Jeg har alltid trodd at sikkerhet aldri gjør vondt, og det er aldri nok (derfor livlig Han merker meg som en obsessiv og psykotisk sikkerhetsmaniak ...), så selv om jeg bruker GNU / Linux, forsømmer jeg ikke sikkerheten til systemet mitt, passordene mine (tilfeldig generert med pwgen), etc..
Videre, selv når systemet skriver Unix er utvilsomt veldig trygge, anbefales det uten tvil å bruke en brannmur, konfigurer den riktig, for å være så godt beskyttet som mulig 🙂
Her vil jeg forklare deg uten mye rot, floker eller komplekse detaljer hvordan du kjenner til det grunnleggende iptables.
Men … Hva pokker er iptables?
iptables Det er den delen av Linux-kjernen (en modul) som omhandler pakkefiltrering. Dette sa på en annen måte, det betyr at iptables Det er den delen av kjernen som har som jobb å vite hvilken informasjon / data / pakke du vil angi datamaskinen din, og hva ikke (og gjør flere ting, men la oss fokusere på dette foreløpig hehe).
Jeg vil forklare dette på en annen måte 🙂
Mange på distroene deres bruker brannmurer, Brannstarter o firehol, men disse brannmurene faktisk 'bakfra' (i bakgrunnen) bruk iptables, så ... hvorfor ikke bruke direkte iptables?
Og det vil jeg kort forklare her 🙂
Så langt er det noen tvil? 😀
Å jobbe med iptables det er nødvendig å ha administrative tillatelser, så her skal jeg bruke sudo (men hvis du går inn som root, det trengs ikke).
For at datamaskinen vår skal være virkelig sikker, trenger vi bare å tillate det vi ønsker. Se datamaskinen din som om det var ditt eget hjem. Som standard slipper du noen inn, bare bestemte personer som du har godkjent før, kan komme inn, ikke sant? Det samme skjer med brannmurer, som standard kan ingen komme inn på datamaskinen vår, bare de av oss kan gå inn 🙂
For å oppnå dette forklarer jeg, her er trinnene:
1. Åpne en terminal, i den setter du følgende og trykker på [Tast inn]:
sudo iptables -P INPUT DROP
Dette vil være nok til at ingen, absolutt ingen kan komme inn i datamaskinen din ... og denne "ingen" inkluderer dere selv 😀
Forklaring på forrige linje: Med den indikerer vi til iptables at standardpolicyen (-P) for alt som vil komme inn på datamaskinen vår (INPUT) er å ignorere den, ignorere den (DROP)Ingen er ganske generelle, absolutt, verken du selv vil være i stand til å surfe på internett eller noe, det er derfor vi må i den terminalen sette følgende og trykke [Tast inn]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... jeg forstår ikke dritt, Hva gjør de to rare linjene nå? ...
Enkelt 🙂
Første linje hva det står er at selve datamaskinen (-jeg ... forresten, lo = localhost) kan gjøre hva det vil. Noe åpenbart, som kan virke til og med absurd ... men tro meg, det er like viktig som luften haha.
Den andre linjen vil jeg forklare ved hjelp av eksemplet / sammenligningen / metaforen som jeg brukte før, jeg mener å sammenligne datamaskinen med huset 🙂 Anta for eksempel at vi bor med flere mennesker i huset vårt (mor, far, brødre, kjæreste osv. ). Hvis noen av disse menneskene forlater huset, er det åpenbart / logisk at vi slipper dem inn når de kommer tilbake, nei?
Det er nettopp det den andre linjen gjør. Alle tilkoblingene som vi initierer (som kommer fra datamaskinen vår), når du gjennom den forbindelsen vil legge inn data, iptables vil slippe dataene inn. Legger et eksempel til for å forklare det. Hvis vi bruker nettleseren vår, prøver vi å surfe på internett, uten disse to reglene vil vi ikke være i stand til, vel ja ... nettleseren vil koble seg til internett, men når den prøver å laste ned data ( .html, .gif osv.) til datamaskinen vår for å vise oss, vil du ikke kunne iptables Det vil nekte oppføring av pakker (data), mens vi med disse reglene, når vi starter tilkoblingen innenfra (fra datamaskinen vår), og at den samme tilkoblingen er den som prøver å legge inn data, vil den gi tilgang.
