כאשר DesdeLinux הייתי רק בן כמה חודשים וכתבתי מדריך פשוט מאוד להבנה על iptables: iptables עבור מתחילים, סקרנים, מעוניינים (חלק 1) . באמצעות מטפורות כמו השוואת המחשב שלנו לבית שלנו, חומת האש שלנו עם דלת הבית, כמו גם דוגמאות אחרות, הסברתי בצורה נעימה, בלי כל כך הרבה טכניקות או מושגים מסובכים, מה זה חומת אש, מה זה iptables ו כיצד להתחיל להשתמש בו ולהגדיר. זה ההמשך, החלק השני של מדריך iptables הקודם 🙂
קורה שלפני כמה ימים השתמשתי ב- Linksys AP (נקודת גישה) שמתי Wifi בבית של חברתי, למרות שהיישוב לא הכי בקי מבחינת הטכנולוגיה, כלומר זה לא שיש סכנות רבות לפיצוח , זה תמיד רעיון טוב שיהיה אבטחה מצוינת הן ב- Wifi והן במחשבים.
לא אתייחס להגנת אבטחת ה- Wifi כאן, מכיוון שהיא אינה מטרת הפוסט, אתמקד בתצורת ה- iptables בה אני משתמש כעת במחשב הנייד שלי.
בפוסט הקודם הסברתי כי יש צורך בחומת אש להכחיש תחילה את כל התעבורה הנכנסת, לשם כך:
sudo iptables -P INPUT DROP
אז עלינו לאפשר למחשב שלנו הרשאה להזין נתונים:
sudo iptables -A INPUT -i lo -j ACCEPT
כמו גם קבלת חבילות בקשות שמקורן במחשב שלנו:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
עד כה המחשב שלנו יכול לנווט באינטרנט ללא בעיות, אך איש מכל סביבה אחרת (LAN, אינטרנט, Wifi וכו ') לא יוכל לגשת למחשב שלנו בכל דרך שהיא. אנו מתחילים להגדיר קבצי ipt לפי הצרכים שלנו.
שימוש ב- ulogd להפקת יומני ה- iptables לקובץ אחר:
כברירת מחדל יומני ה- iptables נכנסים ליומן הליבה, יומן המערכת או משהו כזה ... ב- Arch כברירת מחדל, כרגע אני אפילו לא זוכר לאן הם הולכים, בגלל זה אני משתמש אולוגד כך שיומני ה- iptables יהיו בקובץ אחר.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
מתן גישה לשרת הפרטי שלי:
אני לא משתמש ב- VirtualBox או בכל דבר דומה לווירטואליזציה, יש לי את השרת הפרטי שלי עם וירטואליזציה קמו + KVM אשר חייבת להיות מסוגלת להתחבר למחשב הנייד שלי ככזה, עם כללי ה- iptables שציינתי לעיל זה לא יוכל, לכן עלי לתת הרשאה ל- IP של השרת הווירטואלי שלי כדי שיוכל לגשת למחשב הנייד שלי :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
אנו מתכוונים לפרט את השורה הזו, חשוב שתבינו מה פירוש כל פרמטר, מכיוון שהם יחזרו על עצמם הרבה מעכשיו:
-קלט : אני אומר שאני הולך להכריז על כלל לתעבורה נכנסת
-אי virbr0 : אני מצהיר שהממשק דרכו אקבל את התעבורה אינו etho (LAN) או wlan0 (Wifi), אני אומר במפורש שזה ממשק virbr0 שלי, כלומר ממשק הרשת הווירטואלית (פנימי) דרכו המחשב הנייד שלי מתקשר עם השרת הווירטואלי שלי (ולהיפך)
-p tcp : אני מציין את הפרוטוקול, הנפוצים ביותר הם UDP ו- TCP, כאן זה היה מספיק כדי לא לשים את זה אבל ... נהוג לציין את סוג הפרוטוקול לקבל
-ש 192.168.122.88 : מקור, מקור החבילות. במילים אחרות, הכלל מתייחס לחבילות שמגיעות במיוחד מה- IP 192.168.122.88
-j קבל : כבר כאן אני אומר מה אני רוצה לעשות עם החבילות שתואמות את האמור לעיל, במקרה זה לקבל.
