iptables voor nieuwkomers, nieuwsgierig, geïnteresseerd

Ik heb altijd gedacht dat veiligheid nooit pijn doet, en het is nooit genoeg (Dat is waarom elav Hij bestempelt mij als een obsessieve en psychotische beveiligingsmaniak ...), dus zelfs als ik GNU / Linux gebruik, negeer ik de beveiliging van mijn systeem niet, mijn wachtwoorden (willekeurig gegenereerd met pwgen), enzovoort..

Bovendien, zelfs als systemen typen Unix zijn ongetwijfeld erg veilig, het is ongetwijfeld aan te raden om een Firewall, configureer het correct om zo goed mogelijk beschermd te zijn 🙂

Hier zal ik je zonder veel gedoe, klitten of complexe details uitleggen hoe je de basis van iptables.

Maar … Wat zijn iptables in vredesnaam?

iptables Het is het deel van de Linux-kernel (een module) dat zich bezighoudt met pakketfiltering. Dit gezegd op een andere manier, het betekent dat iptables is het deel van de kernel waarvan het de taak is om te weten welke informatie / data / pakket je op je computer wilt invoeren, en wat niet (en doet meer dingen, maar laten we ons hier voorlopig op concentreren hehe).

Ik zal dit op een andere manier uitleggen 🙂

Velen op hun distributies gebruiken firewalls, Firestarter o vuurhol, maar deze firewalls zijn eigenlijk 'van achteren' (op de achtergrond) gebruik iptables, dan ... waarom niet direct gebruiken iptables?

En dat is wat ik hier kort zal uitleggen 🙂

Is er tot dusver enige twijfel? 😀

Werken met iptables het is noodzakelijk om beheerdersrechten te hebben, dus hier zal ik gebruiken sudo (maar als je binnenkomt zoals wortel, het is niet nodig).

Om onze computer echt veilig te maken, hoeven we alleen toe te staan ​​wat we willen. Zie je computer alsof het je eigen huis is, in je huis laat je standaard NIET iemand binnen, alleen bepaalde specifieke mensen die je eerder hebt goedgekeurd kunnen binnenkomen, toch? Bij firewalls gebeurt het hetzelfde, standaard kan niemand onze computer betreden, alleen degenen die willen invoeren kunnen 🙂 invoeren

Om dit te bereiken leg ik uit, hier zijn de stappen:

1. Open een terminal, plaats daarin het volgende en druk op [Enter]:

sudo iptables -P INPUT DROP

Dit zal voldoende zijn zodat niemand, absoluut niemand, uw computer kan betreden ... en deze "niemand" omvat uzelf 😀

Uitleg van de vorige regel: Hiermee geven we iptables aan dat het standaardbeleid (-P) voor alles dat onze computer wil binnenkomen (INPUT) is om het te negeren, te negeren (DROP)

Niemand is vrij algemeen, absoluut in feite, noch kunt u zelf op internet surfen of zoiets, daarom moeten we in die terminal het volgende plaatsen en op drukken [Enter]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... ik begrijp niets, Wat doen die twee rare regels nu? ...

Eenvoudig 🙂

De eerste regel is dat de computer zelf (-i lo ... trouwens, lo = localhost) kunnen doen wat ze willen. Iets voor de hand liggend, wat misschien zelfs absurd lijkt ... maar geloof me, het is net zo belangrijk als lucht haha.

Ik zal de tweede regel uitleggen aan de hand van het voorbeeld / de vergelijking / de metafoor die ik eerder heb gebruikt, ik bedoel de computer met het huis vergelijken live Stel dat we met meer mensen in huis wonen (moeder, vader, broers, vriendin, enz.). Als een van deze mensen het huis verlaat, is het dan duidelijk / logisch dat we ze binnenlaten als ze terugkomen, niet?

