Saya selalu berfikir bahawa keselamatan tidak pernah menyakitkan, dan tidak pernah cukup (sebab itu meriah Dia melabel saya sebagai orang gila keselamatan yang obsesif dan psikotik ..., jadi walaupun saya menggunakan GNU / Linux, saya tidak mengabaikan keselamatan sistem saya, kata laluan saya (dihasilkan secara rawak dengan pwgen), dan lain-lain..
Tambahan pula, walaupun sistem menaip Unix tidak diragukan lagi sangat selamat, tidak diragukan lagi disyorkan untuk menggunakan a Firewall, konfigurasikannya dengan betul, agar dilindungi sebaik mungkin 🙂
Di sini saya akan menerangkan kepada anda tanpa banyak kerumitan, keterlibatan atau perincian yang kompleks bagaimana mengetahui asas-asasnya iptables.
Tetapi ... Apa maksudnya?
iptables Ia adalah bahagian kernel Linux (modul) yang menangani penapisan paket. Ini mengatakan dengan cara lain, ini bermaksud iptables Ini adalah bahagian kernel yang tugasnya adalah untuk mengetahui maklumat / data / pakej apa yang ingin Anda masukkan ke dalam komputer anda, dan apa yang tidakdan melakukan lebih banyak perkara, tetapi mari kita fokuskan perkara ini buat masa ini hehe).
Saya akan menerangkannya dengan cara lain 🙂
Ramai di distro mereka menggunakan firewall, Penyala api o firehol, tetapi firewall ini sebenarnya 'dari belakang' (di latar belakang) menggunakan iptables, kemudian ... mengapa tidak digunakan secara langsung iptables?
Dan itulah yang akan saya jelaskan secara ringkas di sini 🙂
Sejauh ini ada keraguan? 😀
Untuk bekerjasama iptables perlu ada kebenaran pentadbiran, jadi di sini saya akan gunakan sudo (tetapi jika anda memasukkan seperti akar, tidak ada keperluan).
Agar komputer kita betul-betul selamat, kita hanya perlu membiarkan apa yang kita mahukan. Lihat komputer anda seolah-olah itu adalah rumah anda sendiri, di rumah anda, anda secara lalai TIDAK membiarkan orang masuk, hanya orang tertentu tertentu yang telah anda setujui sebelum dapat masuk, bukan? Dengan firewall ia berlaku sama, secara lalai tidak ada yang dapat memasuki komputer kita, hanya mereka yang ingin memasuki pintu masuk
Untuk mencapai ini saya jelaskan, berikut adalah langkah-langkahnya:
1. Buka terminal, di dalamnya masukkan yang berikut dan tekan [Masukkan]:
sudo iptables -P INPUT DROP
Ini akan mencukupi sehingga tidak seorang pun, sama sekali tidak ada yang dapat memasuki komputer anda ... dan ini "tidak ada" termasuk anda sendiri
Penjelasan baris sebelumnya: Dengan itu kami menunjukkan kepada iptables bahawa dasar lalai (-P) untuk semua yang ingin memasuki komputer kita (INPUT) adalah mengabaikannya, mengabaikannya (DROP)Tidak ada yang cukup umum, sebenarnya, anda juga tidak akan dapat melayari internet atau apa-apa, sebab itulah kita mesti di terminal itu meletakkan perkara berikut dan tekan [Masukkan]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... Saya tidak faham kotoran, Apa yang sedang dilakukan kedua-dua garis pelik ini? ...
Ringkas 🙂
Baris pertama yang dinyatakan ialah komputer itu sendiri (-i lo ... by the way, lo = localhost) dapat melakukan apa sahaja yang dikehendaki. Sesuatu yang jelas, yang mungkin kelihatan tidak masuk akal ... tapi percayalah, ia sama pentingnya dengan udara haha.
Baris kedua yang akan saya jelaskan menggunakan contoh / perbandingan / metafora yang saya gunakan sebelumnya, maksud saya membandingkan komputer dengan rumah 🙂 Contohnya, andaikan kita tinggal dengan lebih ramai orang di rumah kita (ibu, ayah, saudara lelaki, teman wanita, dll). Sekiranya ada di antara orang-orang ini yang meninggalkan rumah, adakah jelas / logik bahawa kita akan membiarkan mereka masuk setelah mereka kembali, bukan?