במילים אחרות, כסיכום, אני הולך לקבל חבילות שמגיעות מ- IP 192.168.122.88, אך במקרה שתרצה להזין חבילות שמגיעות מאותה IP אבל! הם נכנסים מממשק שאינו virbr0, כלומר נניח שהם מנסים להזין מנות מה- IP 192.168.122.88 אבל הם ממחשב ברשת ה- Wifi שלנו, אם זה המקרה, החבילות יידחו. למה? מכיוון שאנו מציינים בבירור כי כן, אנו מקבלים חבילות מ- 192.168.122.88 כן, אך ורק אך הן צריכות להיכנס מממשק virbr0 (ממשק רשת פנימי וירטואלי), אם החבילות מגיעות מממשק אחר (LAN, RAS, Wifi וכו ') אז הם לא יתקבלו. על ידי ציון הממשק כפי שאתה יכול לראות נוכל להגביל אותו עוד יותר, נוכל לשלוט טוב יותר במה שנכנס (או לא נכנס) למחשב שלנו.
קבלת פינג מכל IP של ה- Wifi הביתי:
ממחשב אחר שמתחבר ל- Wifi, אם אתה מנסה לפינג את המחשב הנייד שלי אני רוצה לאפשר זאת. סיבה? הרעיון הוא גם שבשבועות הקרובים לקשר את המחשב האישי של הבית הסמוך לרשת, כך ששיתוף מידע יהיה פחות מורכב, יותר נזיל, כשאני מתחיל לעשות בדיקות לקישור שולחן העבודה ל- WiFi, צריך לפינג למחשב הנייד שלי כדי לבדוק קישוריות, אם המחשב הנייד שלי לא פינג אחורה אני יכול לחשוב שה- AP נכשל, או שהייתה שגיאה בגישה ל- WiFi, לכן אני רוצה לאפשר את הפינג.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-קלט : כמו קודם, אני מתייחס לתנועה נכנסת
-אני wlo1 : דומה לפני. במקרה הקודם ציינתי את הממשק הווירטואלי, במקרה זה אני מציין ממשק אחר, זה של ה- wifi שלי: wlo1
-p icmp : פרוטוקול Icmp, icmp = פינג. כלומר, אני לא מאפשר SSH או משהו דומה, אני רק מאפשר פינג (icmp)
-ש 192.168.1.0/24 : מקור החבילות, כלומר כל עוד החבילות מגיעות מ- IP 192.168.1.? יתקבל
-ד 192.168.1.51 : כתובת ה- IP של היעד, כלומר ה- IP שלי.
-j קבל : אני מציין מה לעשות עם החבילות שתואמות את האמור לעיל, קבל.
כלומר, וכדי להסביר זאת באופן רץ, אני מקבל שהם פינגים אלי (פרוטוקול icmp) שהיעד הוא במיוחד ה- IP שלי, כל עוד הם מגיעים מ- IP כמו 192.168.1 .__ אבל גם הם לא יכולים להגיע מכל ממשק רשת, עליהם להיכנס במיוחד מממשק רשת ה- Wifi שלי (wlo1)
קבל SSH רק עבור IP אחת:
לפעמים אני צריך להתחבר SSH מהסמארטפון שלי כדי לשלוט במחשב הניידלכן עלי לאפשר גישה SSH למחשב הנייד שלי מ- IP של ה- Wifi שלי, לשם כך:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
מהקו הזה הדבר היחיד ששונה או שראוי להיות מודגש הוא: –דפורט 22 (יציאת SSH בה אני משתמש)
במילים אחרות, אני מקבל ניסיונות להתחבר למחשב הנייד שלי דרך יציאה 22, כל עוד הם מגיעים מ- IP של ה- wifi שלי, הם גם חייבים לקבל את ה- IP שלי כיעד ספציפי וגם להגיע דרך ממשק wlo1, כלומר, זה של ה- wifi שלי (לא ה- lan וכו ')
מאפשר להם להציג את האתר שלך:
זה לא המקרה שלי, אבל אם למישהו מכם יש אתר מתארח ולא רוצים למנוע מאף אחד גישה, כלומר שכולם מכל מקום יכולים לגשת לאתר זה, זה הרבה יותר פשוט ממה שאתם חושבים:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
במילים אחרות, כאן הם מאפשרים את כל התעבורה הנכנסת (tcp) דרך יציאה 80. כפי שאתה יכול לראות, אני לא מציין מאילו IPs או רשת אני מאפשר גישה, על ידי אי ציון טווח IP שיאפשר, iptables מניח שאני רוצה לאפשר גישה לכל טווחי ה- IP הקיימים, כלומר לכל העולם 🙂
שילובים אחרים:
יש לי כללים רבים אחרים כמו, למשל, לקבל פינג ל- IP מ- LAN הביתי שלי (בשביל זה זה בעצם אותו קו כמו לעיל, שינוי טווחי ה- IP), וזה יותר מאותו הרגע שהסברתי לעיל במחשב הנייד שלי ככזה אני לא משתמש בדברים מורכבים באמת, של הגבלת חיבורים, נגד DDoS, אני משאיר את זה לשרתים, במחשב הנייד שלי אני לא צריך את זה 🙂
בכל מקרה, עד כאן המאמר.
