安全は決して傷つかないといつも思っていましたが、それだけでは十分ではありません(それが理由です エラヴ 彼は私を強迫的で精神病的なセキュリティマニアックだとラベル付けしています...)、したがって、GNU / Linuxを使用している場合でも、システムのセキュリティ、パスワード(でランダムに生成 プンゲン)など。
さらに、システムタイプの場合でも Unixの 間違いなく非常に安全です、間違いなく使用することをお勧めします ファイアウォール、適切に構成し、可能な限り保護するようにします🙂
ここでは、多くの混乱、もつれ、または複雑な詳細なしで、の基本を知る方法を説明します iptables.
だが … iptablesとは一体何ですか?
iptables これは、パケットフィルタリングを処理するLinuxカーネル(モジュール)の一部です。 これは別の言い方をすれば、それは iptables これはカーネルの一部であり、その仕事は、コンピューターに入力する情報/データ/パッケージと、入力しない情報(そしてもっと多くのことをしますが、今のところこれに焦点を当てましょう).
これを別の方法で説明します🙂
ディストリビューションの多くはファイアウォールを使用していますが、 発火具 o ファイアホール、しかしこれらのファイアウォールは実際には「後ろから」(バックグラウンドで) 使用する iptables、それなら...直接使ってみませんか iptables?
そして、それは私がここで簡単に説明するものです🙂
これまでのところ疑問はありますか? 😀
で作業する iptables 管理者権限が必要なので、ここでは使用します sudo (でもあなたが ルート、必要はありません).
私たちのコンピューターが本当に安全であるためには、私たちが望むものだけを許可する必要があります。 まるで自分の家のようにコンピュータを見てください。デフォルトでは、誰も入れません。以前に承認した特定の人だけが入ることができますよね? 同じことがファイアウォールでも起こります。デフォルトでは、誰も私たちのコンピューターに入ることができず、私たちだけが入ることができます🙂
私が説明するこれを達成するために、ここにステップがあります:
1. ターミナルを開き、その中に以下を入れて押す [入る]:
sudo iptables -P INPUT DROP
これで十分なので、誰も、絶対に誰もあなたのコンピュータに入ることができません...そして、この「誰も」はあなた自身を含みません😀
前の行の説明:これを使用して、コンピューターに入力するすべてのデフォルトポリシー(-P)が無視することをiptablesに示します(DROP)誰も非常に一般的で絶対的ではありません。実際、あなた自身もインターネットをサーフィンすることはできません。そのため、そのターミナルに次のように入力して押す必要があります。 [入る]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
...私はたわごとを理解していません、 これらのXNUMXつの奇妙な線は今何をしていますか? ...
シンプル🙂
それが言っている最初の行は、コンピュータ自体(-i lo ...ちなみに、lo = localhost)好きなことをすることができます。 当たり前のこと、それはばかげているように見えるかもしれません...しかし私を信じてください、それは空気のハハと同じくらい重要です。
前に使用した例/比較/メタファーを使用して説明するXNUMX行目は、コンピューターと家を比較することを意味します🙂たとえば、私たちが家にもっと多くの人(母、父、兄弟、ガールフレンドなど)と住んでいると仮定します)。 これらの人々のいずれかが家を出た場合、彼らが戻ったら私たちが彼らを入れることは明白で論理的ですか?
