Zawsze myślałem, że bezpieczeństwo nigdy nie boli i nigdy nie wystarczy (dlatego pełen życia Nazywa mnie obsesyjnym i psychotycznym maniakiem bezpieczeństwa ...), więc nawet kiedy używam systemu GNU / Linux, nie zaniedbuję bezpieczeństwa mojego systemu, moich haseł (generowane losowo z pwgen) itp.
Co więcej, nawet jeśli typ systemu Unix są niewątpliwie bardzo bezpieczne, niewątpliwie zaleca się korzystanie z zapora, skonfiguruj go poprawnie, aby był jak najlepiej chroniony 🙂
Tutaj wyjaśnię ci bez większego kłopotu, zagmatwania i skomplikowanych szczegółów, jak poznać podstawy iptables.
Ale … Co to do cholery jest iptables?
iptables Jest to część jądra Linuksa (moduł) zajmująca się filtrowaniem pakietów. To powiedziawszy w inny sposób, to znaczy, że iptables jest częścią jądra, której zadaniem jest wiedzieć, jakie informacje / dane / pakiet chcesz wprowadzić do swojego komputera, a jakie nie (i robi więcej rzeczy, ale na razie skupmy się na tym hehe).
Wyjaśnię to w inny sposób 🙂
Wiele z ich dystrybucji używa zapór ogniowych, Firestarter o Ognisko, ale te zapory ogniowe faktycznie są „od tyłu” (w tle) posługiwać się iptables, więc ... dlaczego nie użyć bezpośrednio iptables?
I to właśnie tutaj pokrótce wyjaśnię 🙂
Jak dotąd czy są jakieś wątpliwości? 😀
Do pracy iptables konieczne jest posiadanie uprawnień administracyjnych, więc tutaj użyję sudo (ale jeśli wpiszesz jak korzeń, nie ma potrzeby).
Aby nasz komputer był naprawdę bezpieczny, musimy pozwalać tylko na to, co chcemy. Zobacz swój komputer tak, jakby był własnym domem, w domu domyślnie NIE pozwalasz nikomu wchodzić, tylko określone osoby, które wcześniej zatwierdziłeś, mogą wejść, prawda? Z zaporami ogniowymi dzieje się to samo, domyślnie nikt nie może wejść do naszego komputera, tylko ci, którzy chcą wejść na wejście
Aby to osiągnąć, wyjaśniam, oto kroki:
1. Otwórz terminal, umieść w nim następujące elementy i naciśnij [Wchodzić]:
sudo iptables -P INPUT DROP
To wystarczy, aby nikt, absolutnie nikt nie mógł wejść do twojego komputera ... a ten „nikt” nie obejmuje ciebie
Wyjaśnienie poprzedniego wiersza: nim wskazujemy iptables, że domyślną polityką (-P) dla wszystkiego, co chce wejść do naszego komputera (INPUT) jest ignorowanie, ignorowanie (DROP)Nikt nie jest całkiem ogólny, w rzeczywistości absolutny, ani ty sam nie będziesz w stanie surfować po Internecie ani cokolwiek innego, dlatego musimy w tym terminalu umieścić następujące polecenie i nacisnąć [Wchodzić]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... gówno rozumiem, Co teraz robią te dwie dziwne linie? ...
Proste 🙂
Pierwsza linia mówi, że sam komputer (-i lo ... przy okazji, lo = localhost) może robić, co mu się podoba. Coś oczywistego, co może wydawać się absurdalne… ale uwierz mi, to jest tak samo ważne jak powietrze haha.
Druga linia, którą wyjaśnię, używając przykładu / porównania / metafory, której użyłem wcześniej, mam na myśli porównanie komputera z domem 🙂 Załóżmy na przykład, że mieszkamy z większą liczbą osób w naszym domu (matka, ojciec, bracia, dziewczyna itp.). Jeśli któraś z tych osób wyjdzie z domu, czy jest oczywiste / logiczne, że wpuścimy ją po powrocie, nie?
