Ho sempre pensato che la sicurezza non fa mai male, e non è mai abbastanza (Ecco perchè vivace Mi etichetta come un maniaco della sicurezza ossessivo e psicotico ...), quindi anche quando uso GNU / Linux, non trascuro la sicurezza del mio sistema, le mie password (generato casualmente con pwgen), eccetera..
Inoltre, anche quando i sistemi digitano Unix sono indubbiamente molto sicuri, se ne consiglia senza dubbio l'utilizzo firewall, configurarlo correttamente, per essere il più protetto possibile 🙂
Qui ti spiegherò senza troppi problemi, grovigli o dettagli complessi come conoscere le basi di iptables.
Ma … Cosa diavolo è iptables?
iptables È la parte del kernel Linux (un modulo) che si occupa del filtraggio dei pacchetti. Detto in un altro modo, significa quello iptables è la parte del kernel il cui compito è sapere quali informazioni / dati / pacchetto vuoi inserire nel tuo computer e cosa no (e fa più cose, ma concentriamoci su questo per ora hehe).
Lo spiegherò in un altro modo 🙂
Molti nelle loro distribuzioni utilizzano firewall, Firestarter o firehol, ma questi firewall in realtà "da dietro" (sullo sfondo) uso iptables, allora ... perché non usare direttamente iptables?
Ed è quello che spiegherò brevemente qui 🙂
Finora ci sono dubbi? 😀
Lavorare con iptables è necessario disporre di autorizzazioni amministrative, quindi qui userò sudo (ma se inserisci mi piace radice, non c'è bisogno).
Affinché il nostro computer sia veramente sicuro, dobbiamo solo consentire ciò che vogliamo. Vedi il tuo computer come se fosse casa tua, a casa tua per impostazione predefinita NON permetti a nessuno di entrare, solo alcune persone specifiche che hai approvato prima possono entrare, giusto? Con i firewall succede lo stesso, per impostazione predefinita nessuno può entrare nel nostro computer, solo chi vuole entrare può entrare 🙂
Per ottenere questo spiego, ecco i passaggi:
1. Apri un terminale, in esso inserisci quanto segue e premi [Accedere]:
sudo iptables -P INPUT DROP
Questo sarà sufficiente affinché nessuno, assolutamente nessuno possa entrare nel tuo computer ... e questo "nessuno" include te stesso 😀
Spiegazione della riga precedente: Con essa indichiamo a iptables che la politica predefinita (-P) per tutto ciò che vuole entrare nel nostro computer (INPUT) è di ignorarlo, ignorarlo (DROP)Nessuno è abbastanza generico, assoluto infatti, né tu stesso sarai in grado di navigare in Internet o altro, ecco perché dobbiamo in quel terminale mettere quanto segue e premere [Accedere]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... non capisco un cazzo, Cosa stanno facendo queste due strane battute adesso? ...
Semplice 🙂
La prima riga che dice è che il computer stesso (-i lo ... a proposito, lo = localhost) può fare tutto ciò che vuole. Qualcosa di ovvio, che può sembrare assurdo ... ma credimi, è importante quanto l'aria haha.
La seconda riga che spiegherò usando l'esempio / confronto / metafora che ho usato prima, intendo confrontare il computer con la casa 🙂 Ad esempio, supponiamo di vivere con più persone nella nostra casa (madre, padre, fratelli, fidanzata, ecc.). Se qualcuna di queste persone lascia la casa, è ovvio / logico che le faremo entrare una volta tornate, no?
Questo è esattamente ciò che fa quella seconda riga. Tutte le connessioni che iniziamo (che provengono dal nostro computer), quando attraverso quella connessione vuoi inserire dei dati, iptables lascerà entrare quei dati. Mettendo ancora un esempio per spiegarlo, se usando il nostro browser proviamo a navigare in internet, senza queste 2 regole non saremo in grado, ebbene sì ... il browser si connetterà ad internet, ma quando proverà a scaricare dati (.html, .gif, ecc.) Sul nostro computer per mostrarci, non sarai in grado di farlo iptables Negherà l'ingresso di pacchetti (dati), mentre con queste regole, poiché iniziamo la connessione dall'interno (dal nostro computer) e quella stessa connessione è quella che cerca di inserire dati, consentirà l'accesso.