Dat is precies wat die tweede regel doet. Alle verbindingen die we initiëren (die van onze computer komen), wanneer u via die verbinding enkele gegevens wilt invoeren, iptables zal die gegevens binnenlaten. Nog een voorbeeld om het uit te leggen: als we onze browser gebruiken om op internet te navigeren, zullen we zonder deze 2 regels niet in staat zijn, nou ja ... de browser zal verbinding maken met internet, maar wanneer hij probeert gegevens (.html, .gif, enz.) Naar onze computer te downloaden om het ons te laten zien, zal hij dat niet kunnen iptables Het zal de invoer van pakketten (gegevens) weigeren, terwijl met deze regels, aangezien we de verbinding van binnenuit (vanaf onze computer) initiëren en diezelfde verbinding degene is die probeert gegevens in te voeren, toegang wordt verleend.

Nu dit gereed is, hebben we al verklaard dat niemand toegang heeft tot enige service op onze computer, niemand behalve de computer zelf (127.0.0.1) en ook, behalve verbindingen die op de computer zelf zijn gestart.

Nu zal ik nog een detail snel uitleggen, omdat het 2e deel van deze tutorial meer hierover zal uitleggen en behandelen hehe, ik wil niet te veel verder gaan 😀

Het komt voor dat ze bijvoorbeeld een website op hun computer hebben gepubliceerd en ze willen dat die website door iedereen wordt gezien, omdat we eerder verklaarden dat standaard alles NIET is toegestaan, tenzij anders aangegeven, zal niemand onze website kunnen zien. Nu zullen we ervoor zorgen dat iedereen de website of websites kan zien die we op onze computer hebben, hiervoor plaatsen we:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Dit is heel eenvoudig uit te leggen 😀

Met die regel verklaren we dat u accepteert of toestaat (-j ACCEPTEREN) al het verkeer naar poort 80 (–Doorvoer 80) maak het TCP (-p tcp), en dat het ook inkomend verkeer is (-EEN INGANG). Ik heb poort 80 gezet, want dat is de poort van de webhost, dat wil zeggen ... wanneer een browser een site probeert te openen op een X-computer, kijkt hij standaard altijd naar die poort.

Nu ... wat te doen als u weet welke regels u moet instellen, maar als we de computer opnieuw opstarten, zien we dat de wijzigingen niet zijn opgeslagen? ... nou, daarvoor heb ik vandaag al weer een tutorial gedaan:

Hoe iptables-regels automatisch te starten

Daar leg ik het in detail uit 😀

En hier eindigt de 1e les op iptables voor nieuwkomers, nieuwsgierig en geïnteresseerd 😉… maak je geen zorgen, het zal niet de laatste zijn, de volgende zal dezelfde, maar meer specifieke regels behandelen, alles een beetje meer gedetailleerd en de veiligheid verhogen. Ik wil dit niet veel meer uitbreiden, omdat het in werkelijkheid nodig is dat de bases (wat je hier aan het begin leest) het perfect begrijpen 🙂

Groeten en ... kom op, ik verduidelijk de twijfels, zolang je het antwoord weet LOL !! (Ik ben hier geen expert op hahaha)


De inhoud van het artikel voldoet aan onze principes van redactionele ethiek. Klik op om een ​​fout te melden hier.

40 reacties, laat de jouwe achter

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   ezitoc zei

    Zeer goed! Gewoon een vraag? Heeft u enig idee wat de standaardinstellingen zijn? De vraag is paranoïde dat ik gewoon ben: D.

    Heel hartelijk bedankt.

    1.    KZKG ^ Gaara zei

      Standaard accepteert het standaard alles. Met andere woorden, service die u op uw computer zet ... service die voor de rest openbaar zal zijn 😀
      Je begrijpt?

      Dus ... als je niet wilt dat de X-website het ziet EN je vriend, of een bepaald IP-adres, komt de firewall, htaccess of een methode om de toegang te weigeren.

  2.   faustod zei

    Met vriendelijke groet,

    Broer, uitstekend !!!! Nu ga ik de eerste lezen ...