Dokładnie to robi ta druga linia. Wszystkie połączenia, które inicjujemy (pochodzą z naszego komputera), gdy przez to połączenie chcesz wprowadzić jakieś dane, iptables wpuści te dane. Podając jeszcze jeden przykład, aby to wyjaśnić, jeśli za pomocą naszej przeglądarki spróbujemy surfować po Internecie, bez tych 2 zasad nie będziemy mogli, no tak ... przeglądarka połączy się z Internetem, ale gdy spróbuje pobrać dane (.html, .gif, itp.) Na nasz komputer aby nam pokazać, nie będziesz w stanie iptables Odmówi wprowadzania pakietów (danych), podczas gdy przy tych regułach, ponieważ inicjujemy połączenie z wewnątrz (z naszego komputera) i to samo połączenie jest tym, które próbuje wprowadzić dane, pozwoli na dostęp.
Mając to gotowe, już zadeklarowaliśmy, że nikt nie może uzyskać dostępu do żadnej usługi na naszym komputerze, nikt oprócz samego komputera (127.0.0.1), a także, z wyjątkiem połączeń, które są uruchamiane na samym komputerze.
Teraz szybko wyjaśnię jeszcze jeden szczegół, ponieważ druga część tego samouczka wyjaśni więcej na ten temat hehe, nie chcę zbytnio się rozwijać advance
Zdarza się, że na przykład mają stronę internetową opublikowaną na swoim komputerze i chcą, aby ta strona była widoczna dla wszystkich, ponieważ wcześniej zadeklarowaliśmy, że wszystko domyślnie NIE jest dozwolone, chyba że zaznaczono inaczej, nikt nie będzie mógł przeglądać naszej witryny. Teraz sprawimy, że każdy będzie mógł zobaczyć witrynę lub strony internetowe, które mamy na naszym komputerze, w tym celu umieściliśmy:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Bardzo łatwo to wyjaśnić 😀
Za pomocą tej linii oświadczamy, że akceptujesz lub zezwalasz (-j AKCEPTUJ) cały ruch do portu 80 (- Port 80) uczyń to TCP (-p TCP), czyli ruch przychodzący (-A WEJŚCIE). Umieściłem port 80, ponieważ jest to port hosta internetowego, to znaczy ... kiedy przeglądarka próbuje otworzyć witrynę na komputerze X, zawsze wygląda domyślnie na tym porcie.
Teraz ... co zrobić, gdy wiesz, jakie reguły ustawić, ale po ponownym uruchomieniu komputera widzimy, że zmiany nie zostały zapisane? ... cóż, do tego zrobiłem już dzisiaj kolejny tutorial:
Jak automatycznie uruchamiać reguły iptables
Tam szczegółowo to wyjaśniam 😀
I tutaj kończy się 1 samouczek na iptables dla początkujących, ciekawskich i zainteresowanych 😉 ... nie martw się, to nie będzie ostatnie hehe, następny będzie dotyczył tych samych, ale bardziej szczegółowych zasad, szczegółowo opisujących wszystko i zwiększających bezpieczeństwo. Nie chcę tego znacznie bardziej rozciągać, bo tak naprawdę konieczne jest, aby podstawy (o czym czytasz tutaj na początku) doskonale to rozumiały 🙂
Pozdrowienia i… daj spokój, wyjaśniam wątpliwości, o ile znasz odpowiedź LOL !! (Nie jestem ekspertem w tej dziedzinie hahaha)
Bardzo dobre! Tylko pytanie? Czy masz pojęcie, jakie są domyślne ustawienia? Pytanie jest paranoiczne, że jestem po prostu: D.
Dziękuję bardzo.
Domyślnie, cóż, domyślnie akceptuje wszystko. Innymi słowy, usługa, którą umieścisz na swoim komputerze ... usługa, która będzie publiczna dla reszty 😀
Rozumiesz?
Więc… kiedy nie chcesz, aby witryna X ją widziała ORAZ znajomy lub określony adres IP, pojawia się zapora ogniowa, htaccess lub metoda odmowy dostępu.
