem leszünk képesek, nos igen ... a böngésző csatlakozik az internethez, de amikor megpróbál adatokat letölteni ( .html, .gif stb.) a számítógépünkre, hogy megmutassa nekünk, ő nem lesz képes rá iptables Meg fogja tagadni a csomagok (adatok) bevitelét, míg ezeknek a szabályoknak a betartásával, mivel mi belülről (a számítógépünkről) kezdeményezzük a kapcsolatot, és ugyanez a kapcsolat az, amely megpróbálja megadni az adatokat, lehetővé teszi a hozzáférést.
Ezzel készen állítottuk már, hogy senki sem férhet hozzá a számítógépünkön lévő bármely szolgáltatáshoz, senki sem, kivéve magát a számítógépet (127.0.0.1), és csak azokat a kapcsolatokat, amelyek a számítógépen indulnak.
Most még egy részletet elmagyarázok gyorsan, mert a bemutató 2. része többet fog megmagyarázni és bemutatni erről a hehe-ről, nem akarok túl sokat haladni 😀
Előfordul, hogy például a számítógépükön közzétesznek egy weboldalt, és azt akarják, hogy ezt a weblapot mindenki láthassa, mivel korábban kijelentettük, hogy alapértelmezés szerint NEM engedélyezett minden, hacsak másként nem jelezzük, senki sem láthatja a weboldal. Most azt tesszük elérhetővé, hogy bárki megtekinthesse a számítógépünkön található webhelyet vagy webhelyeket, ehhez tesszük:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Ezt nagyon egyszerűen meg lehet magyarázni 😀
Ezzel a sorral kijelentjük, hogy elfogadja vagy engedélyezi (-j ELFOGADÁS) az összes forgalom a 80-as kikötőig (–Dport 80) TCP-vel (-p tcp), és hogy ez a bejövő forgalom is (-BEMENET). A 80-as portot tettem, mert ez a webgazda portja, vagyis ... amikor egy böngésző megpróbálja megnyitni a webhelyet az X számítógépen, alapértelmezés szerint mindig az adott porton néz ki.
Most ... mi a teendő, ha tudod, milyen szabályokat kell beállítani, de amikor újraindítjuk a számítógépet, azt látjuk, hogy a változásokat nem mentették el? ... nos, erre már ma készítettem egy másik oktatóanyagot:
Az iptables szabályok automatikus indítása
Ott részletesen elmagyarázom 😀
És itt vége a 1. oktatóanyag tovább iptables kezdőknek, kíváncsi és érdeklődő 😉 ... ne aggódj, nem ez lesz az utolsó hehe, a következő ugyanezzel foglalkozik, hanem konkrétabb szabályokkal, mindent egy kicsit részletezve és növelve a biztonságot. Nem akarom ezt sokkal bővíteni, mert a valóságban szükséges, hogy az alapok (amit itt olvastál az elején) tökéletesen megértsék 🙂
Üdvözlet és ... gyere, tisztázom a kételyeket, mindaddig, amíg tudod a választ LOL !! (Messze nem vagyok ennek szakértője hahaha)
Nagyon jó! Csak egy kérdés? Van ötlete, hogy mik az alapértelmezett beállítások? A kérdés paranoiás, hogy én csak: D.
Köszönöm szépen.
Alapértelmezés szerint, alapértelmezés szerint mindent elfogad. Más szavakkal, a számítógépen feltöltött szolgáltatás ... a többi számára nyilvános szolgáltatás
Te megérted?
Tehát ... ha nem akarja, hogy az X webhely megnézze ÉS a barátja, vagy egy bizonyos IP, akkor jön a tűzfal, a htaccess vagy valamilyen módszer a hozzáférés megtagadására.
Üdvözlettel,
Testvér, kiváló !!!! Most elolvasom az első ...
Köszönöm a segítséget…
Disla
Köszönöm a bemutatót, ez jól jön.
Az egyetlen dolog, amit tudni akarok, vagy megbizonyosodni arról, hogy ha ezen utasítások segítségével nem lesz problémám például p2p átvitellel, fájlok letöltésével vagy videohívásokkal. Amit nem olvastam, nem lehet probléma, de inkább meg kell győződnöm róla, mielőtt belépek a sorokba.
Köszönöm azóta.
Üdvözlet.
Nem lehet problémája, azonban ez egy meglehetősen alapvető konfiguráció, a következő bemutatóban részletesebben elmagyarázom, hogyan adhatja hozzá saját szabályait, az egyes igényektől függően stb. 🙂
De megismétlem, hogy nem lehetnek problémái, ha vannak, csak indítsa újra a számítógépet, és ennyi, mintha soha nem konfigurálta volna az iptable-t 😀
Újrakezd ? Nagyon windowsero-nak hangzik. A legrosszabb esetben csak ki kell mosnia az iptables szabályokat, és az alapértelmezett házirendeket ACCEPT-re kell állítania, és az ügy rendben van, tehát rockandroleo, nem lesznek problémái.