Med dette klart har vi allerede erklært at ingen kan få tilgang til noen tjenester på datamaskinen vår, ingen bortsett fra selve datamaskinen (127.0.0.1) og også, bortsett fra tilkoblinger som startes på selve datamaskinen.
Nå vil jeg raskt forklare en detalj, fordi den andre delen av denne opplæringen vil forklare og dekke mer om dette hehe, jeg vil ikke gå videre for mye 😀
Det hender at de for eksempel har et nettsted publisert på datamaskinen sin, og de vil at nettstedet skal bli sett av alle, da vi tidligere erklærte at alt som standard IKKE er tillatt, med mindre annet er angitt, vil ingen kunne se våre nettsted. Nå vil vi få alle til å se nettstedet eller nettstedene vi har på datamaskinen vår, for dette legger vi:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dette er veldig enkelt å forklare 😀
Med den linjen erklærer vi at du godtar eller tillater (-j AKSepterer) all trafikk til havn 80 (–Deport 80) gjør det til TCP (-p tcp), og at det også er innkommende trafikk (-EN INNGANG). Jeg satte port 80, for det er porten til webhotellet, det vil si ... når en nettleser prøver å åpne et nettsted på X-datamaskin, ser det alltid ut som standard på den porten.
Nå ... hva skal jeg gjøre når du vet hvilke regler du skal sette, men når vi starter datamaskinen på nytt, ser vi at endringene ikke ble lagret? ... vel, for det gjorde jeg allerede en annen opplæring i dag:
Hvordan starte iptables-regler automatisk
Der forklarer jeg det i detalj 😀
Og her slutter 1. veiledning på iptables for nybegynnere, nysgjerrige og interesserte ... ikke bekymre deg, det vil ikke være den siste hehe, den neste vil håndtere det samme, men mer spesifikke regler, som detaljerer alt litt mer og øker sikkerheten. Jeg vil ikke utvide dette mye mer, for i virkeligheten er det nødvendig at basene (det du leser her i begynnelsen) forstår det perfekt 🙂
Hilsen og ... kom igjen, jeg avklarer tvilen, så lenge du vet svaret LOL !! (Jeg er ikke langt en ekspert på dette hahaha)
Veldig bra! Bare et spørsmål? Har du noen ide om hva standardinnstillingene er? Spørsmålet er av paranoid at jeg bare er: D.
Tusen takk.
Som standard godtar den som standard alt. Med andre ord, tjeneste du legger på datamaskinen din ... tjeneste som vil være offentlig for resten 😀
Du forstår?
Så ... når du ikke vil at X-nettstedet skal se det OG vennen din, eller en bestemt IP, kommer brannmuren, htaccess eller en eller annen metode for å nekte tilgang.
hilsen,
Bror, utmerket !!!! Nå skal jeg lese den første ...
Takk for hjelpen…
disla
Takk for veiledningen, den kommer godt med for meg.
Det eneste jeg vil vite eller være sikker på er at hvis jeg ikke har noen problemer med disse instruksjonene, for eksempel å overføre p2p, laste ned filer eller foreta videosamtaler. Fra det jeg leste nei, burde det ikke være noen problemer, men jeg foretrekker å være sikker før jeg går inn på linjene.
Takk siden nå.
Hilsener.
Du burde ikke ha problemer, men dette er en ganske grunnleggende konfigurasjon. I neste opplæring vil jeg forklare nærmere hvordan du legger til dine egne regler, avhengig av behovet til hver enkelt osv. Etc
Men jeg gjentar at du ikke burde ha problemer, hvis du har dem, må du bare starte datamaskinen på nytt og voila, som om du aldri hadde konfigurert iptables 😀
Omstart ? Det høres veldig windowserous ut. I verste fall må du bare skylle iptables-reglene og sette standardretningslinjene til å godta, og saken er løst, så rockandroleo, du vil ikke ha problemer.
Saludos!