Pozdrawiam,
Bracie, wspaniale !!!! Teraz przeczytam pierwszy ...
Dzięki za pomoc…
Disłań
Dzięki za tutorial, przydaje mi się.
Jedyne, co chciałbym wiedzieć lub upewnić się, czy dzięki tym instrukcjom nie będę miał problemów na przykład z wykonywaniem transferów p2p, pobieraniem plików lub wykonywaniem połączeń wideo. Z tego co wyczytałem nie powinno być żadnych problemów, ale wolę się upewnić przed wejściem do linii.
Z góry dziękuję.
Pozdrowienia.
Nie powinieneś mieć problemów, jednak jest to dość podstawowa konfiguracja, w następnym samouczku wyjaśnię dokładniej, jak dodać własne reguły, w zależności od potrzeb każdego z nich itp. 🙂
Ale powtarzam, nie powinieneś mieć problemów, jeśli masz je po prostu zrestartuj komputer i tyle, jakbyś nigdy nie konfigurował iptables 😀
Uruchom ponownie? Brzmi bardzo dziwnie. W najgorszym przypadku wystarczy opróżnić reguły iptables i ustawić domyślne zasady na AKCEPTUJ, a sprawa jest naprawiona, więc rockandroleo, nie będziesz mieć problemów.
Saludos!
Przepraszam, że żądam kolejnego żądania, ale skoro jesteśmy przy temacie firewalla, możliwe, że wyjaśnisz, jak zastosować te same polecenia w graficznych interfejsach firewalla, takich jak gufw lub firestarter.
Z góry dziękuję.
Pozdrowienia.
Wyjaśnię Firestarter, gufw tylko go widziałem i nie używałem go jako takiego, może wyjaśnię to krótko, a może pełen życia zrób to sam 🙂
Potem, kiedy poczuję się jak haker, przeczytam to, zawsze chciałem się dowiedzieć o bezpieczeństwie
Świetny tutorial, myślę, że jest dobrze wyjaśniony i chociaż jest krok po kroku, to lepiej, jak powiedzieliby, dla manekinów.
Pozdrowienia.
hahahaha dzięki 😀
Świetny.
Bardzo jasno wyjaśnione.
Będziemy musieli go przeczytać i ponownie przeczytać, dopóki wiedza nie zostanie ustalona, a następnie będziemy kontynuować poniższe samouczki.
Dzięki za artykuł.
Dzięki 😀
Próbowałem to wyjaśnić tak, jak chciałbym, aby zostało mi to wyjaśnione po raz pierwszy, LOL !!
Pozdrowienia 🙂
Bardzo dobrze, testuję i działa poprawnie, co odpowiada automatycznemu uruchomieniu reguł na początku Zostawię to do opublikowania drugiej części, do tego czasu będę miał trochę więcej pracy wpisując komendy przy każdym restarcie PC, dzięki przyjaciel dla tuto i jak szybko je opublikowałeś.
dzięki za polecenie i wyjaśnienia.
Możesz zobaczyć, co dotyczy iptables z:
sudo iptables -L
Dokładne 😉
Dodaję n tak właściwie:
iptables -nLDzięki za tutorial, nie mogę się doczekać drugiej części, pozdrawiam.
kiedy wyjdzie druga część
Mam proxy z squidem na Machine1, daje on przeglądanie internetu innym maszynom w tej sieci 192.168.137.0/24 i nasłuchuje na 192.168.137.22:3128 (otwieram port 3128 dla każdego z firestarterem), z Maszyny1, jeśli Ustawiłem firefoxa na używanie proxy 192.168.137.22:3128 to działa. Jeśli z innego komputera z ip 192.168.137.10 na przykład Machine2, ustawiłem go na korzystanie z proxy 192.168.137.22:3128 to nie działa, chyba że na Machine1 włączyłem firestartera, aby udostępnić internet z siecią LAN, tam jeśli proxy działa, dane przepływu przechodzą przez proxy, ale jeśli na Machine2 usuwają użycie proxy i poprawnie skierują bramę, będą mogli swobodnie nawigować.