Con questo pronto, abbiamo già dichiarato che nessuno può accedere a nessun servizio sul nostro computer, nessuno tranne il computer stesso (127.0.0.1) e anche, eccetto le connessioni che vengono avviate sul computer stesso.
Ora spiegherò rapidamente un altro dettaglio, perché la seconda parte di questo tutorial spiegherà e tratterà di più su questo ehe, non voglio avanzare troppo 😀
Succede che ad esempio hanno un sito web pubblicato sul proprio computer, e vogliono che quel sito web sia visto da tutti, poiché prima abbiamo dichiarato che tutto per impostazione predefinita NON è consentito, salvo diversa indicazione, nessuno potrà vedere il nostro sito web. Ora faremo in modo che chiunque possa vedere il sito Web oi siti Web che abbiamo sul nostro computer, per questo mettiamo:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Questo è molto semplice da spiegare 😀
Con quella riga stiamo dichiarando che accetti o consenti (-j ACCETTO) tutto il traffico verso la porta 80 (–Dport 80) rendilo TCP (-p tcp) e che è anche traffico in entrata (-UN INGRESSO). Ho messo la porta 80, perché quella è la porta dell'host web, cioè ... quando un browser cerca di aprire un sito su un computer X, guarda sempre per impostazione predefinita su quella porta.
Ora ... cosa fare quando sai quali regole impostare, ma quando riavviamo il computer vediamo che le modifiche non sono state salvate? ... beh, per questo ho già fatto un altro tutorial oggi:
Come avviare automaticamente le regole di iptables
Lì lo spiego in dettaglio 😀
E qui finisce il file 1 ° tutorial su iptables per neofiti, curiosi e interessati 😉… non preoccuparti, non sarà l'ultima hehe, la prossima si occuperà della stessa cosa, ma regole più specifiche, dettagliando tutto un po 'di più e aumentando la sicurezza. Non voglio estenderlo molto di più, perché in realtà è necessario che le basi (quello che leggi qui all'inizio) lo comprendano perfettamente 🙂
Un saluto e ... dai, chiarisco i dubbi, basta che tu sappia la risposta LOL !! (Non sono di gran lunga un esperto in questo ahahah)
Molto buona! Solo una domanda? Hai idea di quali siano le impostazioni predefinite? La domanda è paranoica che io sia solo: D.
Grazie mille.
Per impostazione predefinita, beh per impostazione predefinita accetta tutto. In altre parole, servizio che metti sul tuo computer ... servizio che sarà pubblico per il resto 😀
Capisci?
Quindi ... quando non vuoi che il sito web X lo veda E il tuo amico, o un certo IP, arriva il firewall, htaccess o qualche metodo per negare l'accesso.
Saluti,
Fratello, eccellente !!!! Adesso leggo il primo ...
Grazie per l'aiuto…
Disla
Grazie per il tutorial, torna utile.
L'unica cosa che voglio sapere o assicurarmi è se con queste istruzioni non avrò problemi a fare trasferimenti p2p, scaricare file o fare videochiamate, per esempio. Da quello che ho letto no, non dovrebbero esserci problemi, ma preferisco assicurarmi prima di entrare in riga.
Grazie da ora.
Saluti.
Non dovresti avere problemi, tuttavia questa è una configurazione abbastanza semplice, nel prossimo tutorial spiegherò in modo più completo come aggiungere le tue regole, a seconda delle necessità di ciascuna, ecc. 🙂
Ma ripeto, non dovresti avere problemi, se li hai riavvia il computer e voilà, come se non avessi mai configurato iptables 😀
Ricomincia ? Sembra molto windowsero. Nel peggiore dei casi, devi solo svuotare le regole di iptables e impostare le politiche predefinite su ACCEPT e il problema è risolto, quindi rockandroleo, non avrai problemi.
