תמיד חשבתי שבטיחות אף פעם לא פוגעת, וזה אף פעם לא מספיק (בגלל זה אלב הוא מתייג אותי כמניאק ביטחוני אובססיבי ופסיכוטי ...), כך שגם כשאני משתמש ב- GNU / Linux, אני לא מזניח את האבטחה של המערכת שלי, את הסיסמאות שלי (נוצר באופן אקראי עם pwgen), וכו..
יתר על כן, גם כאשר מערכות הקלדה יוניקס ללא ספק מאוד בטוחים, מומלץ ללא ספק להשתמש ב Firewall, הגדר אותו כראוי, כדי להיות מוגן ככל האפשר 🙂
כאן אני אסביר לך בלי הרבה טרחה, סבכים או פרטים מורכבים כיצד לדעת את היסודות של iptables.
אבל … מה לעזאזל זה iptables?
iptables זהו החלק של ליבת הלינוקס (מודול) העוסק בסינון מנות. זה אומר בצורה אחרת, זה אומר iptables הוא החלק של הליבה שתפקידו לדעת איזה מידע / נתונים / חבילה אתה רוצה להזין למחשב שלך, ומה לא (ועושה עוד דברים, אבל בואו נתמקד בזה בינתיים hehe).
אסביר זאת בדרך אחרת 🙂
רבים בהפצות שלהם משתמשים בחומות אש, Firestarter o פיירהול, אבל חומות האש האלה למעשה 'מאחור' (ברקע) להשתמש iptablesאז ... מדוע לא להשתמש ישירות iptables?
וזה מה שאסביר כאן בקצרה 🙂
עד כאן יש ספק? 😀
לעבוד עם iptables יש צורך בהרשאות ניהוליות, אז כאן אשתמש sudo (אבל אם אתה נכנס כמו שורש, אין צורך).
כדי שהמחשב שלנו יהיה מאובטח באמת, עלינו רק לאפשר את מה שאנחנו רוצים. ראו את המחשב שלכם כאילו היה ביתכם, כברירת מחדל אינכם מכניסים אף אחד, רק אנשים ספציפיים מסוימים שאישרתם בעבר יכולים להיכנס, נכון? אותו דבר קורה עם חומות אש, כברירת מחדל אף אחד לא יכול להיכנס למחשב שלנו, רק מי שרוצה להיכנס ל entrar
כדי להשיג זאת אני מסביר, להלן השלבים:
1. פתח מסוף, בתוכו הכנס את הדברים הבאים ולחץ [להיכנס]:
sudo iptables -P INPUT DROP
זה יספיק כדי שאף אחד, בהחלט אף אחד לא יוכל להיכנס למחשב שלך ... וה"אף אחד "הזה לא כולל את עצמך 😀
הסבר לשורה הקודמת: באמצעותה אנו מציינים בפני iptables כי מדיניות ברירת המחדל (-P) לכל מה שרוצה להיכנס למחשב שלנו (INPUT) היא להתעלם ממנה, להתעלם ממנה (DROP)אף אחד לא כללי למדי, מוחלט למעשה, גם אתה בעצמך לא תוכל לגלוש באינטרנט או כל דבר אחר, לכן עלינו במסוף ההוא לשים את הדברים הבאים וללחוץ. [להיכנס]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... אני לא מבין חרא, מה שני השורות המוזרות האלה עושות עכשיו? ...
פשוט 🙂
השורה הראשונה שכתוב בו היא שהמחשב עצמו (-הנה ... אגב, לה = localhost) יכול לעשות ככל העולה על רוחו. משהו מובן מאליו, שנראה אולי אבסורדי ... אבל האמינו לי, זה חשוב כמו אוויר האה.
את השורה השנייה אסביר באמצעות הדוגמה / השוואה / מטאפורה בה השתמשתי קודם, כלומר להשוות את המחשב עם הבית 🙂 לדוגמא, נניח שאנחנו גרים עם יותר אנשים בבית שלנו (אמא, אבא, אחים, חברה וכו ') ). אם מישהו מהאנשים האלה עוזב את הבית, האם זה ברור / הגיוני שנכניס אותם ברגע שהם יחזרו, לא?