Beklager å komme med en ny forespørsel, men siden vi er om brannmuren, er det mulig at du forklarer hvordan du bruker de samme kommandoene i grafiske grensesnitt for brannmurer som gufw eller firestarter.
Først av alt, takk.
Hilsener.
Jeg vil forklare Firestarter, gufw Jeg har bare sett det og ikke brukt det som sådan, kanskje jeg vil forklare det kort eller kanskje livlig gjør det selv 🙂
Så når jeg vil føle meg som en hacker, vil jeg lese den, jeg har alltid ønsket å lære om sikkerhet
Utmerket opplæring, det virker for meg godt forklart, og selv om det er trinnvis, jo bedre, som de vil si, for dummies.
Hilsener.
hahahaha takk 😀
Flott.
Tydelig forklart.
Vi blir nødt til å lese den og lese den til kunnskapen er avgjort, og deretter fortsette med følgende veiledninger.
Takk for artikkelen.
Takk 😀
Jeg har prøvd å forklare det slik jeg skulle ønske det ble forklart for første gang, LOL !!
Hilsen 🙂
Veldig bra, jeg tester og det fungerer riktig, noe som tilsvarer å starte reglene automatisk i begynnelsen. Jeg vil la det være når du publiserer den andre delen, inntil da vil jeg ha litt mer arbeid med å skrive inn kommandoene hver gang jeg starter PC, takk venn for tuto og for hvor raskt du publiserte den.
takk for anbefalingen og forklaringene.
Du kan se hva som gjelder med iptables med:
sudo iptables -L
Nøyaktig 😉
Jeg legger til n faktisk:
iptables -nLTakk for veiledningen, jeg ser frem til andre del, hilsener.
når kommer andre del ut
Jeg har en proxy med blekksprut på Machine1, den vil surfe på Internett til andre maskiner på den lan 192.168.137.0/24, og den lytter på 192.168.137.22:3128 (jeg åpner port 3128 for alle med firestarter), fra Machine1 hvis Jeg satte Firefox til å bruke proxy 192.168.137.22:3128 det fungerer. Hvis jeg fra en annen pc med ip 192.168.137.10, for eksempel Machine2, satte den til å bruke proxyen 192.168.137.22:3128, fungerer den ikke, bortsett fra om jeg på Machine1 satte inn firestarter for å dele internett med lan, der hvis proxyen fungerer, flyte dataene er gjennom proxyen, men hvis de fjerner bruken av proxy på Machine2 og peker gatewayen riktig, vil de kunne navigere fritt.
Hva handler dette om?
Hva ville reglene være med iptables?
"Jeg prøver å holde meg på den mørke siden av styrken, for det er her moroa i livet er." og med delirium av jedi hahahahaha
Veldig bra! Jeg er litt sen, ikke sant? haha innlegget er ca 2 år gammelt men jeg var mer enn nyttig .. Jeg takker for at du forklarte det så enkelt at jeg kunne forstå det haha jeg fortsetter med de andre delene ..
Takk for at du leser 🙂
Ja, innlegget er ikke helt nytt, men det er fortsatt veldig nyttig, nesten ingenting har endret seg i måten brannmurer fungerer det siste tiåret tror jeg 😀
Hilsen og takk til deg for kommentaren
For en forklaring med blomster og alt. Jeg er en "nybegynner" -bruker, men med mye ønske om å lære Linux, nylig leste jeg et innlegg om et nmap-skript for å se hvem som koblet til nettverket mitt og ikke for å gjøre deg lang, i en kommentar til det innlegget sa en bruker at vi vil bruke den berømte første linjen som du la fra iptables, og det var nok, og siden jeg er en enorm noobster, brukte jeg den, men som du har skrevet her, kom den ikke inn på Internett 🙁
Takk for dette innlegget som forklarer bruken av iptables. Jeg håper du utvider den og forklarer den totale driften for meg. Jubel!
Takk til deg for at du har lest og kommentert 🙂
iptables er fenomenalt, det gjør jobben sin med å slå av det, så godt at ... vi ikke engang kommer oss ut selv, det er sikkert, med mindre vi vet hvordan vi skal konfigurere det. Det er derfor jeg har prøvd å forklare iptables så enkelt som mulig, for noen ganger er ikke alle i stand til å forstå noe første gang.