それはまさにそのXNUMX行目が行うことです。 私たちが開始するすべての接続(私たちのコンピューターから来る)、その接続を介してデータを入力したいとき、 iptables そのデータをに入れます。 もう2つの例を挙げて説明すると、ブラウザを使用してインターネットをサーフィンしようとすると、これらXNUMXつのルールがないとできません。そうです...ブラウザはインターネットに接続しますが、データをダウンロードしようとすると( .html、.gifなど)をコンピュータに表示して表示すると、彼はできなくなります iptables パケット(データ)の入力を拒否しますが、これらのルールでは、(コンピューターから)内部から接続を開始し、同じ接続がデータを入力しようとするため、アクセスが許可されます。
これで、コンピューター自体(127.0.0.1)以外の誰も、コンピューター自体で開始される接続を除いて、コンピューター上のサービスにアクセスできないことをすでに宣言しました。
ここで、もう2つ詳細を簡単に説明します。このチュートリアルの第XNUMX部では、このheheについて詳しく説明し、カバーするため、あまり進めたくないです😀
たとえば、自分のコンピュータにWebサイトが公開されていて、そのWebサイトをすべての人に見られるようにしたい場合があります。これは、特に明記されていない限り、デフォルトではすべてが許可されていないことを以前に宣言したためです。ウェブサイト。 これで、コンピューターにあるXNUMXつまたは複数のWebサイトを誰でも見ることができるようになります。
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
これは説明するのがとても簡単です😀
その行で、私たちはあなたが受け入れるか許可することを宣言しています(-j受け入れる)ポート80へのすべてのトラフィック(–ポート80)TCPにします(-p TCP)、そしてそれは着信トラフィックでもあること(-入力)。 ポート80を配置しました。これは、Webホストのポートであるためです。つまり、ブラウザーがXコンピューターでサイトを開こうとすると、デフォルトでそのポートが常に表示されます。
さて...設定するルールがわかっているのに、コンピューターを再起動すると、変更が保存されていないことがわかります。 ...まあ、そのために私はすでに今日別のチュートリアルをしました:
iptablesルールを自動的に開始する方法
そこで詳しく説明します😀
そして、これで終わりです 最初のチュートリアル オン 好奇心旺盛で興味のある初心者向けのiptables 😉…心配しないでください。これが最後ではありません。次のルールは同じですが、より具体的なルールを扱い、すべてをもう少し詳しく説明し、セキュリティを強化します。 私はこれ以上拡張したくありません。実際には、ベース(最初にここで読んだもの)がそれを完全に理解する必要があるからです🙂
あいさつと...さあ、あなたが答えを知っている限り、私は疑問を明確にしますLOL !! ((私はこのハハハの専門家ではありません)
とても良い! ただの質問? デフォルト設定が何であるかについて何か考えがありますか? 問題は、私がただの妄想です:D。
どうもありがとうございます。
デフォルトでは、デフォルトですべてを受け入れます。 言い換えれば、あなたがあなたのコンピュータに置いたサービス...残りのために公開されるサービス😀
分かるでしょう?
つまり... X Webサイトにそれと友人、または特定のIPを表示させたくない場合は、ファイアウォール、htaccess、またはアクセスを拒否する何らかの方法があります。
よろしく、
ブラザー、素晴らしい!!!! 今、私は最初を読むつもりです...
ご協力いただきありがとうございます…
ディスラ
チュートリアルをありがとう、それは私にとって重宝します。
私が知りたい、または確認したい唯一のことは、これらの手順で、たとえば、p2p転送、ファイルのダウンロード、またはビデオ通話を行うのに問題がないかどうかです。 私が「いいえ」と読んだことから、問題はないはずですが、行に入る前に確認したいと思います。
今からありがとう。
ご挨拶。
問題はないはずですが、これはかなり基本的な構成です。次のチュートリアルでは、各ルールの必要性などに応じて、独自のルールを追加する方法について詳しく説明します🙂
しかし、繰り返しますが、問題が発生することはないはずです。コンピュータを再起動するだけで、iptablesを構成したことがないかのようになります😀
再起動 ? それは非常に窓際に聞こえます。 最悪の場合、iptablesルールをフラッシュし、デフォルトのポリシーをACCEPTに設定するだけで問題が修正されるため、rockandroleoでは問題は発生しません。
Saludos!