    Bedankt voor je hulp…
    Disla

  3.   rockandroleo zei

    Bedankt voor de tutorial, het komt goed van pas.
    Het enige dat ik wil weten of zeker wil weten, is of ik met deze instructies geen problemen zal hebben om bijvoorbeeld p2p-overdrachten uit te voeren, bestanden te downloaden of videogesprekken te voeren. Van wat ik heb gelezen nee, er zouden geen problemen moeten zijn, maar ik geef er de voorkeur aan om er zeker van te zijn voordat ik de rijen betreed.
    Bedankt sinds nu.
    Groeten.

    1.    KZKG ^ Gaara zei

      U zou geen problemen moeten hebben, maar dit is een vrij eenvoudige configuratie, in de volgende tutorial zal ik uitgebreider uitleggen hoe u uw eigen regels kunt toevoegen, afhankelijk van de behoefte van elke regel, enz. 🙂

      Maar ik herhaal, je zou geen problemen moeten hebben, als je ze hebt, start je gewoon de computer opnieuw op en voila, alsof je nooit iptables had geconfigureerd 😀

      1.    Uw zei

        Herstarten ? Het klinkt erg windowsero. In het ergste geval hoef je alleen maar de iptables-regels te wissen en het standaardbeleid in te stellen op ACCEPT en de kwestie is opgelost, dus rockandroleo, je zult geen problemen hebben.

        Saludos!

  4.   rockandroleo zei

    En het spijt me nog een verzoek te doen, maar aangezien we het over firewall hebben, is het mogelijk dat u uitlegt hoe u dezelfde commando's kunt toepassen in grafische interfaces van firewalls zoals gufw of firestarter.
    Dank u bij voorbaat.
    Groeten.

    1.    KZKG ^ Gaara zei

      Ik zal Firestarter uitleggen, gufw ik heb het alleen gezien en niet als zodanig gebruikt, misschien zal ik het kort uitleggen of misschien elav doe het zelf 🙂

  5.   Asuarto zei

    Als ik me dan een hacker wil voelen, zal ik het lezen, ik heb altijd al meer willen weten over beveiliging

  6.   Daniel zei

    Uitstekende tutorial, het lijkt me goed uitgelegd en hoewel het stap voor stap is, is het, zoals ze zouden zeggen, beter voor dummies.

    Groeten.

    1.    KZKG ^ Gaara zei

      hahahaha bedankt 😀

  7.   Lithos523 zei

    Grote.
    Duidelijk uitgelegd.
    Het zal nodig zijn om het te lezen en opnieuw te lezen totdat de kennis is opgelost en dan verder te gaan met de volgende tutorials.
    Bedankt voor het artikel.

    1.    KZKG ^ Gaara zei

      Bedankt 😀
      Ik heb geprobeerd het uit te leggen zoals ik wou dat het voor de eerste keer aan mij werd uitgelegd, LOL !!

      Groeten 🙂

  8.   Oscar zei

    Zeer goed, ik ben aan het testen en het werkt correct, wat overeenkomt met het automatisch starten van de regels aan het begin.Ik zal het laten voor wanneer je het tweede deel publiceert, tot die tijd zal ik wat meer werk hebben met het typen van de opdrachten elke keer dat ik de pc opnieuw opstart, bedankt vriend voor de tuto en voor hoe snel je het hebt gepubliceerd.

  9.   Tegen Xosé M. zei

    bedankt voor de aanbeveling en de uitleg.

    U kunt zien wat van toepassing is op iptables met:

    sudo iptables -L

    1.    KZKG ^ Gaara zei

      Exact 😉
      Ik voeg de n werkelijk:
      iptables -nL

  10.   Alex zei

    Bedankt voor de tutorial, ik kijk uit naar het tweede deel, groeten.