Itulah yang dilakukan oleh barisan kedua. Semua sambungan yang kami mulakan (yang datang dari komputer kami), ketika melalui sambungan itu anda ingin memasukkan beberapa data, iptables akan membiarkan data masuk. Meletakkan satu lagi contoh untuk menerangkannya, jika menggunakan penyemak imbas kami, kami cuba melayari internet, tanpa 2 peraturan ini kami tidak akan dapat, ya ... penyemak imbas akan menyambung ke internet, tetapi apabila ia cuba memuat turun data ( .html, .gif, dll) ke komputer kita untuk menunjukkan kepada kita, dia tidak akan dapat iptables Ia akan menolak kemasukan paket (data), sementara dengan peraturan ini, ketika kita memulakan sambungan dari dalam (dari komputer kita) dan sambungan yang sama adalah yang cuba memasukkan data, ia akan membenarkan akses.
Dengan siap, kami telah menyatakan bahawa tidak ada yang dapat mengakses perkhidmatan apa pun di komputer kami, tidak ada yang kecuali komputer itu sendiri (127.0.0.1) dan juga, kecuali sambungan yang dimulakan pada komputer itu sendiri.
Sekarang, saya akan menerangkan satu lagi perincian dengan cepat, kerana bahagian ke-2 tutorial ini akan menerangkan dan merangkumi lebih banyak perkara ini hehe, saya tidak mahu terlalu maju 😀
Kebetulan, misalnya, mereka mempunyai laman web yang diterbitkan di komputer mereka, dan mereka mahu laman web itu dilihat oleh semua orang, seperti sebelumnya kami menyatakan bahawa semuanya secara lalai TIDAK dibenarkan, kecuali dinyatakan sebaliknya, tidak ada yang dapat melihat kami laman web. Sekarang kita akan membuat sesiapa sahaja dapat melihat laman web atau laman web yang kita ada di komputer kita, untuk ini kita meletakkan:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Ini sangat mudah untuk dijelaskan 😀
Dengan garis itu kami menyatakan bahawa anda menerima atau membenarkan (-j TERIMA) semua lalu lintas ke pelabuhan 80 (–Dport 80) menjadikannya TCP (-p tcp, dan bahawa ia juga lalu lintas masuk (-PASARAN). Saya meletakkan port 80, kerana itu adalah port host web, iaitu ... apabila penyemak imbas cuba membuka laman web di komputer X, ia selalu kelihatan secara lalai pada port tersebut.
Sekarang ... apa yang harus dilakukan apabila anda mengetahui peraturan apa yang harus ditetapkan, tetapi ketika kita menghidupkan semula komputer kita melihat bahawa perubahan tidak disimpan? ... baik, untuk itu saya sudah melakukan tutorial lain hari ini:
Cara memulakan peraturan iptables secara automatik
Di sana saya menerangkannya secara terperinci 😀
Dan di sini berakhirnya Tutorial pertama pada iptables untuk pemula, ingin tahu dan berminat 😉 ... jangan risau, ini bukan yang terakhir hehe, yang berikutnya akan menangani peraturan yang sama, tetapi lebih spesifik, memperincikan semuanya sedikit lebih banyak dan meningkatkan keselamatan. Saya tidak mahu memanjangkannya lebih jauh, kerana pada hakikatnya adalah perlu bahawa asas (apa yang anda baca di sini pada awalnya) memahaminya dengan sempurna 🙂
Salam dan ... ayuh, saya jelaskan keraguannya, selagi anda tahu jawapannya LOL !! (Sejauh ini saya bukan pakar dalam hal ini hahaha)
Sangat bagus! Hanya soalan? Adakah anda tahu apa tetapan lalai? Soalannya adalah paranoid bahawa saya hanya: D.
Terima kasih banyak.
Secara lalai, baik secara lalai ia menerima segalanya. Dengan kata lain, perkhidmatan yang anda letakkan di komputer anda ... perkhidmatan yang akan umum untuk selebihnya 😀
Anda faham?