また、別のリクエストを行って申し訳ありませんが、ファイアウォールのトピックに取り組んでいるため、gufwやfirestarterなどのファイアウォールのグラフィカルインターフェイスでこれらの同じコマンドを適用する方法を説明することができます。
よろしくお願いします。
ご挨拶。
私はFirestarterについて説明します、gufw私はそれを見ただけで、それ自体は使用していません、多分それを簡単に説明するか多分 エラヴ 自分でやる🙂
それから、ハッカーのように感じたいときは、それを読みます。私は常にセキュリティについて学びたいと思っていました。
優れたチュートリアルですが、私にはよく説明されているようです。ダミーにとっては、段階的に説明されているように、優れています。
ご挨拶。
ははははありがとう😀
すごい。
明確に説明されています。
それを読み、知識が落ち着くまで読み直してから、次のチュートリアルを続ける必要があります。
記事をありがとう。
ありがとう😀
初めて説明してもらいたいので説明してみました、LOL !!
ご挨拶🙂
非常に良いです、私はテストしていて、それは正しく動作します。これは、最初にルールを自動的に開始することに対応します。XNUMX番目の部分を公開するときにそれを残します。それまでは、再起動するたびにコマンドを入力する作業が少しあります。 PC、tutoとあなたがそれをどれだけ早く公開したかについて友人に感謝します。
推薦と説明に感謝します。
iptablesに何が適用されるかを確認できます。
sudo iptables -L
正確に😉
追加します n 実際に:
iptables -nLチュートリアルをありがとう、私は第二部、挨拶を楽しみにしています。
第二部はいつ出ますか
私はMachine1にsquidを備えたプロキシを持っており、そのLAN 192.168.137.0/24上の他のマシンにインターネットブラウジングを提供し、Machine192.168.137.22から3128:3128(Firestarterを持っている人のためにポート1を開きます)でリッスンしています。私はFirefoxをプロキシ192.168.137.22:3128を使用するように配置しました。 たとえばMachine192.168.137.10などのIP2の別のPCから、プロキシ192.168.137.22:3128を使用するように設定した場合、Machine1でLANとインターネットを共有するためにfirestarterを配置した場合を除いて、プロキシが機能しない場合は、動作し、フローデータはプロキシを経由しますが、Machine2でプロキシの使用を削除し、ゲートウェイを正しく指定すると、自由にナビゲートできるようになります。
これは何ですか?
iptablesの場合、ルールはどうなりますか?
「私は力の暗い側にとどまるようにしています。なぜなら、そこに人生の楽しみがあるからです。」 ジェダイのせん妄でハハハハハ
とても良い! 少し遅れますよね? ははは投稿は約2年前ですが、私はとても役に立ちました..それを理解できるように簡単に説明していただきありがとうございますhaha他の部分を続けます..
読んでくれてありがとう🙂
はい、投稿は完全に新しいものではありませんが、それでも非常に便利です。過去XNUMX年間のファイアウォールの動作についてはほとんど何も変わっていないと思います😀
ご挨拶とコメントありがとうございます
花とすべてでなんと説明。 私は「初心者」ユーザーですが、Linuxを学びたいと強く思っています。最近、nmapスクリプトに関する投稿を読んで、誰が私のネットワークに接続しているかを確認し、長くしないようにしました。その投稿へのコメントで、ユーザーは次のように述べています。 iptablesから入力した有名な最初の行を適用しますが、それで十分でした。私は非常に初心者なので、適用しましたが、ここに書いているように、インターネットには入りませんでした🙁
iptablesの使用法を説明するこの投稿をありがとうございます。それを拡張して、その完全な動作を完全に説明していただければ幸いです。 乾杯!