זה בדיוק מה שעושה אותה שורה שנייה. כל החיבורים שאנו יוזמים (שמגיעים מהמחשב שלנו), כאשר דרך אותו חיבור אתה רוצה להזין נתונים, iptables יאפשר לנתונים האלה להיכנס. אם נניח דוגמה נוספת להסביר את זה, אם משתמשים בדפדפן שלנו אנו מנסים לגלוש באינטרנט, ללא שני הכללים הללו לא נוכל, ובכן כן ... הדפדפן יתחבר לאינטרנט, אך כאשר הוא ינסה להוריד נתונים ( .html, .gif וכו ') למחשב שלנו כדי להראות לנו, לא תוכל iptables זה יכחיש את הזנת החבילות (נתונים), בעוד שעם כללים אלה, כאשר אנו יוזמים את החיבור מבפנים (מהמחשב שלנו) ואותו חיבור הוא זה שמנסה להזין נתונים, הוא יאפשר גישה.
עם זה מוכן, כבר הכרזנו שאף אחד לא יכול לגשת לשירות כלשהו במחשב שלנו, אף אחד חוץ מהמחשב עצמו (127.0.0.1) וגם, למעט חיבורים שמתחילים במחשב עצמו.
עכשיו אסביר פרט נוסף במהירות, מכיוון שהחלק השני במדריך זה יסביר ויכסה יותר על זה היי, אני לא רוצה להתקדם יותר מדי 😀
זה קורה שלדוג יש להם אתר שמתפרסם במחשב שלהם, והם רוצים שהאתר הזה ייראה על ידי כולם, כמו שקודם לכן הכרזנו שהכל כברירת מחדל אינו מותר, אלא אם כן צוין אחרת, אף אחד לא יוכל לראות את האתר שלנו. כעת נגרום לכל אחד לראות את האתר או אתרי האינטרנט שיש לנו במחשב שלנו, ולשם כך שמנו:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
זה מאוד פשוט להסבר 😀
בשורה זו אנו מצהירים שאתה מקבל או מתיר (-j קבל) כל התנועה לנמל 80 (–דפורט 80) להפוך אותו ל- TCP (-p tcp), וכי מדובר גם בתנועה נכנסת (-קלט). שמתי יציאה 80, כי זה הנמל של מארח האינטרנט, כלומר ... כשדפדפן מנסה לפתוח אתר במחשב X, זה תמיד נראה כברירת מחדל ביציאה הזו.
עכשיו ... מה לעשות כשיודעים אילו חוקים להגדיר, אך כאשר אנו מפעילים מחדש את המחשב אנו רואים שהשינויים לא נשמרו? ... ובכן, לשם כך כבר עשיתי הדרכה נוספת היום:
כיצד להפעיל כללי iptables באופן אוטומטי
שם אני מסביר את זה בפירוט 😀
וכאן מסתיים מדריך ראשון על שולחנות למתחילים, סקרנים ומתעניינים ... אל תדאגי, זה לא יהיה האחרון, הוא הבא יעסוק באותו דבר, אלא חוקים ספציפיים יותר, המפרטים הכל קצת יותר ומגדילים את הביטחון. אני לא רוצה להאריך את זה הרבה יותר, כי במציאות יש צורך שהבסיסים (מה שקראתם כאן בהתחלה) יבינו את זה בצורה מושלמת 🙂
ברכות ו ... יאללה, אני מבהיר את הספקות, כל עוד אתה יודע את התשובה LOL !! (אני לא מומחה לכך ללא ספק חחחח)
טוב מאוד! רק שאלה? האם יש לך מושג מהן הגדרות ברירת המחדל? השאלה היא פרנואידית שאני סתם: ד.
תודה רבה.
כברירת מחדל, ובכן כברירת מחדל הוא מקבל הכל. במילים אחרות, שירות שאתה שם במחשב שלך ... שירות שיהיה ציבורי לכל השאר 😀
אתה מבין?