Oleh itu… apabila anda tidak mahu laman web X melihatnya DAN rakan anda, atau IP tertentu, terdapat firewall, htaccess, atau beberapa kaedah untuk menolak akses.
Regards,
Abang, Cemerlang !!!! Sekarang saya akan membaca yang pertama ...
Terima kasih atas bantuan anda…
Disla
Terima kasih untuk tutorialnya, ia sangat berguna.
Satu-satunya perkara yang ingin saya ketahui atau pastikan ialah jika dengan arahan ini saya tidak akan menghadapi masalah untuk membuat pemindahan p2p, memuat turun fail atau membuat panggilan video, misalnya. Dari apa yang saya baca tidak, semestinya tidak ada masalah, tetapi saya lebih suka memastikannya sebelum memasuki baris.
Terima kasih sejak sekarang.
Greetings.
Anda tidak seharusnya menghadapi masalah, namun ini adalah konfigurasi yang cukup asas, dalam tutorial seterusnya saya akan menerangkan dengan lebih lengkap cara menambahkan peraturan anda sendiri, bergantung pada keperluan masing-masing, dll
Tetapi saya ulangi, anda tidak seharusnya menghadapi masalah, jika anda memilikinya, mulakan semula komputer dan hanya itu, seolah-olah anda tidak pernah mengkonfigurasi iptables 😀
Mula semula ? Kedengarannya sangat tingkap. Dalam keadaan terburuk, anda hanya perlu menyingkirkan peraturan iptables dan menetapkan polisi lalai untuk MENERIMA dan masalahnya diperbaiki, jadi rockandroleo, anda tidak akan menghadapi masalah.
Terima kasih!
Dan, maaf untuk membuat permintaan lain, tetapi kerana kita membahas topik firewall, ada kemungkinan anda menerangkan cara menerapkan perintah yang sama ini di antara muka grafik firewall seperti gufw atau firestarter.
Pertama sekali, Terima kasih.
Greetings.
Saya akan menerangkan Firestarter, saya hanya melihatnya dan tidak menggunakannya seperti itu, mungkin saya akan menerangkannya secara ringkas atau mungkin meriah buat sendiri 🙂
Kemudian apabila saya ingin merasa seperti penggodam saya akan membacanya, saya selalu ingin belajar mengenai keselamatan
Tutorial yang sangat baik, sepertinya saya dijelaskan dengan baik dan walaupun langkah demi langkah itu lebih baik, seperti yang mereka katakan, untuk boneka.
Greetings.
hahahaha terima kasih 😀
Hebat.
Terangkan dengan jelas.
Anda perlu membacanya dan membaca semula sehingga pengetahuan itu diselesaikan dan kemudian teruskan dengan tutorial berikut.
Terima kasih kerana artikel.
Terima kasih 😀
Saya telah mencuba menerangkannya kerana saya ingin menerangkannya buat pertama kalinya, LOL !!
Salam 🙂
Sangat bagus, saya sedang menguji dan ia berfungsi dengan betul, yang sesuai dengan memulakan peraturan secara automatik pada awalnya saya akan meninggalkannya ketika anda menerbitkan bahagian kedua, sehingga ketika itu saya akan mempunyai sedikit lebih banyak kerja menaip perintah setiap kali saya memulakan semula PC, terima kasih rakan untuk tuto dan seberapa cepat anda menerbitkannya.
terima kasih atas cadangan dan penjelasannya.
Anda dapat melihat apa yang berlaku dengan iptables dengan:
sudo iptables -L
Tepat 😉
Saya menambah n sebenarnya:
iptables -nLTerima kasih untuk tutorialnya, saya menantikan bahagian kedua, salam.