読んでコメントしてくれてありがとう🙂
iptablesは驚異的で、シャットダウンする役割を果たします。そのため、構成方法を知らない限り、自分自身から抜け出すことすらできません。 だから私はiptablesをできるだけ簡単に説明しようとしました。なぜなら、誰もが初めて何かを理解できるとは限らないからです。
コメントありがとうございます、よろしく^ _ ^
PS:ポストの拡張について、ここに2番目の部分があります: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
さて、私が第XNUMX部を読んで、すぐにあなたの素晴らしいガイドと一緒にコンソールで遊び始めたら、どうもありがとう。 どうもありがとうございました。少し疑問があるので、助けていただければ幸いです。ご存知のとおり、私はこの素晴らしいフリーソフトウェアについて学ぼうとしている初心者です。最近、別のディストリビューションをインストールしました。これにdhcp.configファイルをXNUMX行変更し、次のように残しました。
#send host-name ""; まあ、それはそのディストリビューションで私のために働きました、そしてすべてがうまくいきました、私のPC名は私のルーターのdhcpサーバーに表示されず、PCのアイコンだけです、しかしこの新しいディストリビューションでは私はそれを同じままにして同じ行を変更しましたがそれは動かなかった。 少し案内してもらえますか? 🙁お願いします...
これはより複雑または広範なものになる可能性があるため、フォーラム (forum.desdelinux.net) 一緒にお手伝いいたします 🙂
読んでコメントしてくれてありがとう
準備ができて、答えてくれてありがとう。 明日の朝、私は主題を行います、そしてあなたが私、挨拶、そしてもちろん抱擁を手伝ってくれることを願っています。
素晴らしい記事。
これで家にiptablesを使ってファイアウォールを実装できると思いますか、それとも何か他のことを知る必要がありますか? 構成のチュートリアルはありますか、それともこれらの記事が残っていますか?
よろしく
実際、これは基本的かつ中程度です。より高度なもの(接続制限など)が必要な場合は、ここでiptablesについて説明しているすべての投稿を確認できます-» https://blog.desdelinux.net/tag/iptables
ただし、これでほとんどすべてのローカルファイアウォールができました🙂
そもそも悪くはないようです。
しかし、それは何かを変更します。
入力をドロップして転送し、出力を受け入れます
-P INPUT -m state –state ESTABLISHED、RELATED -j ACCEPT
iptablesのnewbiが「かなり安全」であるためにはそれで十分でしょう
次に、必要なポートを開きます。
私はこのページが本当に好きです、彼らはとても良いものを持っています。 共有してくれてありがとう!
ご挨拶!
コメントしてくださった皆さん、おやすみなさい。でも、なぜ私が下水道でオオカミよりも迷子になっているのかを明確にできるかどうか見てみましょう。私はキューバ人です。私たちは常にすべての可能なトピックについてさらに進んでいると思います。トピックとは関係ありません!!!
私はUBUNTUServer 15サーバーを持っていて、ストリームTVである別のプログラムによって提供されるサービスが内部でホストされていることがわかりましたが、MACアドレスを介してそれを制御しようとしているので、たとえば6500がそれを選択するポートを制御します。 iptablesに示されているMACアドレスを使用していない限り、ランダムにそのポートから入ることはできません。 私はこの記事の構成をXNUMX番にしましたが、非常にうまく機能し、思ったよりもうまく機能しましたが、todoooooooooooooで情報を探しましたが、Macアドレスが特定のポートのみを使用できるようにするための適切な構成が見つかりませんでした。
前もって感謝します!