כפי שאתה יכול לראות, עבודה עם iptables היא לא כל כך מורכבת או הרבה פחות, ברגע שאתה בונה סקריפט שבו אתה כותב את הכללים שלך, זה פשוט מאוד ואז לשנות אותו, להוסיף או להסיר כללים לחומת האש שלך.
אני לא רואה את עצמי מומחה לנושא, רחוק מזה, למרות כל שאלה שיש לך, הם מגיבים כאן, אנסה לעזור לך ככל שאוכל.
לגבי
טוב מאוד, מאוד מוסבר, נהדר.
אני אוהב סוג זה של פוסטים.
תודה רבה על התגובה 🙂
הפוסט הזה היה חוב שהיה לי הרבה זמן, זה נעים ונעים בסופו של דבר להיות מסוגל לשלם אותו ^ _ ^
לגבי
שאלה האם אתה בקובה?
... קורה שלפני כמה ימים השתמשתי ב- Linksys AP (נקודת גישה) שמתי Wifi בבית של חברתי
כן כמובן, נולדתי וחי בקובה. למה השאלה?
@FIXOCONN: שלום חבר וסלח לעניין הנושא של השאלה, אבל איך אתה מגדיר קינמון להופיע כסביבת שולחן עבודה בסוכן המשתמש? אני משתמש במנטה 13 עם קינמון, אך בשום אופן אני לא מקבל את הלוגו של קינמון שיופיע בסוכן המשתמשים שלי בכל פעם שאני מגיב לאתר זה
האם היית כל כך חביב להעביר לי את פרטי סוכן המשתמש שלך אם זה לא יותר מדי צרות? הייתי רוצה לדעת שהנתונים ימוקמו בעצמי =)
אני משאיר לך דף כדי שתוכל לבדוק אותו ולתת לי את המידע. תודה ומנהלים, סלחו ל"טרולינג "(אם אתם יכולים לקרוא לזה כך) מצדי עם המידע הזה -> http://user-agent-string.info/
הוסף "קינמון" (ללא הצעות מחיר) לחלק כלשהו של UserAgent, ואז הלוגו אמור להופיע בתגובות עתידיות 🙂
טוב מאוד ההודעה! מאוד ברור 😀
תודה על הקריאה ותודה על תגובתך 🙂
תודה! זה ממש עוזר לי!
שלום, קודם כל מזל טוב לבלוג, אני חושב שהוא נהדר.
משהו שעשוי להיות טוב להזכיר הוא שהאפשרות להיכנס עם ULOG לא עובדת במערכות הפעלה שיש להם ulogd2, במקרה זה הכלל צריך להיות:
sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j NFLOG
קודם כל, תודה רבה על מה שאתה אומר על הבלוג 🙂
ב- Arch התקנתי את ulogd v2.0.2-2, והשורה ששמתי עובדת ללא בעיות (הייתי צריך להכניס loglevel = 1 ל- /etc/ulogd.conf, אך היא מסירה את היומנים לקובץ אחר ללא בעיות.
אתה משתמש ב- ulogd v2 ומעלה, הקו שהשארתי עובד לא בסדר עבורך?
בברכה ותודה על ההערות.
תמיד חיכיתי לחלק השני, אני זוכר שכשקראתי את הראשון (זו הייתה החניכה שלי בחומות האש). תודה @ KZKG ^ גאארה, בברכה 🙂
תודה שקראת אותי 😀
והה כן, אמרתי ... הפוסט הזה היה חוב שהיה לי מזמן ^ _ ^
בברכה. טוב מאוד ההודעה. אני מנסה להגדיר כללי iptables כדי להפנות את התנועה מהדיונונים לדנסגוארדיאן וזה עדיין לא משיג את המטרה. אודה לקצת עזרה בנושא זה.
iptables בשביל זה? האם זה לא נעשה ישירות עם ACL ב- Squid?