אז ... כשאתה לא רוצה ש- X אתר יראה אותו ואת חבר שלך, או כתובת IP מסוימת, מגיע חומת האש, htaccess או שיטה כלשהי למנוע גישה.
בברכה,
אח, מצוין !!!! עכשיו אני הולך לקרוא את הראשון ...
תודה על עזרתך…
דיסלה
תודה על ההדרכה, זה שימושי.
הדבר היחיד שאני רוצה לדעת או לוודא הוא שאם עם הוראות אלה לא יהיו לי שום בעיות לבצע העברות p2p, להוריד קבצים או לבצע שיחות וידאו, למשל. ממה שקראתי לא, לא אמורות להיות בעיות, אבל אני מעדיף לוודא לפני הכניסה לשורות.
תודה מאז עכשיו.
ברכות.
לא אמורות להיות לך בעיות, אולם זוהי תצורה בסיסית למדי, במדריך הבא אני אסביר יותר כיצד להוסיף כללים משלך, בהתאם לצורך של כל אחד וכו '.
אבל אני חוזר ואומר, שלא יהיו לך בעיות, אם יש לך אותן פשוט הפעל מחדש את המחשב ואת וואלה, כאילו מעולם לא הגדרת קבצי iptable ables
אתחול ? זה נשמע מאוד windowsero. במקרה הגרוע, אתה רק צריך לשטוף את כללי ה- iptables ולהגדיר את מדיניות ברירת המחדל כ- ACCEPT והעניין יתוקן, אז rockandroleo, לא יהיו לך בעיות.
Saludos!
וסליחה לבקש בקשה נוספת, אך מכיוון שאנחנו בנושא חומת האש, ייתכן שתסביר כיצד ליישם את אותן פקודות בממשקי גרפיקה חומת אש גרפיים כגון gufw או firestarter.
דה אנטמנו, גרציאס.
ברכות.
אסביר את Firestarter, gufw רק ראיתי את זה ולא השתמשתי בו ככזה, אולי אסביר זאת בקצרה או אולי אלב עשה זאת בעצמי 🙂
ואז כשאני רוצה להרגיש כמו האקר אקרא אותו, תמיד רציתי ללמוד על אבטחה
הדרכה מעולה, זה נראה לי מוסבר היטב ובעוד שזה צעד אחר צעד טוב יותר, כמו שאמרו, עבור בובות.
ברכות.
חחחח תודה 😀
גדול.
מוסבר בצורה ברורה.
יהיה צורך לקרוא אותו ולקרוא אותו מחדש עד להסדרת הידע ואז להמשיך בהדרכות הבאות.
תודה על המאמר.
תודה 😀
ניסיתי להסביר את זה כרצוני שהוסבר לי בפעם הראשונה, LOL !!
ברכות 🙂
טוב מאוד, אני בודק וזה עובד כראוי, מה שמתאים להפעלת הכללים באופן אוטומטי בהתחלה אני אשאיר אותו כשתפרסם את החלק השני, עד אז תהיה לי קצת יותר עבודה בהקלדת הפקודות בכל פעם שאפעיל מחדש את מחשב אישי, תודה לחבר על טוטו ועל כמה מהר פרסמת אותו.
תודה על ההמלצה וההסברים.
אתה יכול לראות מה חל על iptables עם:
sudo iptables -L
מדויק 😉
אני מוסיף את n בעצם:
iptables -nL
תודה על ההדרכה, אני מצפה לחלק השני, ברכות.
מתי ייצא החלק השני
יש לי פרוקסי עם דיונון ב- Machine1, זה ייתן גלישה באינטרנט למכונות אחרות ב- lan 192.168.137.0/24, והוא מקשיב ב- 192.168.137.22:3128 (אני פותח יציאה 3128 לכל מי שיש לו firestarter), מ- Machine1 אם הכנסתי את Firefox לשימוש בפרוקסי 192.168.137.22:3128 זה עובד. אם ממחשב אחר עם ip 192.168.137.10 למשל, Machine2, הגדרתי אותו להשתמש ב- proxy 192.168.137.22:3128 זה לא עובד, אלא אם ב- Machine1 הכנסתי firestarter כדי לחלוק אינטרנט עם ה- lan, שם אם ה- proxy עובד, נתוני הזרימה הם דרך ה- proxy, אך אם ב- Machine2 הם מסירים את השימוש ב- proxy ומכוונים נכון את השער, הם יוכלו לנווט בחופשיות.