Saludos!
És sajnálom, hogy újabb megkeresést tettem, de mivel a tűzfal témakörével foglalkozunk, lehetséges, hogy elmagyarázza, hogyan kell ugyanezeket a parancsokat alkalmazni a tűzfalak grafikus felületein, például a gufw vagy a firestarter között.
Előre is köszönöm.
Üdvözlet.
Elmagyarázom a Firestartert, gufw, csak láttam, és nem használtam ilyenként, talán röviden elmagyarázom, vagy talán élénk csináld én magam 🙂
Aztán amikor hackerként akarok érezni magam, el fogom olvasni, mindig meg akartam ismerni a biztonságot
Kiváló oktatóanyag, számomra jól megmagyarázottnak tűnik, és bár lépésről lépésre jobb, mint mondanák, a bábuknak.
Üdvözlet.
hahahaha köszönöm 😀
Nagy.
Világosan megmagyarázva.
Szükséges lesz elolvasni és újraolvasni mindaddig, amíg az ismeretek rendeződnek, majd folytatni kell a következő oktatóanyagokkal.
Köszönöm a cikket.
Köszönöm 😀
Megpróbáltam elmagyarázni, bárcsak szeretném, ha először elmagyarázták volna nekem, LOL !!
Üdvözlet 🙂
Nagyon jó, tesztelek, és megfelelően működik, ami megfelel a szabályok automatikus elindításának az elején. A második rész közzétételekor meghagyom, addig egy kicsit több munkám lesz a parancsok begépelésével, amikor újraindítom a PC, köszönöm barátomnak a tutót és azt, hogy milyen gyorsan tetted közzé.
köszönöm az ajánlást és a magyarázatokat.
Megtekintheti az iptables esetében a következőket:
sudo iptables -L
Pontos 😉
Hozzáadom a n tulajdonképpen:
iptables -nLKöszönöm a bemutatót, várom a második részt, üdvözletet.
mikor jelenik meg a második rész
Van egy kalmárral rendelkező proxy a Machine1-en, amely internetes böngészést ad a 192.168.137.0/24 LAN más gépeinek, és a 192.168.137.22:3128-on hallgatja (a 3128-as portot nyitom bárkinek, aki tűzoltóval rendelkezik), a Machine1-ből, ha feltettem a Firefox-ot a proxy 192.168.137.22:3128 használatára, ez működik. Ha egy másik pc-ről, például 192.168.137.10 ip-ről, a Machine2-ről, úgy állítottam be, hogy a 192.168.137.22:3128 proxyt használja, ez nem működik, kivéve, ha a Machine1-en feltettem egy firestartert, hogy megosszam az internetet a lannal, ott, ha a proxy működik, az áramlási adatok a proxyn keresztül zajlanak, de ha a Machine2-en eltávolítják a proxy használatát és helyesen mutatják be az átjárót, akkor képesek lesznek szabadon navigálni.
Ez miről szól?
Milyen szabályok lennének az iptables használatával?
- Igyekszem az erő sötét oldalán maradni, mert ott van az élet móka. és jedi delíriummal hahahahaha
Nagyon jó! Kicsit elkéstem igaz? haha a bejegyzés körülbelül 2 éves, de több mint hasznos voltam. Köszönöm, hogy ilyen egyszerűen elmagyarázta, hogy megérthessem. haha folytatom a többi részt ..
Köszönöm, hogy elolvastad 🙂
Igen, a bejegyzés nem teljesen új, de még mindig nagyon hasznos, szinte semmi sem változott a tűzfalak működésében szerintem az elmúlt évtizedben 😀
Üdvözlet és köszönöm a hozzászólást
Micsoda magyarázat virágokkal és mindennel. "Kezdő" felhasználó vagyok, de nagyon vágyom arra, hogy megtanuljam a Linuxot, a közelmúltban olvastam egy bejegyzést egy nmap szkriptről, hogy lássam, ki csatlakozik a hálózathoz, és hogy ne okozzon sokáig. hogy mi fogjuk alkalmazni azt a híres első sort, amelyet az iptables-ből tettél, és ez elég volt, és mivel óriási noobster vagyok, én alkalmaztam, de mint itt írtad, nem került be az internetre 🙁
Köszönöm ezt a bejegyzést, amely elmagyarázza az iptables használatát, remélem, kibővíti és teljes mértékben elmagyarázza nekem a teljes működését. Egészségére!