Takk for kommentaren, hilsen ^ _ ^
PS: Om å utvide innlegget, her er 2. del: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Vel, tusen takk, hvis jeg leste den andre delen og umiddelbart begynte å spille på konsollen med den enorme guiden din. Tusen takk, hei forresten, jeg håper du kan hjelpe meg siden jeg er litt i tvil, og som du vet, er jeg en nybegynner som prøver å lære om denne fantastiske gratis programvaren, til det punktet, jeg hadde nylig en annen distro installert som jeg modifiserte filen dhcp.config en linje og la den være slik:
#send vertsnavn ""; Vel, det fungerte for meg i den distroen og alt var bra, pc-navnet mitt vises ikke på dhcp-serveren på ruteren min, bare ikonet til pc-en, men i denne nye distroen modifiserte jeg den samme linjen slik at den var den samme men det gikk ikke. Kan du veilede meg litt? 🙁 Vennligst ...
Siden dette kan være noe mer komplekst eller omfattende, lag et emne i forumet vårt (forum.desdelinux.net) og der sammen skal vi hjelpe deg 🙂
Takk for at du leser og kommenterer
Klar, takk for svaret. I morgen morgen gjør jeg emnet, og jeg håper du kan hjelpe meg, hilsener og selvfølgelig en klem.
Utmerket artikkel.
Tror du at med dette kan jeg implementere en brannmur ved hjelp av iptables i huset mitt, eller trenger jeg å vite noe annet? Har du noen konfigurasjonsveiledning eller med disse artiklene forblir den?
hilsen
Egentlig har dette vært det grunnleggende og middels. Hvis du vil ha noe mer avansert (som tilkoblingsgrenser osv.), Kan du sjekke alle innleggene som snakker om iptables her - » https://blog.desdelinux.net/tag/iptables
Imidlertid har jeg nesten hele min lokale brannmur this
De virker ikke dårlige i det hele tatt til å begynne med.
Men det ville endre noe.
Jeg ville slippe en inngang og videresende og godta en utdata
-P INNGANG -m tilstand –stat ESTABLISERT, RELATERT -j ACCEPT
Det ville være nok til at en newbi i iptables er "ganske trygg"
Åpne deretter portene vi trenger.
Jeg liker siden, de har veldig gode ting. Takk for at du delte!
Greetings!
God kveld til alle de som har kommentert, men la oss se om du kan avklare hvorfor jeg er mer tapt enn en ulv i kloakken, jeg er kubansk og jeg tror vi alltid går lenger på alle mulige emner og vel: Unnskyld meg på forhånd hvis det har ingenting med temaet å gjøre !!!
Jeg har en UBUNTU Server 15-server, og det viser seg at jeg har en tjeneste vert inne som er levert av et annet program som er stream TV, men jeg prøver å kontrollere den via MAC-adresse slik at kontrollen av porten for eksempel 6500 som velger den tilfeldig Ingen kan gå inn gjennom den porten med mindre den er med MAC-adressen angitt i iptables. Jeg gjorde konfigurasjonene til denne artikkelen nummer én, og den fungerer veldigyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy, bedre enn jeg ønsket, men jeg har sett etter info i todooooooooooooo, og jeg fant ikke den lykkelige konfigurasjonen for å la en mac-adresse bare bruke en bestemt port og ingenting annet.
takk på forhånd!
Hei, hvordan har du det, jeg leste artikkelen iptables for newbies, det er veldig bra, jeg gratulerer deg, jeg vet ikke mye om linux, derfor vil jeg stille deg et spørsmål, jeg har et problem, hvis du kan hjelp meg jeg takker deg, jeg har en server med flere IP-er og med noen få dager, når serveren sender e-post via IP-ene som er på serveren, slutter den å sende e-post, så for at den skal sende e-post igjen, må jeg sette:
/etc/init.d/iptables stopper
Når jeg setter det, begynner det å sende e-post igjen, men etter noen dager blir det blokkert igjen, kan du fortelle meg hvilke kommandoer jeg må sette, slik at serveren ikke blokkerer IP-ene? Jeg leste og fra det du sier på siden, med Disse to linjene må løses:
sudo iptables -A INNGANG -i lo -j ACCEPT
sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
men siden jeg ikke vet om det er det, før jeg satte disse kommandoene, ønsket jeg å sjekke om serverens IP-er ikke lenger vil bli blokkert, og jeg venter på ditt svar. Hilsen. Nicholas.