  11.   william zei

    wanneer komt het tweede deel uit

  12.   Jonisar zei

    Ik heb een proxy met squid op Machine1, het zal internet browsen naar andere machines op dat lan 192.168.137.0/24 mogelijk maken, en het luistert op 192.168.137.22:3128 (ik open poort 3128 voor iedereen met firestarter), vanaf Machine1 als Ik heb firefox ingevoerd om de proxy 192.168.137.22:3128 te gebruiken, het werkt. Als ik vanaf een andere pc met ip 192.168.137.10 bijvoorbeeld Machine2, heb ingesteld om de proxy 192.168.137.22:3128 te gebruiken, werkt het niet, behalve als ik op Machine1 firestarter heb ingevoerd om internet te delen met het lan, daar als de proxy werkt, lopen de stroomgegevens via de proxy, maar als ze op Machine2 het gebruik van de proxy verwijderen en de gateway correct richten, kunnen ze vrij navigeren.
    Waar gaat dit over?
    Wat zouden de regels zijn met iptables?

  13.   geronimo zei

    "Ik probeer aan de donkere kant van de kracht te blijven, want dat is waar het plezier van het leven is." en met delirium van jedi hahahahaha

  14.   Carlos zei

    Zeer goed! Ik ben een beetje laat, toch? haha de post is ongeveer 2 jaar oud maar ik was meer dan nuttig .. ik dank je voor het zo eenvoudig uitleggen dat ik het kon begrijpen haha ​​ik ga verder met de andere delen ..

    1.    KZKG ^ Gaara zei

      Bedankt voor het lezen 🙂

      Ja, het bericht is niet helemaal nieuw, maar het is nog steeds erg nuttig, er is het afgelopen decennium bijna niets veranderd aan de manier waarop firewalls werken 😀

      Groeten en bedankt voor je reactie

  15.   leeuw zei

    Wat een uitleg met bloemen en zo. Ik ben een "beginnende" gebruiker, maar met veel verlangen om Linux te leren, las ik onlangs een bericht over een nmap-script om te zien wie er verbinding heeft gemaakt met mijn netwerk en niet om je lang te laten duren, in een opmerking over dat bericht zei een gebruiker dat we de beroemde eerste regel zullen toepassen die je van iptables hebt gezet en dat was genoeg, en aangezien ik een geweldige noobster ben, heb ik het toegepast, maar zoals je hier hebt geschreven, kwam het niet op internet
    Bedankt voor dit bericht waarin het gebruik van iptables wordt uitgelegd, hopelijk zul je het uitbreiden en de volledige werking ervan aan mij volledig uitleggen. Vriendelijke groeten!

    1.    KZKG ^ Gaara zei

      Bedankt voor het lezen en reageren 🙂
      iptables is fenomenaal, het sluit zijn werk af, zo goed dat ... we kunnen er zelf niet uit, dat is zeker, tenzij we weten hoe we het moeten configureren. Daarom heb ik geprobeerd iptables zo eenvoudig mogelijk uit te leggen, omdat soms niet iedereen de eerste keer iets kan begrijpen.

      Bedankt voor de reactie, groeten ^ _ ^

      PS: Over het verlengen van de post, hier is het 2e deel: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    leeuw zei

        Nou, heel erg bedankt, als ik het tweede deel las en meteen begon te spelen op de console met je geweldige gids. Heel erg bedankt, trouwens, ik hoop dat je me kunt helpen, want ik heb een beetje twijfel en zoals je weet ben ik een nieuweling die probeert te leren over deze prachtige gratis software, tot op het punt, ik heb onlangs een andere distro geïnstalleerd waarnaar ik het bestand dhcp.config een regel heb gewijzigd en het zo heb gelaten:
        #send hostnaam ""; Nou, het werkte voor mij in die distro en alles was in orde, mijn pc-naam verschijnt niet op de dhcp-server van mijn router, alleen het pictogram van de pc, maar in deze nieuwe distro heb ik dezelfde regel aangepast, maar het blijft hetzelfde maar het lukte niet. Kunt u mij een beetje begeleiden? 🙁 Alsjeblieft ...

        1.    KZKG ^ Gaara zei

          Dit kan iets complexers of uitgebreider zijn, maak een onderwerp aan op ons forum (forum.fromlinux.net) en we zullen je daar allemaal helpen 🙂

          Bedankt voor het lezen en reageren

          1.    leeuw zei

            Klaar, bedankt voor het antwoord. Morgenochtend doe ik het onderwerp en ik hoop dat je me kunt helpen, groeten en natuurlijk een knuffel.