Saludos!
E, mi dispiace fare un'altra richiesta, ma visto che siamo in tema di firewall, è possibile che tu spieghi come applicare questi stessi comandi nelle interfacce grafiche di firewall come gufw o firestarter.
Grazie in anticipo.
Saluti.
Spiegherò Firestarter, gufw l'ho solo visto e non l'ho usato come tale, forse lo spiegherò brevemente o forse vivace fallo da solo 🙂
Poi, quando voglio sentirmi un hacker, lo leggerò, ho sempre voluto saperne di più sulla sicurezza
Ottimo tutorial, penso che sia ben spiegato e mentre è passo dopo passo, meglio è, come direbbero lì, per i manichini.
Saluti.
hahahaha grazie 😀
Grande.
Chiaramente spiegato.
Sarà necessario leggerlo e rileggerlo fino a quando la conoscenza non sarà stabilita e poi proseguire con i seguenti tutorial.
Grazie per l'articolo.
Grazie 😀
Ho provato a spiegarlo come vorrei che mi fosse spiegato per la prima volta, LOL !!
Saluti 🙂
Ottimo, lo sto testando e funziona correttamente, il che corrisponde all'avvio automatico delle regole all'inizio lo lascerò per quando pubblicherai la seconda parte, fino ad allora avrò un po 'più di lavoro digitando i comandi ogni volta che riavvio il PC, grazie amico per il tuto e per la velocità con cui lo hai pubblicato.
grazie per la raccomandazione e le spiegazioni.
Puoi vedere cosa si applica a iptables con:
sudo iptables -L
Esatto 😉
Aggiungo il n in realtà:
iptables -nLGrazie per il tutorial, attendo con ansia la seconda parte, saluti.
quando uscirà la seconda parte
Ho un proxy con squid su Machine1, darà la navigazione in Internet ad altre macchine su quella lan 192.168.137.0/24, ed è in ascolto su 192.168.137.22:3128 (apro la porta 3128 per chiunque abbia firestarter), da Machine1 se metto in firefox per usare il proxy 192.168.137.22:3128 funziona. Se da un altro pc con ip 192.168.137.10 per esempio, Machine2, l'ho impostato per usare il proxy 192.168.137.22:3128 non funziona, tranne se su Machine1 metto in firestarter per condividere internet con la lan, lì se il proxy funziona, il flusso i dati sono attraverso il proxy, ma se su Machine2 rimuovono l'uso del proxy e puntano correttamente il gateway potranno navigare liberamente.
Cosa riguarda?
Con iptables quali sarebbero le regole?
"Cerco di rimanere sul lato oscuro della forza, perché è lì che sta il divertimento della vita." e con delirio di jedi hahahahaha
Molto buona! Sono un po 'in ritardo, vero? haha il post ha circa 2 anni ma mi è stato più che utile .. ti ringrazio per averlo spiegato in modo così semplice da poterlo capire ahah continuo con le altre parti ..
Grazie per aver letto 🙂
Sì, il post non è del tutto nuovo ma è comunque molto utile, quasi nulla è cambiato nel modo in cui funzionano i firewall nell'ultimo decennio credo creo
Saluti e grazie anche a te per il commento
Che spiegazione con fiori e tutto il resto. Sono un utente "alle prime armi" ma con tanta voglia di imparare Linux, recentemente stavo leggendo un post su uno script nmap per vedere chi si è connesso alla mia rete e per non farti perdere tempo, in un commento a quel post un utente ha detto che Applicheremo la famosa prima riga che hai inserito da iptables e questo è stato sufficiente, e poiché sono un tremendo noobster, l'ho applicato ma come hai scritto qui, non è entrato in Internet 🙁
Grazie per questo post che spiega l'uso di iptables, spero che lo estenderai e mi spiegherai completamente il suo funzionamento. Saluti!
