כיצד להפעיל כללי iptables באופן אוטומטי

נניח שיש לנו את הכללים שלנו iptables כבר חשבנו, אבל לא משנה כמה טוב אנחנו כותבים אותם במסוף, בכל פעם שאנחנו מפעילים מחדש את המחשב זה כאילו מעולם לא הכרזנו על הכללים האלה ... כלומר, בכל פעם שאנחנו מפעילים מחדש את המחשב, הכללים או השינויים שיש לנו מיוצר ב iptables אבודים.

כדי להימנע מכך, ישנם מספר פתרונות ... אדבר איתך כאן על הדרך בה אני מוודא שזה לא יקרה 🙂

בידיעה באילו כללים להשתמש, שמנו אותם בקובץ (/ etc / iptables-script לדוגמה) ואנחנו נותנים לו הרשאות ביצוע (chmod + x /etc/iptables-script.shברגע שזה נעשה, נותר רק עוד צעד אחד 😉

אשתמש כדוגמה בכללים עבור iptables במה אני משתמש המחשב הנייד שליאני משאיר אותם ב פסטה שֶׁלָנוּ: הדבק מס '4411

1. יש לי את הכללים האלה ושמתי אותם בקובץ שנקרא: iptables-script שנמצא ב /וכו/

2. ואז אני נותן לו הרשאות: chmod + x / etc / iptables-script

3. ועכשיו השלב האחרון, עלינו לומר למערכת להפעיל את הסקריפט הזה כשהוא מתחיל, לשם כך הכנסנו אותו לקובץ /etc/rc.local. אתה יכול לראות את ה- rc.local שלי כאן: הדבק מס '4412

מוכן, שום דבר אחר, כאשר אתה מפעיל את המחשב הכללים יחולו (כן כולם בסדר גמור) 😀

ואל תדאגי ... מדריך מפורט מאוד יגיע (אני מקווה לסיים אותו בקרוב) iptables, מכוון למתחילים, הסביר די מהנה ופשוט 🙂

לגבי


16 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   אזיטוק דיג'ו

    תודה רבה על המידע. IPtables הוא נושא בהמתנה שאני תמיד מותח בפעם אחרת. מחכה להדרכה! בפרט הייתי רוצה להיות מסוגל להתחבר מכל מקום למחשב הביתי שלי דרך ssh, אבל זה מסובך מבחינתי מכיוון שבבית יש לי נתב וה- IP שהספק שלי מספק לי משתנה לעתים קרובות. דרך no-ip.org הצלחתי ליצור מארח, הבעיה היא שנראה לי שחסמתי יציאות (מהנתב ואני לא יודע אם זה גם דרך IPTables). בכל מקרה, כמו שאמרתי קודם, מחכה למורה!

    1.    KZKG ^ גאארה דיג'ו

      שלום וברוך הבא 😀
      על הנתב אני לא יודע, אבל זה יכול להיות כן ... זה יכול להיחסם שם. כעת, במחשב שלך, אם אינך משתמש בחומת אש כלשהי, זה יהיה מספיק להתקין SSH ולהפעיל אותו ולהבליט, פורט 22 פתוח סיסמה מבקשת 🙂

      אני עובד על המדריך האחר, אני באמת מסביר את זה בצורה דידקטית ופשוטההה.
      ברכות ותודה על תגובתך 😀

  2.   שׁוֹרקָנִי דיג'ו

    עוד אחד כאן מחכה לדברים חדשים לגבי iptables

    1.    KZKG ^ גאארה דיג'ו

      זה בדרך 😀
      תודה שעברת במקום והגבת ^ - ^

  3.   פאסטוד דיג'ו

    ובכן, האייפלטס הזה הוא אחד הדברים המרתקים ביותר שאני עדיין לא יודע אבל המעט שראיתי מעיד שלפני שנים הייתי צריך להחליט להשתמש ב- GNU / Linux. אני אוהב את זה….

  4.   אוסקר דיג'ו

    טוב חבר, אני תמיד ממתין להוציא לפועל את ההדרכות הטובות שאתה מפרסם. ה- Iptables יחכו לכם.

  5.   פאסטוד דיג'ו

    אח,

    אך האם מכונה זו משמשת כ- proxy או שזה רק כדי להתחבר לאינטרנט ולהיות מוגן? יש דברים שאני לא מבין.

    1.    KZKG ^ גאארה דיג'ו

      לא שום דבר של proxy, עבור proxy תצטרך גם לפתוח את יציאת השירות (3128 למשל). אל תדאגי, אשים הדרכה להסבר על iptables 😀

  6.   הוגו דיג'ו

    ב- Debian, אחת הדרכים לגרום לחוקים להיטען אוטומטית היא להתקין את החבילה המתמשכת של iptables (לכאורה מעט ידוע)

    התחלתי להשתמש בגרסה זו, אך לבסוף בחרתי למקם סקריפט ב- /etc/network/if-pre-up.d/ כדי להיות מסוגל לעשות דברים מתקדמים אחרים כגון קביעת מדיניות מגבילה כמו נפילה במקרה שיש באג עם הכללים העיקריים. .

  7.   קלאודיו דיג'ו

    האם תוכל להסביר מה אתה קובע בהדבקה מס '4411? קראתי את זה אבל אני לא יודע במה מדובר!