  16.   Diego zei

    Uitstekend artikel.
    Denk je dat ik hiermee een firewall kan implementeren met iptables in mijn huis of moet ik iets anders weten? Heeft u een configuratiehandleiding of blijft deze bij deze artikelen?
    groeten

    1.    KZKG ^ Gaara zei

      Dit is eigenlijk de basis geweest en betekent dat als je iets geavanceerder wilt (zoals verbindingslimiet, enz.), Je hier alle berichten kunt bekijken die over iptables gaan - » https://blog.desdelinux.net/tag/iptables

      Hiermee heb ik echter bijna al mijn lokale firewall 🙂

  17.   Kraai zei

    Ze lijken om te beginnen helemaal niet slecht.
    Maar het zou iets veranderen.

    Ik zou een invoer laten vallen en doorsturen en een uitvoer accepteren
    -P INPUT -m toestand –staat GEVESTIGD, GERELATEERD -j AANVAARD
    Dat zou genoeg zijn voor een newbi in iptables om "redelijk veilig" te zijn
    Open vervolgens de poorten die we nodig hebben.
    Ik hou echt van de pagina, ze hebben hele goede dingen. Bedankt voor het delen!
    Groeten!

  18.   FGZ zei

    Goedenavond aan iedereen die heeft gereageerd, maar laten we eens kijken of je kunt verduidelijken waarom ik meer verdwaald ben dan een wolf in het riool, ik ben Cubaan en ik denk dat we altijd verder gaan op elk mogelijk onderwerp en wel: Excuseer me bij voorbaat als het heeft niets met het onderwerp te maken !!!

    Ik heb een UBUNTU Server 15-server en het blijkt dat ik een service heb die binnen wordt gehost en die wordt geleverd door een ander programma dat stream-tv is, maar ik probeer het te besturen via het MAC-adres, zodat de controle van de poort bijvoorbeeld 6500 die het selecteert willekeurig Niemand kan via die poort binnenkomen, tenzij het met het MAC-adres is aangegeven in de iptables. Ik heb de configuraties van dit artikel nummer één gedaan en het werkt ergyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy goed, beter dan ik wilde, maar ik heb gezocht naar informatie in todooooooooooooo en ik vond de gelukkige configuratie om een ​​mac-adres alleen een bepaalde poort te laten gebruiken en niets anders.

    alvast bedankt!

  19.   Tijdelijke afbeelding voor Nicolas Gonzalez zei

    Hallo, hoe gaat het, ik heb het artikel iptables voor nieuwkomers gelezen, het is erg goed, ik feliciteer je, ik weet niet veel van linux, daarom wil ik je een vraag stellen, ik heb een probleem, als je kunt help me ik dank je, ik heb een server met verschillende IP's en om de paar dagen, wanneer de server e-mails verstuurt via de IP's die op de server staan, stopt het met het verzenden van e-mails, dus om opnieuw e-mails te kunnen verzenden, moet ik het volgende plaatsen:

    /etc/init.d/iptables stoppen

    Als ik dat zeg, begint het weer e-mails te verzenden, maar na een paar dagen blokkeert het weer, kun je me vertellen welke commando's ik moet plaatsen zodat de server het ip niet blokkeert? Ik was aan het lezen en van wat je zegt de pagina, met Deze 2 regels zouden moeten worden opgelost:

    sudo iptables -A INPUT -i lo -j ACCEPTEREN
    sudo iptables -A INPUT -m state –state GEVESTIGD, GERELATEERD -j ACCEPT

    maar aangezien ik niet weet of dat is wat het is, wilde ik, voordat ik die commando's zette, zien of daarmee de IP-adressen van de server niet langer geblokkeerd zullen worden, ik wacht op uw snelle reactie. Groeten. Nicholas.