Grazie a te per aver letto e commentato 🙂
iptables è fenomenale, fa il suo lavoro di spegnimento così, così bene che ... non possiamo nemmeno uscire da soli, questo è certo, a meno che non sappiamo come configurarlo. Questo è il motivo per cui ho cercato di spiegare iptables nel modo più semplice possibile, perché a volte non tutti sono in grado di capire qualcosa la prima volta.
Grazie per il commento, saluti ^ _ ^
PS: Riguardo all'estensione del post, ecco la seconda parte: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Bene, grazie mille, se ho letto la seconda parte e ho iniziato subito a giocare sulla console con la tua straordinaria guida. Grazie mille, ehi a proposito spero che tu possa aiutarmi dato che ho un piccolo dubbio e come ben sai sono un principiante che cerca di conoscere questo meraviglioso software gratuito, al punto che recentemente ho avuto una distro diversa installata a cui ho modificato il file dhcp.config una riga e lasciandola così:
#send host-name ""; Bene, ha funzionato per me in quella distro ed è andato tutto bene, il nome del mio pc non compare nel server dhcp del mio router, solo l'icona del pc, ma in questa nuova distro ho modificato la stessa riga lasciandola uguale ma non ha funzionato. Mi potresti guidare un po '? 🙁 Per favore ...
Poiché potrebbe trattarsi di qualcosa di più complesso o esteso, crea un argomento nel nostro forum (forum.desdelinux.net) e lì insieme ti aiuteremo 🙂
Grazie per aver letto e commentato
Pronto, grazie per la risposta. Domani mattina faccio l'argomento e spero che tu possa aiutarmi, un saluto e ovviamente un abbraccio.
Articolo eccellente.
Pensi che con questo posso implementare un firewall usando iptables a casa mia o ho bisogno di sapere qualcos'altro? Hai qualche tutorial di configurazione o con questi articoli rimane?
saluti
In realtà questa è stata la base e il mezzo, se vuoi qualcosa di più avanzato (come il limite di connessione, ecc.) Puoi controllare tutti i post che parlano di iptables qui - » https://blog.desdelinux.net/tag/iptables
Tuttavia, con questo ho quasi tutto il mio firewall locale 🙂
Non sembrano affatto male per cominciare.
Ma cambierebbe qualcosa.
Vorrei eliminare un input e inoltrare e accettare un output
-P INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
Sarebbe sufficiente per un novellino in iptables essere "abbastanza sicuro"
Quindi, apri le porte di cui abbiamo bisogno.
Mi piace molto la pagina, hanno cose molto buone. Grazie per la condivisione!
Saluti!
Buonasera a tutti quelli che hanno commentato, ma vediamo se riesci a chiarire perché sono più smarrito di un lupo nelle fogne, sono cubano e penso che andiamo sempre oltre su ogni argomento possibile e beh: scusatemi in anticipo se non c'entra niente il tema!!!
Ho un server UBUNTU Server 15 e risulta che ho un servizio ospitato al suo interno che viene fornito da un altro programma che è stream TV ma provo a controllarlo tramite MAC Address in modo che il controllo della porta ad esempio 6500 lo selezioni a caso Nessuno può entrare attraverso quella porta a meno che non sia con l'indirizzo MAC indicato in iptables. Ho fatto le configurazioni di questo numero di articolo uno e funziona veryyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy bene, meglio di quanto avrei voluto, ma ho cercato info in todooooooooooooo e non ho trovato la configurazione felice per consentire un indirizzo MAC di utilizzare solo e nient'altro una determinata porta.
Grazie in anticipo!