bilakah bahagian kedua akan keluar
Saya mempunyai proksi dengan sotong di Machine1, ia akan memberikan penyemakan imbas internet ke mesin lain di lan 192.168.137.0/24, dan ia mendengar di 192.168.137.22:3128 (saya membuka port 3128 untuk sesiapa sahaja yang mempunyai firestarter), dari Machine1 jika saya meletakkan firefox untuk menggunakan proksi 192.168.137.22:3128 ia berfungsi. Sekiranya dari komputer lain dengan ip 192.168.137.10 misalnya, Machine2, saya menetapkannya untuk menggunakan proksi 192.168.137.22:3128 ia tidak berfungsi, kecuali jika pada Mesin1 saya meletakkan firestarter untuk berkongsi internet dengan lan, di sana jika proksi berfungsi, data aliran melalui proksi, tetapi jika di Mesin2 mereka menghapus penggunaan proksi dan menunjuk pintu masuk dengan betul, mereka akan dapat menavigasi dengan bebas.
Apa ini?
Dengan iptables apakah peraturannya?
"Saya berusaha untuk tetap berada di sisi gelap kekuatan, kerana di situlah keseronokan hidup." dan dengan kecelaruan jedi hahahahaha
Sangat bagus! Saya agak lewat kan? haha siaran ini berumur lebih kurang 2 tahun tetapi saya lebih berguna .. Saya berterima kasih kerana telah menerangkannya dengan mudah sehingga saya dapat memahaminya haha saya teruskan dengan bahagian lain ..
Terima kasih kerana membaca 🙂
Ya, jawatan itu tidak sepenuhnya baru tetapi masih sangat berguna, ia tidak mengubah apa-apa mengenai operasi firewall dalam dekad terakhir saya fikir 😀
Salam dan terima kasih kepada anda kerana memberi komen
Apa penjelasan dengan bunga dan segalanya. Saya adalah pengguna "pemula" tetapi dengan banyak keinginan untuk belajar Linux, baru-baru ini saya membaca entri mengenai skrip nmap untuk melihat siapa yang tersambung ke rangkaian saya dan tidak membuat anda lama, dalam komen mengenai siaran tersebut seorang pengguna berkata bahawa Kami akan menggunakan baris pertama yang terkenal yang anda letakkan dari iptables dan itu sudah cukup, dan kerana saya adalah noobster yang luar biasa, saya menggunakannya tetapi kerana anda telah menulisnya di sini, ia tidak memasuki Internet 🙁
Terima kasih kerana siaran ini menjelaskan penggunaan iptables, saya harap anda memanjangkannya dan menerangkan sepenuhnya pengoperasiannya. Ceria!
Terima kasih kepada anda kerana membaca dan mengulas 🙂
iptables hebat, ia berfungsi untuk mematikannya, begitu baik sehingga ... kita bahkan tidak dapat keluar sendiri, itu pasti, kecuali kita tahu bagaimana mengkonfigurasinya. Itulah sebabnya saya cuba menjelaskan iptables sesederhana mungkin, kerana kadang-kadang tidak semua orang dapat memahami sesuatu pada kali pertama.
Terima kasih atas komen, salam ^ _ ^
PS: Mengenai memanjangkan jawatan, berikut adalah bahagian ke-2: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Baiklah, terima kasih banyak, jika saya membaca bahagian kedua dan mula bermain dengan segera di konsol dengan panduan hebat anda. Terima kasih banyak, hei by the way saya harap anda dapat menolong saya kerana saya mempunyai sedikit keraguan dan seperti yang anda ketahui, saya seorang pemula yang cuba belajar mengenai perisian percuma yang indah ini, pada masa ini, saya baru-baru ini memasang distro yang berbeza di mana saya mengubah baris dhcp.config dan membiarkannya seperti ini:
# hantar nama hos ""; Baiklah, ini berfungsi untuk saya di distro itu dan semuanya baik-baik saja, nama komputer saya tidak muncul di pelayan dhcp penghala saya, hanya ikon komputer, tetapi di distro baru ini saya mengubah baris yang sama membiarkannya sama tetapi ia tidak berfungsi. Bolehkah anda membimbing saya sedikit? 🙁 Tolong ...
Memandangkan ini mungkin sesuatu yang lebih kompleks atau meluas, buat topik dalam forum kami (forum.desdelinux.net) dan di sana bersama-sama kami akan membantu anda 🙂
Terima kasih kerana membaca dan memberi komen
Sedia, terima kasih atas jawapannya. Esok pagi saya melakukan subjek dan saya harap anda dapat menolong saya, salam dan tentu saja pelukan.