  20.   Tux MH zei

    Hallo goedemorgen, ik heb je kleine tutorial gelezen en het leek me erg goed en daarom zou ik je een vraag willen stellen:

    Hoe kan ik de verzoeken die via de lo-interface (localhost) komen omleiden naar een andere computer (een ander IP-adres) met dezelfde poort, ik gebruik zoiets als dit

    iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –tot 148.204.38.105:3306

    maar het leidt me niet om, ik bewaak poort 3306 met tcpdump en of het pakketten ontvangt maar ze niet naar het nieuwe IP-adres verzendt, maar als ik verzoeken doe vanaf een andere computer, worden ze wel omgeleid. In een notendop: het leidt om wat binnenkomt via -i eth0, maar niet wat binnenkomt via -i lo.

    Bij voorbaat waardeer ik de vele of kleine hulp die u mij kunt geven. salu2.

  21.   Nicolas zei

    Hallo, hoe gaat het, de pagina is erg goed, er staat veel informatie op.

    Ik heb een probleem en ik wilde zien of je me kunt helpen, ik heb PowerMta geïnstalleerd in Centos 6 met Cpanel, het probleem is dat na een paar dagen de PowerMta stopt met het verzenden van e-mails naar buiten, het is alsof de IP's zijn geblokkeerd, en elke dag moet ik het commando /etc/init.d/iptables stop plaatsen, daarmee begint de PowerMta weer e-mails naar het buitenland te sturen, daarmee is het probleem voor een paar dagen opgelost, maar dan gebeurt het weer.

    Weet je hoe ik het probleem kan oplossen? Is er iets dat ik op de server of in de firewall kan configureren zodat dat niet meer gebeurt? Omdat ik niet weet waarom dat gebeurt, als je me kunt helpen, kan ik dank u, ik hoop dat uw spoedig antwoord.

    Groeten.

    Nicolas.

  22.   Luis Delgado zei

    Uitstekende en zeer duidelijke uitleg, ik heb naar boeken gezocht maar ze zijn erg uitgebreid en mijn Engels is niet erg goed.
    Kent u boeken die u in het Spaans aanbeveelt?

  23.   fbec zei

    Hoe zit het met goedemorgen, heel goed uitgelegd, maar ik heb nog steeds geen toegang vanaf internet, ik zal het uitleggen, ik heb een server met Ubuntu, die twee netwerkkaarten heeft, een met deze configuratie Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 en de tweede met deze andere Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Masker: 255.255.255.0, waarbij de tweede degene is die mijn gateway heeft, namelijk 192.168.1.64, maar de eerste kaart is degene die mijn camera's bestuurt en ik wil ze zien vanaf het internet vanaf mijn vaste ip ,,, ik kan ze zien vanaf het lan maar niet vanaf internet, kun je me daarmee helpen? , of als mijn router de verkeerde is geconfigureerd, is het een tp-link archer c2``, bedankt

  24.   Luis Castro zei

    Hallo, ik heb dit net op mijn server gedaan en weet je, hoe kan ik het herstellen?
    iptables -P INPUT DROP
    Ik laat mijn e-mail achter ing.lcr.21@gmail.com

  25.   elektrische installaties zei

    Ik heb nogal wat gezocht naar posts van hoge kwaliteit of blogposts over deze inhoud. Googelen vond ik eindelijk deze website. Door dit artikel te lezen ben ik ervan overtuigd dat ik heb gevonden wat ik zocht of heb in ieder geval dat vreemde gevoel, ik heb precies ontdekt wat ik nodig had. Natuurlijk zal ik ervoor zorgen dat u deze website niet vergeet en aanbevelen, ik ben van plan u regelmatig te bezoeken.

    groeten

  26.   na zei

    Ik feliciteer je echt! Ik heb veel pagina's met iptables gelezen, maar geen enkele zo eenvoudig uitgelegd als de jouwe; uitstekende uitleg !!
    Bedankt dat je mijn leven gemakkelijker hebt gemaakt met deze uitleg!

  27.   Anonimous zei

    Ik voel me even Arabisch xD