Ciao, come stai, ho letto l'articolo iptables per neofiti, è molto buono, mi congratulo con te, non so molto di Linux, ecco perché voglio farti una domanda, ho un problema, se puoi aiutarmi ti ringrazio, ho un server con diversi IP e ogni pochi giorni, quando il server invia e-mail tramite gli IP che si trovano sul server, smette di inviare e-mail, quindi per inviare di nuovo e-mail devo mettere:
/etc/init.d/iptables si interrompe
Quando lo metto, ricomincia a inviare email, ma dopo qualche giorno si blocca di nuovo, puoi dirmi quali comandi devo mettere in modo che il server non blocchi l'ip? Stavo leggendo e da quello che dici sulla pagina, con Queste 2 righe dovrebbero essere risolte:
sudo iptables -A INPUT -i lo -j ACCETTA
sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
Ma siccome non so se è quello che è, prima di mettere quei comandi volevo vedere se con quello gli IP del server non saranno più bloccati, aspetto una tua pronta risposta. Saluti. Nicholas.
Ciao buongiorno, ho letto il tuo piccolo tutorial e mi è sembrato molto buono e per questo vorrei farti una domanda:
Come posso reindirizzare le richieste che arrivano attraverso l'interfaccia lo (localhost) su un altro computer (un altro IP) con la stessa porta, sto usando qualcosa di simile
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –to 148.204.38.105:3306
ma non mi reindirizza, sto monitorando la porta 3306 con tcpdump e se riceve pacchetti ma non li invia al nuovo IP, ma se faccio richieste da un altro computer li reindirizza. In breve, mi reindirizza ciò che arriva attraverso -i eth0, ma non ciò che arriva attraverso -i lo.
In anticipo apprezzo molto o poco aiuto che mi puoi dare. salu2.
Ciao, come stai, la pagina è molto buona, ha molte informazioni.
Ho un problema e volevo vedere se puoi aiutarmi, ho PowerMta installato in Centos 6 con Cpanel, il problema è che dopo alcuni giorni PowerMta smette di inviare e-mail all'esterno, è come se gli IP fossero bloccati e ognuno giorni devo mettere il comando /etc/init.d/iptables stop, con questo PowerMta ricomincia a inviare e-mail all'estero, con questo il problema è risolto per alcuni giorni, ma poi si ripete.
Sai come posso fare per risolvere il problema? C'è qualcosa che posso configurare sul server o nel firewall in modo che non accada di nuovo? Dato che non so perché sta succedendo, se puoi aiutarmi ti ringrazio, spero che tu presto rispondere.
Saluti.
Nicolas.
Spiegazione eccellente e molto chiara, ho cercato dei libri ma sono molto ampi e il mio inglese non è molto buono.
Conosci qualche libro che consigli in spagnolo?
Che ne dici di buongiorno, spiegato molto bene, ma non ho ancora un ingresso da Internet, ti spiego, ho un server con Ubuntu, che ha due schede di rete, una con questa configurazione Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 e il secondo con questo altro link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Mask: 255.255.255.0, dove la seconda è quella del mio gateway, che è 192.168.1.64, ma la prima scheda è quella che controlla le mie telecamere e voglio vederle da internet dal mio ip fisso ,, posso vederli dalla lan ma non da internet, potresti aiutarmi con quello? , o se il mio router è quello configurato in modo errato, è un tp-link archer c2 ,,, grazie
Ciao, l'ho appena fatto sul mio server e sai, come posso ripristinarlo?
iptables -P CADUTA INGRESSO
Vi lascio la mia email ing.lcr.21@gmail.com
Ho cercato un po 'di post di alta qualità o post di blog su questo contenuto. Su Google ho finalmente trovato questo sito. Leggendo questo articolo, sono convinto di aver trovato quello che cercavo o almeno ho quella strana sensazione, di aver scoperto esattamente quello di cui avevo bisogno. Ovviamente ti farò non dimenticare questo sito e lo consiglierò, ho intenzione di visitarti regolarmente.
saluti
Mi congratulo davvero con te! Ho letto molte pagine di iptables ma nessuna spiegata semplicemente come la tua; ottima spiegazione !!
Grazie per avermi semplificato la vita con queste spiegazioni!
Per un attimo mi sento arabo xD
Il mio insegnante lo usa per insegnare, grazie e saluti. banda