"יש לי כללים רבים אחרים כמו .."
זה מה שאני מכנה פרנויה, ילד
קצת יותר ושמת חבילה של Rotwailer בכל יציאה פתוחה במודם / הנתב שלך 🙂
HAHAHAHAHAHAHAHAHA אני מת מצחוק עם הרוטוויילרים האהההה
ברכת שלום חבר, קורה שאני זקוק לעזרה כדי להגדיר תצורה של טבלאות IP בצורה שתמנע גישה רק ליציאה 80 כאשר אני מקליד את הכתובת בדפדפן של שרת השמות המותאמים אישית שלי, כלומר כשאני למשל מקליד ns1.mydomain.com ו- ns2.mydomain. com (שהם שרתי השמות שלי) טבלאות IP מונעות גישה ליציאה 80 כך שהדפדפן מנסה לטעון את הדף אך לאחר זמן מה הוא פג ולעולם לא נטען, קורה שכבר ניסיתי עם פקודות כאלה:
iptables -A INPUT -d ns1.midomini.com -p tcp -port 80 -j DROP
iptables -A INPUT -d ns2.midomini.com -p tcp -port 80 -j DROP
אבל הדבר היחיד שהוא עושה הוא למנוע כניסה ליציאה 80 בכל התחומים שלי (מכיוון שהם חולקים את אותה ה- IP כמו מארח וירטואלי), אני רוצה שזה יהיה רק בכתובת ה- URL של שרתי השמות שלי וה- IP אליו שרתי השמות שלי מכוונים, כלומר טבלאות IP מונעות גישה ליציאה 80 ב:
ns1.midomini.com (הצבעה א ') -> 102.887.23.33
ns2.midomini.com (הצבעה א ') -> 102.887.23.34
ואת ה- IP שאליהם מצביעים שרתי השמות
102.887.23.33
102.887.23.34
דוגמה לחברה שיש לה מערכת זו היא: Dreamhost
שרתי השמות שלהם: ns1.dreamhost.com ו- ns2.dreamhost.com וה- IP שהם מצביעים עליהם אינם מגיבים כאשר מקלידים אותם בשורת הכתובת של הדפדפן.
תודה רבה מראש על תשומת לבך, הייתי מאוד רוצה שתתן לי יד עם זה, אני באמת צריך את זה ובדחיפות !!
יום טוב !!
שלום איוואן,
צור איתי קשר בדוא"ל (kzkggaara[at]desdelinux[dot]net) לדבר על זה יותר רגוע ולהסביר את זה טוב יותר, מחר בלי להיכשל אני אענה לך (היום אני עובר שם)
מה שאתה רוצה לעשות הוא פשוט, אני לא יודע מדוע הקווים שאתה אומר לי לא עובדים בשבילך, הם צריכים לעשות, אבל אתה צריך לבדוק יומנים ודברים אחרים שיהיו ארוכים מדי כאן.
ברכות ואני מחכה למייל שלך
באופן תיאורטי בעזרת iptables יכולתי להימנע מלהעביר אלי בקשות ניתוק מתוכניות כמו מטוסי אוויר. אני צודק??? טוב אני אעשה בדיקות אבל אם תגיד לי שהיית משמח אותי מאוד XDDD
בתיאוריה אני חושב שכן, עכשיו אני לא יודע איך אפשר לעשות את זה, מעולם לא עשיתי את זה ... אבל אני חוזר, בתיאוריה, אני חושב שזה יכול.
לאחר החלת כללי ה- iptables, אי אפשר לגשת לתיקיות Windows משותפות ברשת המקומית. איזה כלל עלי להחיל כדי לתקן אותו?
תודה.
על אילו כללי iptables החלת?
זהו החלק השני של "iptables for newbies", האם קראת את הראשון? אני מבקש מכך לדעת אם החלת את הכללים שהיו בפוסט הקודם
כן, קראתי את שני החלקים. עבור התסריט אני מתבסס על פוסט אחר שפרסמת על כללי התחלה עם מערכת.