Köszönöm, hogy elolvastad és hozzászóltál 🙂
Az iptables fenomenális, olyan jól zárja a dolgát, hogy olyan jól, hogy ... magunk sem tudunk kijönni, ez biztos, hacsak nem tudjuk, hogyan kell konfigurálni. Ezért próbáltam a lehető legegyszerűbben megmagyarázni az iptable-eket, mert néha nem mindenki képes először megérteni valamit.
Köszönöm a megjegyzést, üdvözlettel: ^ _ ^
PS: A bejegyzés meghosszabbításáról itt van a 2. rész: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Nos, nagyon köszönöm, ha elolvastam a második részt, és azonnal elkezdtem játszani a konzolon a hatalmas útmutatóval. Nagyon köszönöm, hé, mellesleg, remélem, tudsz segíteni nekem, mivel van egy kis kétségem, és mivel jól tudod, hogy újonc vagyok, és megpróbálom megismerni ezt a csodálatos ingyenes szoftvert, a lényegre, hogy nemrégiben telepítettem egy másik terjesztőt amire módosítottam a dhcp.config fájlt, és így hagytam:
#send host-name "" küldése; Nos, ez a diszkóban nekem bevált és minden rendben volt, a pc nevem nem jelenik meg az útválasztóm dhcp szerverén, csak a pc ikonja, de ebben az új disztribúcióban ugyanazt a sort módosítottam, így ugyanaz maradt, de nem működött. Vezetne egy kicsit? 🙁 Kérem ...
Ya esto puede ser algo más complejo o extenso, crea un tema en nuestro foro (foro.desdelinux.net) y ahí entre todos te ayudamos 🙂
Köszönjük, hogy elolvasta és kommentálta
Kész, köszönöm a választ. Holnap reggel elkészítem a témát, és remélem, tudsz nekem segíteni, üdvözletet és természetesen ölelést.
Kiváló cikk.
Gondolod, hogy ezzel tűzfalat tudok megvalósítani az iptables segítségével a házamban, vagy tudnom kell valami mást? Van valamilyen konfigurációs oktatóanyagod, vagy ezeknél a cikkeknél ez megmarad?
tekintetében
Valójában ez volt az alap és a közeg, ha valami fejlettebbre kíváncsi (például csatlakozási korlátok stb.), Akkor itt megnézheti az iptables-ről szóló összes bejegyzést - » https://blog.desdelinux.net/tag/iptables
Ezzel azonban szinte az összes helyi tűzfalam megvan 🙂
Kezdetben egyáltalán nem tűnnek rossznak.
De valamit módosítana.
Dobnék egy bemenetet és továbbítanám és kimenetet fogadnék el
-P BEMENET -m állapot –állapot LÉTREHOZOTT, KAPCSOLÓDÓ -j ELFOGADÁS
Ez elég lenne ahhoz, hogy az iptables-ben szereplő újonc "meglehetősen biztonságos" legyen
Ezután nyissa meg a szükséges portokat.
Nagyon szeretem az oldalt, nagyon jó dolgaik vannak. Köszönet a megosztásért!
Üdvözlet!
Jó estét mindazoknak, akik hozzászóltak, de nézzük meg, megtudja-e tisztázni, miért vagyok inkább elveszett, mint egy farkas a csatornában, én kubai vagyok, és azt hiszem, minden lehetséges témánál mindig tovább megyünk, és jól: Elnézést előre, ha semmi köze a témához !!!
Van egy UBUNTU Server 15 kiszolgálóm, és kiderült, hogy van egy szolgáltatásom, amelyet egy másik, a TV-t sugárzó program nyújt, de megpróbálom a MAC-címen keresztül irányítani, hogy például a 6500-as port vezérlése válassza ki véletlenszerűen Senki nem léphet be azon a porton, kivéve, ha az iptables-ben megadott MAC-címmel rendelkezik. Ennek a cikknek az első számú konfigurációját megcsináltam, és nagyon jól működik, jobb, mint akartam, de a info-t a todooooooooooooooo-ban kerestem, és nem találtam azt a boldog konfigurációt, amely lehetővé tenné, hogy egy mac-cím csak egy bizonyos portot használjon, és semmi mást.
előre is köszönöm!