Artikel yang sangat baik.
Adakah anda berfikir bahawa dengan ini saya dapat melaksanakan firewall menggunakan iptables di rumah saya atau adakah saya perlu mengetahui sesuatu yang lain? Adakah anda mempunyai tutorial konfigurasi atau dengan artikel ini tetap ada?
berkaitan
Sebenarnya ini adalah asas dan kaedahnya, jika anda menginginkan sesuatu yang lebih maju (seperti had sambungan, dll) anda boleh menyemak semua catatan yang membincangkan mengenai iptables di sini - » https://blog.desdelinux.net/tag/iptables
Walau bagaimanapun, dengan ini saya mempunyai hampir semua firewall tempatan saya 🙂
Mereka sama sekali tidak kelihatan buruk.
Tetapi ia akan mengubah sesuatu.
Saya akan menurunkan input dan meneruskan dan menerima output
-P INPUT -m state -state DITUBUHKAN, BERKAITAN -j MENERIMA
Itu cukup untuk seorang pemula di iptables menjadi "cukup selamat"
Kemudian, buka port yang kita perlukan.
Saya sangat suka halaman, mereka mempunyai perkara yang sangat baik. Terima kasih kerana sudi berkongsi!
Salam!
Selamat petang kepada semua orang yang telah memberi komen, tetapi mari kita lihat apakah anda dapat menjelaskan mengapa saya lebih tersesat daripada serigala di pembetung, saya orang Kuba dan saya fikir kita selalu melangkah lebih jauh pada setiap topik yang mungkin: topik !!!
Saya mempunyai pelayan UBUNTU Server 15 dan ternyata saya mempunyai perkhidmatan yang dihoskan di dalamnya yang disediakan oleh program lain iaitu aliran TV tetapi saya cuba mengawalnya melalui Alamat MAC sehingga kawalan port misalnya 6500 yang memilihnya secara rawak Tidak ada yang dapat masuk melalui port tersebut melainkan dengan alamat MAC yang tertera di iptables. Saya telah melakukan konfigurasi artikel nombor satu ini dan ia berfungsi dengan baik, sangat baik daripada yang saya mahukan tetapi saya telah mencari maklumat di todooooooooooooo dan saya tidak menemui konfigurasi yang senang untuk membenarkan alamat mac menggunakan port tertentu sahaja dan tidak lain.
terima kasih terlebih dahulu!
Halo, apa khabar, saya membaca artikel iptables untuk pemula, sangat bagus, saya mengucapkan tahniah kepada anda, saya tidak tahu banyak tentang linux, jadi saya ingin mengajukan soalan kepada anda, saya mempunyai masalah, jika anda dapat membantu saya terima kasih, saya mempunyai pelayan dengan beberapa IP dan setiap beberapa hari, ketika pelayan menghantar e-mel melalui IP yang ada di pelayan, ia berhenti menghantar e-mel, jadi untuk menghantar e-mel lagi saya harus meletakkan:
/etc/init.d/iptables berhenti
Apabila saya meletakkannya, ia mula menghantar e-mel lagi, tetapi setelah beberapa hari ia menyekat lagi, bolehkah anda memberitahu saya arahan apa yang harus saya letakkan supaya pelayan tidak menyekat ip? Saya sedang membaca dan dari apa yang anda katakan halaman, dengan 2 baris ini mesti diselesaikan:
sudo iptables -A INPUT -i lo -j MENERIMA
sudo iptables -A INPUT -m state -state DILAYAN, BERKAITAN -j TERIMA
tetapi kerana saya tidak tahu apakah itu, sebelum meletakkan perintah tersebut, saya ingin melihat apakah dengan itu IP pelayan tidak akan disekat lagi, saya menunggu maklum balas segera dari anda. Salam. Nicholas.