こんにちは、お元気ですか、初心者向けのiptablesの記事を読みました、とても良いです、おめでとうございます、Linuxについてはよく知らないので、質問したいのですが、問題があります。私はあなたに感謝します、私はいくつかのIPを持つサーバーを持っています、そして数日ごとに、サーバーがサーバー上にあるIPを介して電子メールを送信しているとき、それは電子メールの送信を停止します、それでそれが再び電子メールを送信するために私は置く必要があります:
/etc/init.d/iptables 停止
それを置くと、再びメールを送信し始めますが、数日後に再びブロックされます。サーバーがIPをブロックしないようにするために、どのコマンドを入力する必要があるか教えてください。私は読んでいて、あなたの言うことからページ上で、これらの2行を解決する必要があります。
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state –state ESTABLISHED、RELATED -j ACCEPT
しかし、それが何であるかわからないので、それらのコマンドを入力する前に、サーバーのIPがブロックされなくなるかどうかを確認したかったので、迅速な応答を待ちます。 よろしく。 ニコラス。
こんにちはおはようございます、私はあなたの小さなチュートリアルを読みました、そしてそれはとても良さそうだったので、私はあなたに質問をしたいと思います:
loインターフェース(localhost)を介して来るリクエストを同じポートを持つ別のコンピューター(別のIP)にリダイレクトするにはどうすればよいですか?私はこのようなものを使用しています
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –to 148.204.38.105:3306
しかし、リダイレクトされません。ポート3306をtcpdumpで監視しており、パケットを受信しても新しいIPに送信しない場合は、別のコンピューターから要求を送信するとリダイレクトされます。 つまり、-i eth0から入ってくるものをリダイレクトしますが、-iloから入ってくるものはリダイレクトしません。
事前に私はあなたが私に与えることができる多くのまたは少しの助けに感謝します。 salu2。
こんにちは、お元気ですか、ページはとても良いです、それはたくさんの情報を持っています。
問題があり、私を助けてくれるかどうかを確認したかったのですが、PowerMtaをCentos 6にCpanelでインストールしました。問題は、数日後にPowerMtaが外部へのメールの送信を停止し、IPがブロックされているように見えることです。そして、毎日、コマンド/etc/init.d/iptables stopを配置する必要があります。これにより、PowerMtaは再び海外に電子メールを送信し始め、問題は数日間解決されますが、その後再び発生します。
問題を解決する方法を知っていますか?サーバーまたはファイアウォールで、それが二度と起こらないように構成できるものはありますか?なぜこれが起こっているのかわからないので、助けていただければありがとうございます。お返事をお待ちしております。
ご挨拶。
ニコラス。
優れた非常に明確な説明、私は本を探しましたが、それらは非常に広範で、私の英語はあまり上手ではありません。
スペイン語でお勧めの本を知っていますか?
おはようございます、非常によく説明されていますが、まだインターネットからの入り口がありません、私は説明します、私は0つのネットワークカードを持っているUbuntuを備えたサーバーを持っています、3つはこの構成ですc1:10:05:93 inet addr:192.168.3.64 Bcast:192.168.3.255 Mask:255.255.255.0 and the second with this other Link encap:Ethernet HWaddr a0:f3:c1:03:73:7b inet addr:192.168.1.64。 192.168.1.255 Bcast:255.255.255.0マスク:192.168.1.64、2番目はゲートウェイにあるXNUMXですが、最初のカードはカメラを制御するカードであり、インターネットからそれらを表示したいです。私の固定IP 、、、私はLANからは見ることができますが、インターネットからは見ることができません。それを手伝ってくれませんか。 、または私のルーターが正しく構成されていない場合は、tp-link archer cXNUMX 、、、ありがとう
こんにちは、私は自分のサーバーでこれを実行しました。どうすれば回復できますか?
iptables -P入力ドロップ
私はあなたに私のメールを残します ing.lcr.21@gmail.com
私はこのコンテンツに関する高品質の投稿やブログ投稿をかなり探していました。 グーグル私はついにこのウェブサイトを見つけました。 この記事を読んで、私は自分が探していたものを見つけたか、少なくともその奇妙な気持ちを持っていると確信しています。私はまさに必要なものを発見しました。 もちろん、このサイトをお忘れなくお勧めしますので、定期的にお伺いする予定です。
よろしく
本当におめでとうございます! 私はiptablesの多くのページを読みましたが、あなたほど簡単に説明されたものはありません。 優れた説明!!
これらの説明で私の人生を楽にしてくれてありがとう!
一瞬アラブを感じるxD
私の先生はこれを使って教えたり、感謝したり、挨拶したりしています。 ギャング