Hei god morgen, jeg leste den lille opplæringen din, og den virket veldig bra, og av denne grunn vil jeg stille deg et spørsmål:
Hvordan kan jeg omdirigere forespørslene som kommer inn gjennom lo-grensesnittet (localhost) til en annen datamaskin (en annen IP) med samme port, jeg bruker noe som dette
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –til 148.204.38.105:3306
men det omdirigerer meg ikke, jeg overvåker port 3306 med tcpdump, og hvis den mottar pakker, men ikke sender dem til den nye IP-en, men hvis jeg kommer med forespørsler fra en annen datamaskin, omdirigerer den dem. Kort sagt omdirigerer det hva som kommer inn gjennom -i eth0, men ikke hva som kommer inn gjennom -i lo.
På forhånd setter jeg pris på mye eller liten hjelp du kan gi meg. salu2.
Hei, hvordan har du det, siden er veldig bra, den har mye informasjon.
Jeg har et problem, og jeg ønsket å se om du kan hjelpe meg, jeg har PowerMta installert i Centos 6 med Cpanel, problemet er at PowerMta etter noen dager slutter å sende e-post til utsiden, det er som IP-ene er blokkert, og hver eneste dag må jeg plassere kommandoen /etc/init.d/iptables stopp, med at PowerMta begynner å sende e-post igjen til utlandet, med det er problemet løst i noen dager, men så skjer det igjen.
Vet du hvordan jeg kan gjøre for å løse problemet? Er det noe jeg kan konfigurere på serveren eller i brannmuren slik at det ikke skjer igjen? Siden jeg ikke vet hvorfor det skjer, hvis du kan hjelpe meg takk, jeg håper du snart svarer.
Hilsener.
Nicolas.
Utmerket og veldig tydelig forklaring, jeg har sett etter bøker, men de er veldig omfattende og engelsk er ikke veldig bra.
Kjenner du noen bøker du anbefaler på spansk?
Hva med god morgen, veldig godt forklart, men jeg har fortsatt ikke inngang fra internett, jeg skal forklare, jeg har en server med Ubuntu, som har to nettverkskort, ett med denne konfigurasjonen Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 og den andre med dette andre Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maske: 255.255.255.0, hvor den andre er den gatewayen min har, som er 192.168.1.64, men det første kortet er det som styrer kameraene mine, og jeg vil se dem fra Internett fra min faste ip ,,, jeg kan se dem fra lan, men ikke fra internett, kan du hjelpe meg med det? , eller hvis ruteren min er den som er feil konfigurert, er det en tp-link bueskytter c2 ,,, takk
Hei, jeg gjorde nettopp dette på serveren min, og du vet, hvordan kunne jeg gjenopprette det?
iptables -P INNGANG DROP
Jeg lar deg e-posten min ing.lcr.21@gmail.com
Jeg har lett litt etter innlegg av høy kvalitet eller blogginnlegg på dette innholdet. Googling Jeg fant endelig dette nettstedet. Med å lese denne artikkelen er jeg overbevist om at jeg har funnet det jeg lette etter eller i det minste har jeg den rare følelsen, jeg har oppdaget nøyaktig hva jeg trengte. Selvfølgelig vil jeg få deg til ikke å glemme dette nettstedet og anbefale det, jeg planlegger å besøke deg regelmessig.
Hilsen
Jeg gratulerer virkelig! Jeg har lest mange sider med iptables, men ingen så enkelt forklart som din; utmerket forklaring !!
Takk for at du gjorde livet mitt lettere med disse forklaringene!
Et øyeblikk føler jeg meg arabisk xD
Læreren min bruker dette til å undervise, takk og hilsen. gjeng