Halo, selamat pagi, saya membaca tutorial kecil anda dan nampaknya sangat bagus dan dengan sebab ini saya ingin mengemukakan soalan kepada anda:
Bagaimana saya boleh mengarahkan permintaan yang masuk melalui antara muka lo (localhost) ke komputer lain (IP lain) dengan port yang sama, saya menggunakan sesuatu seperti ini
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –kepada 148.204.38.105:3306
tetapi tidak mengarahkan saya, saya memantau port 3306 dengan tcpdump dan jika menerima paket tetapi tidak menghantarnya ke IP baru, tetapi jika saya membuat permintaan dari komputer lain, ia akan mengarahkannya semula. Singkatnya, ia mengalihkan apa yang masuk melalui -i eth0, tetapi bukan apa yang masuk melalui -i lo.
Sebelumnya saya menghargai banyak atau sedikit pertolongan yang dapat anda berikan kepada saya. salu2.
Helo, apa khabar, halamannya sangat bagus, ia mempunyai banyak maklumat.
Saya mempunyai masalah dan saya ingin melihat sama ada anda boleh menolong saya, saya telah memasang PowerMta di Centos 6 dengan Cpanel, masalahnya ialah setelah beberapa hari PowerMta berhenti menghantar e-mel ke luar, ia seperti IP disekat, dan setiap hari saya mesti meletakkan perintah /etc/init.d/iptables berhenti, dengan itu PowerMta mula menghantar e-mel lagi ke luar negara, dengan masalah itu diselesaikan selama beberapa hari, tetapi kemudian ia berlaku lagi.
Adakah anda tahu bagaimana saya boleh menyelesaikan masalah tersebut? Adakah terdapat sesuatu yang boleh saya konfigurasikan di pelayan atau di firewall agar ia tidak berlaku lagi? Oleh kerana saya tidak tahu mengapa perkara itu berlaku, jika anda dapat menolong saya terima kasih, saya harap anda segera membalasnya.
Greetings.
Nicholas.
Penjelasan yang sangat baik dan jelas, saya telah mencari buku tetapi sangat luas dan bahasa Inggeris saya tidak begitu baik.
Adakah anda tahu ada buku yang anda cadangkan dalam bahasa Sepanyol?
Bagaimana dengan selamat pagi, dijelaskan dengan sangat baik, tetapi saya masih tidak mempunyai pintu masuk dari internet, saya akan menerangkan, saya mempunyai pelayan dengan Ubuntu, yang mempunyai dua kad rangkaian, satu dengan konfigurasi ini Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Topeng: 255.255.255.0 dan yang kedua dengan pautan Link yang lain: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Siaran: 192.168.1.255 Topeng: 255.255.255.0, di mana yang kedua adalah yang dimiliki pintu gerbang saya, iaitu 192.168.1.64, tetapi kad pertama adalah kad yang mengawal kamera saya dan saya ingin melihatnya dari internet dari ip tetap saya ,,, saya dapat melihatnya dari lan tetapi tidak dari internet, bolehkah anda menolong saya? , atau jika penghala saya adalah yang tidak dikonfigurasi dengan betul, itu adalah pemanah tp-link c2 ,,, terima kasih
Halo, saya baru sahaja melakukan ini di pelayan saya dan anda tahu, bagaimana saya boleh memulihkannya?
iptables -P INPUT DROP
Saya tinggalkan e-mel saya ing.lcr.21@gmail.com
Saya telah mencari entri berkualiti tinggi atau catatan blog mengenai kandungan ini. Googling akhirnya saya menjumpai laman web ini. Dengan membaca artikel ini, saya yakin bahawa saya telah menemui apa yang saya cari atau sekurang-kurangnya saya mempunyai perasaan pelik itu, saya telah menemui apa yang saya perlukan. Sudah tentu, saya akan memastikan anda tidak melupakan laman web ini dan mengesyorkannya, saya merancang untuk kerap mengunjungi anda.
salam
Saya betul-betul mengucapkan tahniah kepada anda! Saya telah membaca banyak halaman iptables tetapi tidak semudah yang dijelaskan seperti halaman anda; penjelasan yang sangat baik !!
Terima kasih kerana mempermudah hidup saya dengan penjelasan ini!
Sejenak saya merasa Arab xD
Guru saya menggunakan ini untuk mengajar, terima kasih dan salam. geng