על מה זה?
עם iptables מה יהיו הכללים?
"אני מנסה להישאר בצד האפל של הכוח, כי שם נמצא הכיף שבחיים." ועם הזיה של ג'די חחחחחח
טוב מאוד! אני קצת מאחר נכון? חח הפוסט הוא בערך בן שנתיים אבל הייתי יותר מועיל .. אני מודה לך שהסברת את זה כל כך פשוט שאני יכול להבין את זה חה אני ממשיך עם החלקים האחרים ..
תודה שקראת reading
כן, הפוסט לא חדש לגמרי אבל הוא עדיין מאוד שימושי, הוא לא שינה כמעט שום דבר לגבי אופן העבודה של חומות האש בעשור האחרון אני חושב last
ברכות ותודה לך על התגובה
איזה הסבר עם פרחים והכל. אני משתמש "טירון" אך עם הרבה רצון ללמוד לינוקס, לאחרונה קראתי פוסט על סקריפט nmap כדי לראות מי התחבר לרשת שלי ולא כדי להאריך אותך. אנו נשתמש בשורה הראשונה המפורסמת שאתה שמתי מ- iptables וזה הספיק, ומכיוון שאני נובסטר אדיר, יישמתי את זה אבל כמו שכתבת כאן, זה לא נכנס לאינטרנט 🙁
תודה לך על פוסט זה המסביר את השימוש ב- iptables, אני מקווה שתאריך אותו ותסביר לי באופן מלא את פעולתו המלאה. בברכה!
תודה לך על הקריאה והתגובות 🙂
iptables הוא פנומנלי, הוא עושה את עבודתו להיסגר כך, כל כך טוב ש ... אנחנו אפילו לא יכולים לצאת בעצמנו, זה בטוח, אלא אם כן נדע להגדיר את זה. לכן ניסיתי להסביר טבלאות פשוטות ככל האפשר, כי לפעמים לא כולם מסוגלים להבין משהו בפעם הראשונה.
תודה על ההערה, בברכה ^ _ ^
נ.ב: אודות הארכת ההודעה, הנה החלק השני: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
ובכן, תודה רבה, אם קראתי את החלק השני והתחלתי לנגן מיד בקונסולה עם המדריך האדיר שלך. תודה רבה, היי אגב אני מקווה שתוכלו לעזור לי מכיוון שיש לי ספק קטן וכפי שאתם יודעים אני מתחיל שמנסה ללמוד על התוכנה החינמית הנהדרת הזו, עד כדי כך, לאחרונה הותקנתי דיסטרו אחר שאליו שיניתי את הקובץ dhcp.config שורה והשאיר אותו כך:
# שלח שם מארח ""; ובכן, זה עבד לי בהפצה ההיא והכל היה בסדר, שם המחשב שלי לא מופיע בשרת dhcp של הנתב שלי, אלא רק האייקון של המחשב, אבל בהפצה החדשה הזו שיניתי את אותה שורה והשאיר אותו אותו דבר אבל זה לא עבד. תוכלי להדריך אותי קצת? בבקשה ...
מכיוון שזה עשוי להיות משהו מורכב או נרחב יותר, צור נושא בפורום שלנו (פורום.desdelinux.net) ושם ביחד נעזור לך 🙂
תודה שקראת ותגובה
מוכן, תודה על התשובה. מחר בבוקר אני עושה את הנושא ואני מקווה שתוכלו לעזור לי, ברכות וכמובן חיבוק.
מאמר מצוין.