Helló, hogy vagy, elolvastam az iptables cikket az újoncoknak, nagyon jó, gratulálok, nem sokat tudok a linuxról, ezért szeretnék feltenni neked egy kérdést, van egy problémám, ha tudsz segítsen köszönöm, van egy szerverem több IP-vel, és néhány naponta, amikor a szerver e-maileket küld a szerveren lévő IP-címeken keresztül, abbahagyja az e-mailek küldését, ezért ahhoz, hogy újra e-maileket küldhessen, be kell tennem:
Az /etc/init.d/iptables leáll
Amikor ezt beteszem, újra elkezdi az e-mailek küldését, de néhány nap múlva újra blokkol, meg tudnád mondani, milyen parancsokat kell tennem, hogy a szerver ne blokkolja az ip-t? Olvastam és abból, amit mondasz az oldalt, ezzel a 2 sorral kellene megoldani:
sudo iptables -A BEMENET -i lo -j ELFOGADÁS
sudo iptables -A BEMENET -m állapot –állapot LÉTREHOZOTT, KAPCSOLÓDÓ -j ACCEPT
De mivel nem tudom, hogy ez mi az, a parancsok megadása előtt azt szerettem volna megtudni, hogy ezzel a szerver IP-jeit nem fogjuk-e blokkolni, várom azonnali választ. Üdvözlettel. Nicholas.
Helló, jó reggelt, elolvastam a kis oktatóanyagodat, és nagyon jónak tűnt, ezért szeretnék feltenni egy kérdést:
Hogyan tudom átirányítani a lo felületen (localhost) keresztül beérkező kéréseket egy másik számítógépre (másik IP-re) ugyanazzal a porttal, ilyesmit használok
iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –to 148.204.38.105:3306
de nem irányít át, a 3306 portot figyelem a tcpdump segítségével, és ha fogad csomagokat, de nem küldi az új IP-re, de ha kéréseket kérek egy másik számítógépről, akkor átirányítja őket. Röviden, átirányítja azt, ami az -i eth0-n keresztül történik, de nem azt, ami az -i lo-n keresztül történik.
Előzetesen értékelem azt a sok vagy kevés segítséget, amelyet tudsz nekem nyújtani. salu2.
Helló, hogy vagy, az oldal nagyon jó, rengeteg információval rendelkezik.
Problémám van, és meg akartam tudni, hogy tud-e segíteni nekem, a CentM 6-ba telepítettem a PowerMta-t a Cpanellel, a probléma az, hogy néhány nap múlva a PowerMta leállítja az e-mail küldését, mintha az IP-k blokkolódnának minden egyes nap be kell helyeznem az /etc/init.d/iptables stop parancsot, ezzel a PowerMta újra külföldre kezd e-maileket küldeni, ezzel a probléma néhány napig megoldódik, de aztán újra megtörténik.
Tudja, hogyan tudok megoldani a problémát? Van valami, amit konfigurálhatok a szerveren vagy a tűzfalon, hogy ez ne forduljon elő? Mivel nem tudom, miért történik ez, ha tudna nekem segíteni köszönöm, remélem, hamarosan válaszol.
Üdvözlet.
Nicolas.
Kiváló és nagyon világos magyarázat, kerestem könyveket, de nagyon terjedelmesek, és az angol nyelvem nem túl jó.
Ismer olyan könyveket, amelyeket spanyolul ajánl?
Mit szólnál jó reggeltől, nagyon jól megmagyarázva, de még mindig nincs bejáratom az internetről, megmagyarázom, van egy szerverem az Ubuntuval, amely két hálózati kártyával rendelkezik, az egyik ezzel a konfigurációval Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maszk: 255.255.255.0, a második pedig ezzel a másik Link encap-tal: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maszk: 255.255.255.0, ahol a második az én átjárómé, ami 192.168.1.64, de az első kártya az, amelyik irányítja a kameráimat, és látni akarom őket az internet a fix ip-ről ,,, látom őket a lan-ból, de nem az internetről, tudna ebben segíteni? , vagy ha az én útválasztóm hibásan van beállítva, akkor ez egy tp-link archer c2 ,,, köszönöm
Helló, most tettem ezt a szerveremen, és tudod, hogyan lehetne helyreállítani?
iptables -P INPUT DROP
Otthagyom az e-mailemet ing.lcr.21@gmail.com
Kicsit kerestem ilyen tartalmú jó minőségű bejegyzéseket vagy blogbejegyzéseket. Google-keresés közben végre megtaláltam ezt a weboldalt. A cikk elolvasásával meggyőződésem, hogy megtaláltam, amit kerestem, vagy legalábbis olyan furcsa érzésem van, pontosan felfedeztem, amire szükségem volt. Természetesen arra késztetem, hogy ne felejtse el ezt a weboldalt, és ajánlom, rendszeresen meglátogatom.
Üdvözlet
Nagyon gratulálok! Sok oldalt olvastam az iptables-ből, de egyiket sem magyaráztam olyan egyszerűen, mint a tiedet; kiváló magyarázat !!
Köszönöm, hogy megkönnyíti az életemet ezekkel a magyarázatokkal!
Egy pillanatra úgy érzem, arab xD
A tanárom ezt használja tanításra, köszönetre és üdvözlésre. banda