    (למקרה שכבר פרסמת הדרכה אחרת תסלח לשאלה אבל חיפשתי iptables ומצאתי כמה מדריכים)
    ומצד שני, מה שהם מזכירים בחבילה המתמשכת של iptables משמש כתחליף למה שאתה מזכיר?

    לעת עתה אני כבר מיישם את מה שאתה מפרט בו https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

    1.    KZKG ^ גאארה דיג'ו

      שלום 😀
      כן, זה בעצם לא כל כך מסובך.

      - ראשית קבעתי משתנים, כדי לשמור על כתיבת תווים נוספים, משורות 4 עד 18.
      - אחרי 23 עד 25 אני מנקה את כל מה שכתבתי ב- iptables, שהוא ריק או 100% נקי, ואז אני כותב את הכללים.
      - ב 29 ו 30 אני קובע כי כברירת מחדל אני לא אתיר שום תנועה נכנסת (קלט) במחשב הנייד שלי, וכל תעבורה שתעבור דרכה (קדימה)
      - בשנת 34 אני אומר שלו (lo = localhost, שהוא המחשב הנייד עצמו) יכול להשתמש ברשת.
      - בשנת 38 אני מציין שהחיבורים שאני יוזם, אם אותם חיבורים מייצרים מנות שינסו להיכנס למחשב, כיוון שהייתי ההתחלה של אותם חבילות (מכיוון שהם נוצרו על ידי משהו שעשיתי) הם יוכלו להיכנס .
      - עכשיו החל מ 42 אני מתחיל לאפשר חיבורים מסוגים שונים או דרך יציאות שונות. כלומר, במס '42 אני מאפשר פינג נכנס, מהרשת הביתית שלי (משתנה casa_network) ועד ה- IP שיש למחשב הנייד שלי בבית (משתנה geass_casa_lan).
      - ב 43 אותו דבר, אבל במקרה זה אני מציין שזה ה- IP של המחשב הנייד שלי בבית, כן, אבל במקום LAN זה יהיה באמצעות Wifi.
      - ומכאן ואילך זה אותו סוג של חוקים ... אפשר גישה ליציאות או שירותים מסוימים שיש לי במחשב הנייד שלי, ל- IP או רשתות מסוימות 🙂

      אני ממש ממליץ לך לקרוא את זה: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

      אם אחרי זה עדיין יש לך ספק עם כללים מסוימים, אנא שאל אותי כאן או דרך הפורום (http://foro.desdelinux.net) ואני באמת מבהיר מה צריך 🙂

      לגבי iptables-persistent לא ממש השתמשתי בו, לא יכולתי להבטיח לך ... קורה שסינון מנות, במיוחד iptables, הוא עניין עדין מאוד, מכיוון שחלק גדול מהאבטחה של המערכת שלנו תלוי בזה ולשם כך הסיבה היא שאם אני בטוח במשהו, אני לא מבטיח את פעולתו הנכונה.

      ברכות 😀

      1.    קלאודיו דיג'ו

        תודה על התשובה. כן קראתי את הקישור שאתה נותן לי! למעשה, עד שאני מכבה / מפעיל מחדש הם מוחלים sudo iptables -A קלט -i lo -j קבל
        sudo iptables -A INPUT -m state-state ESTABLISHED, RELATED -j ACCEPT (בתוספת הקודם שהוזכר באותה הודעה)
        .
        לאחר כמה קריאות על חומות אש וכיצד אני נאלץ לשמור על קשר ולקבל קבצים שמגיעים ממחשבים אישיים עם M $, זה נראה נכון ליישם iptables.
        אם אעתיק את התוכן של הדבקת מס '4411 למחברת שלי, האם אצטרך לשנות משהו או שזה פשוט יעבוד?

        1.    KZKG ^ גאארה דיג'ו

          כל מחשב שונה, כי כל משתמש הוא. ראשית עליך להגדיר אילו שירותים יש לך במחשב שלך (אינטרנט וכו ') ולדעת לאילו שירותים אתה רוצה להיות ציבורי (שאחרים יכולים לגשת אליהם), ולאילו שירותים אינך.

          בסקריפט שלי (שעלי כבר לשנות אותו hehe) אני מגדיר ששרת האינטרנט (HTTP) יהיה גלוי עבור כתובות IP מסוימות, הפינג יאפשר זאת לכל אחד ברשתות מסוימות וכו 'וכו'.

          Si necesitas ayuda escríbeme a mi email personal, con mucho gusto te ayudo: kzkggaara[@]desdelinux[.]net

          לחלופין, השאר פוסט בפורום שלנו ומשתמשים נוספים יעזרו לך: http://foro.desdelinux.net

          1.    קלאודיו דיג'ו

            אני מכין נושא בפורום, תודה על התשובות. והתכונן לעוד כמה ספקות היי! בכל מקרה אני קורא קצת את הנושא כדי לא להתעלל

  8.   אדריאנה דלמונטה דיג'ו

    בודקים ... כדי לראות אם אתה מקבל אותי, יש לי הרבה שאלות לשאול אותך ...!

  9.   סיאנים דיג'ו

    היי אחי רציתי לראות אם יש עוד מדריכים מלבד הפוסט הזה שאני מתחיל ב- iptables ואני רוצה לתעד את עצמי