האם אתה חושב שעם זה אני יכול ליישם חומת אש באמצעות iptables בביתי או שאני צריך לדעת משהו אחר? האם יש לך מדריך תצורה כלשהו או שעם המאמרים האלה הוא נשאר?
דרישת שלום
למעשה זה היה היסודות והאמצעים, אם אתה רוצה משהו מתקדם יותר (כמו מגבלת חיבור וכו ') אתה יכול לבדוק את כל הפוסטים שמדברים על iptables כאן - » https://blog.desdelinux.net/tag/iptables
עם זאת, עם זה יש לי כמעט את כל חומת האש המקומית שלי 🙂
מלכתחילה הם לא נראים רעים.
אבל זה ישנה משהו.
הייתי מפיל קלט ומעביר ומקבל פלט
-P INPUT -m state –state ESTABLISHED, RELATED -j Accept
זה יספיק עבור newbi ב iptables להיות "בטוח למדי"
לאחר מכן, פתח את היציאות שאנו זקוקים לה.
אני מאוד אוהב את הדף, יש להם דברים טובים מאוד. תודה על השיתוף!
ברכות!
ערב טוב לכל אלה שהגיבו, אבל בואו נראה אם תוכלו להבהיר מדוע אני יותר אבוד מזאב בביוב, אני קובני ואני חושב שאנחנו תמיד הולכים רחוק יותר על כל נושא אפשרי וטוב: סלחו לי מראש אם זה לא קשור לנושא !!!
יש לי שרת UBUNTU Server 15 ומתברר שיש לי שירות שמתארח בתוכו שמספק תוכנית אחרת שהיא זרם טלוויזיה אבל אני מנסה לשלוט עליו דרך כתובת MAC כך שהשליטה ביציאה למשל 6500 שתבחר את זה באופן אקראי אף אחד לא יכול להיכנס דרך יציאה זו אלא אם כן הוא נמצא עם כתובת ה- MAC המצוינת בטבלאות ה- iptable. עשיתי את התצורות של מאמר זה מספר אחת וזה עובד מאודיייייייייייייייייייייייייייייייייייייייייייייייי, טוב יותר ממה שרציתי אבל חיפשתי מידע ב- todooooooooooooo ולא מצאתי את התצורה המשמחת שתאפשר לכתובת מק להשתמש ביציאה מסוימת בלבד ושום דבר אחר.
תודה מראש!
שלום, מה שלומך, קראתי את המאמר iptables למתחילים, זה טוב מאוד, אני מברך אותך, אני לא יודע הרבה על לינוקס, בגלל זה אני רוצה לשאול אותך שאלה, יש לי בעיה, אם אתה יכול עזור לי אני מודה לך, יש לי שרת עם מספר כתובות IP ובכל כמה ימים, כאשר השרת שולח מיילים דרך ה- IP שנמצאים בשרת, הוא מפסיק לשלוח מיילים, אז כדי שהוא ישלח שוב מיילים אני צריך לשים:
/etc/init.d/iptables עצור
כשאני שם את זה, זה מתחיל לשלוח שוב מיילים, אבל אחרי כמה ימים זה נחסם שוב, האם אתה יכול להגיד לי אילו פקודות אני צריך לשים כדי שהשרת לא יחסום את ה- ip? קראתי וממה שאתה אומר ב את הדף, עם שתי השורות הללו יהיה צורך לפתור:
sudo iptables -A קלט -i lo -j קבל
sudo iptables -A INPUT -m state-state ESTABLISHED, RELATED -j קבלה
אבל מכיוון שאני לא יודע אם זה מה זה, לפני שהפקדתי את הפקודות האלה רציתי לראות אם עם זאת ה- IP של השרת כבר לא ייחסמו, אני ממתין לתגובתך המהירה. ברכות. ניקולס.