#! / bin / bash
# - UTF 8 -
# Iptables בינארי
iptables = »/ usr / bin / iptables»
זרק ""
## טבלאות נקיות ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo »- עשה FLUS ל- iptables» && echo »»
## הקמת יומנים עם ULOGD ##
$ iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j ULOG
## הגדר מדיניות DROP המוגדרת כברירת מחדל ##
$ iptables -P DROP קלט
$ iptables -P DROP FORWARD
#echo »- מדיניות DROP מוגדרת כברירת מחדל» && echo »»
## אפשר הכל ל- localhost ##
$ iptables -A INPUT -i lo -j קבלה
$ iptables -A OUTPUT -o lo -j קבל
#echo »- הכל מותר עבור localhost» && echo »»
## אפשר להזין חבילות חיבורים שאני יוזם ##
$ iptables -A INPUT -m state-state ESTABLISHED, RELATED -j קבלה
#echo »- מנות חיבור מותרות שיזם שלי» && echo »»
זרק " ##############################"
הד »## IPTABLES מוגדר בסדר! ## »
זרק " ##############################"
קראתי באינטרנט שעבור סמבה עליכם לכלול בתסריט את הכללים הבאים:
$ iptables -A INPUT -p tcp –dport 139 -j קבלה
$ iptables -A INPUT -p tcp –dport 445 -j קבלה
$ iptables -A INPUT -p udp –ספורט 137 -j קבל
$ iptables -A INPUT -p udp –portport 137 -j קבלה
$ iptables -A INPUT -p udp –portport 138 -j קבלה
עם זאת, אפילו לא איתם אני יכול לראות קבוצות עבודה של חלונות. : ש
הבעיה נפתרה. שנה את קבוצת העבודה והמארחים מאפשרים פרמטרים בקובץ התצורה של סמבה.
כתבה מעולה, פשוט מעולה !!!!
אני פשוט קורא את זה ואני אוהב גם את הדרך בה אתה מסביר את זה וגם את השימוש היעיל באמת ב- iptables, הייתי ממש רוצה ללמוד כיצד להשתמש בו לעומק רב יותר.
ברכות וכתבה מעולה, אני מקווה שתפרסמו עוד על Iptables! ^^
יָקָר;
יש לי שרת proxy עם iptables ואחת מהרשתות שלי לא יכולה לעשות פינג http://www.google.cl מסיבה זו חסמתי את היציאות ומנסה אלף דרכים לפתוח את היציאות ושום דבר לא קורה. אם אני לא מצליח לפינג אני לא יכול לחבר את התחזית
מזל טוב על ההודעה! טוב מאוד. אבל יש לי שאלה. לפעמים כתובת ה- IP שמוקצית לך ברשת יכולה להשתנות (אם זה נכון שנוכל להקצות IP ל- MAC Addres שלנו), אך האם יש אפשרות עם Iptables לאפשר גישה לשרת שלנו באמצעות SSH באמצעות כתובת MAC?
אני מקווה שהסברתי את עצמי היטב.
בברכה, ותודה רבה!
היי, אתה יודע שהוגדר לי שרת לינוקס ואחרי שהנחתי את הפקודות האלה חסמתי הכל ואיבדתי גישה, יכולתי לשחזר כמעט הכל אבל חסרים לי 2 דברים. * אני כבר לא יכול לגשת מדפדפן אינטרנט דרך שם השרת «שרת» אם על ידי ip, 10.10.10.5 ומצד שני אני לא רואה את המשאבים המשותפים מ- Windows Explorer ברשת, לפני שאני שם את \\ server ו- ראיתי את כל המשאבים המשותפים. אני מקווה שתוכלו לעזור לי, אני יודע שזה טיפשי אבל אני לא מצליח לפתור את זה, תודה
אני מצטט מילולית:
"
פרוטוקול Icmp, icmp = פינג. כלומר, אני לא מאפשר SSH או משהו דומה, אני רק מאפשר פינג (icmp)
"
ICMP ו- PING אינם זהים. פינג הוא חלק מפרוטוקול ICMP, אבל זה לא הכל. לפרוטוקול ICMP (Internet Control Message Protocol) שימושים רבים יותר, חלקם עם סכנות מסוימות. ואתה מקבל את כל תעבורת ה- ICMP. יהיה עליך להגביל רק לפינג.
Saludos!
אני צריך לעשות התמחות אבל אני לא מבין הרבה לגבי iptables, אתה יכול בבקשה לעזור לי ...
תודה!!!!!!!