שלום בוקר טוב, קראתי את ההדרכה הקטנה שלך וזה נראה טוב מאוד ומסיבה זו ברצוני לשאול אותך שאלה:
איך אוכל להפנות את הבקשות שמגיעות דרך ממשק lo (localhost) למחשב אחר (IP אחר) עם אותו יציאה, אני משתמש במשהו כזה
iptables -t nat -A PREROUTING -p tcp -port 3306 -j DNAT –ל 148.204.38.105:3306
אבל זה לא מפנה אותי מחדש, אני עוקב אחר יציאה 3306 עם tcpdump ואם הוא מקבל חבילות אך לא שולח אותן ל- IP החדש, אבל אם אני מבקש בקשות ממחשב אחר הוא מפנה אותן מחדש. בקצרה, הוא מפנה מחדש את מה שנכנס דרך -i eth0, אבל לא את מה שנכנס דרך -אי הנה.
מראש אני מעריך את העזרה הרבה או מעט שאתה יכול לתת לי. salu2.
שלום, מה שלומך, הדף טוב מאוד, יש בו מידע רב.
יש לי בעיה ורציתי לבדוק אם אתה יכול לעזור לי, התקנתי את PowerMta ב- Centos 6 עם Cpanel, הבעיה היא שאחרי כמה ימים ה- PowerMta מפסיק לשלוח מיילים כלפי חוץ, זה כמו ש- IPs חסומים, ו כל יום אני צריך להציב את הפקודה /etc/init.d/iptables, ובכך ה- PowerMta מתחיל לשלוח שוב הודעות דוא"ל לחו"ל, ובכך הבעיה נפתרת למספר ימים, אבל אז זה קורה שוב.
האם אתה יודע איך אני יכול לעשות כדי לפתור את הבעיה? האם יש משהו שאני יכול להגדיר בשרת או בחומת האש כך שזה לא יקרה שוב? מכיוון שאני לא יודע למה זה קורה, אם אתה יכול לעזור לי אני תודה, אני מקווה שתשובתך בקרוב.
ברכות.
ניקולה.
הסבר מצוין וברור מאוד, חיפשתי ספרים אבל הם נרחבים מאוד והאנגלית שלי לא טובה במיוחד.
האם אתה מכיר ספרים שאתה ממליץ עליהם בספרדית?
מה דעתך על בוקר טוב, מוסבר טוב מאוד, אבל עדיין אין לי כניסה מהאינטרנט, אסביר, יש לי שרת עם אובונטו, שיש לו שני כרטיסי רשת, אחד עם תצורה זו מעטפת קישור: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 מסכה: 255.255.255.0 והשני עם מעטפת קישור אחרת זו: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 מסכה: 255.255.255.0, כאשר השני הוא זה שיש בשער שלי, שהוא 192.168.1.64, אבל הכרטיס הראשון הוא זה ששולט במצלמות שלי ואני רוצה לראות אותן האינטרנט מה- IP הקבוע שלי ,,, אני יכול לראות אותם מה- LAN אבל לא מהאינטרנט, האם תוכל לעזור לי בזה? , או אם הנתב שלי הוא זה שמוגדר בצורה שגויה, זה קשת tp-link c2 ,,, תודה
שלום, פשוט עשיתי זאת בשרת שלי ואתה יודע, איך אוכל לשחזר את זה?
iptables -P DROP קלט
אני משאיר לך את המייל שלי ing.lcr.21@gmail.com
חיפשתי לא מעט פוסטים איכותיים או פוסטים בבלוג בתוכן זה. חיפוש Google סוף סוף מצאתי את האתר הזה. בקריאת מאמר זה, אני משוכנע שמצאתי את מה שחיפשתי או לפחות יש לי את התחושה המוזרה הזו, גיליתי בדיוק מה שהייתי צריך. כמובן שאגרום לכם לא לשכוח את האתר הזה ולהמליץ עליו, אני מתכנן לבקר אתכם באופן קבוע.
לגבי
אני ממש מברך אותך! קראתי עמודים רבים של טבלאות אך אף אחד מהם לא הוסבר בפשטות כמו שלך; הסבר מצוין !!
תודה שהקלת על חיי עם ההסברים האלה!
לרגע אני מרגיש xD ערבי
המורה שלי משתמש בזה כדי ללמד, תודה וברכות. כְּנוּפִיָה