O czym to jest?
Jakie byłyby zasady w przypadku iptables?
„Staram się pozostać po ciemnej stronie mocy, bo to jest zabawa w życiu”. i z delirium Jedi hahahahaha
Bardzo dobre! Jestem trochę spóźniony, prawda? haha post ma jak 2 lata, ale byłem więcej niż przydatny .. Dziękuję za wyjaśnienie go tak prosto, że mogłem go zrozumieć haha kontynuuję z pozostałymi częściami ..
Dzięki za przeczytanie 🙂
Tak, post nie jest całkiem nowy, ale nadal jest bardzo przydatny, nie zmienił prawie nic w działaniu zapór ogniowych w ciągu ostatniej dekady myślę
Pozdrawiam i dziękuję za komentarz
Co za wyjaśnienie z kwiatami i wszystkim. Jestem "początkującym" użytkownikiem, ale z dużą chęcią poznania Linuksa ostatnio czytałem post o skrypcie nmap, aby zobaczyć, kto połączył się z moją siecią i nie sprawiać, że będziesz długo. że zastosujemy słynną pierwszą linię, którą umieściłeś z iptables i to wystarczyło, a ponieważ jestem niesamowitym noobsterem, zastosowałem to, ale jak napisałeś tutaj, nie wszedł do Internetu 🙁
Dziękuję za ten post wyjaśniający użycie iptables, mam nadzieję, że rozszerzysz go iw pełni wyjaśnisz jego pełne działanie. Twoje zdrowie!
Dziękuję za czytanie i komentowanie 🙂
iptables jest świetny, wykonuje swoją pracę zamykania, więc tak dobrze, że ... nie możemy nawet sami się wydostać, to na pewno, chyba że wiemy, jak go skonfigurować. Dlatego starałem się wyjaśnić iptables tak prosto, jak to tylko możliwe, ponieważ czasami nie każdy jest w stanie coś zrozumieć za pierwszym razem.
Dzięki za komentarz, pozdrawiam ^ _ ^
PS: O przedłużeniu wpisu, oto druga część: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Cóż, bardzo dziękuję, jeśli przeczytałem drugą część i od razu zacząłem grać na konsoli z twoim wspaniałym przewodnikiem. Dziękuję bardzo, przy okazji, mam nadzieję, że możesz mi pomóc, ponieważ mam małe wątpliwości i jak dobrze wiesz, jestem nowicjuszem próbującym dowiedzieć się o tym wspaniałym wolnym oprogramowaniu, do tego stopnia, że ostatnio zainstalowałem inną dystrybucję do którego zmodyfikowałem plik dhcp.config linię i pozostawiając ją tak:
#send nazwa-hosta ""; Cóż, zadziałało dla mnie w tej dystrybucji i wszystko było w porządku, nazwa mojego komputera nie pojawia się na serwerze dhcp mojego routera, tylko ikona komputera, ale w tej nowej dystrybucji zmodyfikowałem tę samą linię, pozostawiając tę samą, ale to nie działało. Czy możesz mnie trochę poprowadzić? 🙁 Proszę ...
Ponieważ może to być coś bardziej złożonego lub obszernego, utwórz temat na naszym forum (forum.desdelinux.net) i tam wspólnie Ci pomożemy 🙂
Dziękuję za przeczytanie i komentarze
Gotowe, dzięki za odpowiedź. Jutro rano zajmuję się tematem i mam nadzieję, że możecie mi pomóc, pozdrawiam i oczywiście przytulę.
Świetny artykuł.
Myślisz, że dzięki temu mogę wdrożyć zaporę ogniową używając iptables w moim domu, czy też muszę wiedzieć coś innego? Czy masz jakiś samouczek konfiguracji lub z tymi artykułami pozostaje?
pozdrowienia
Właściwie to były podstawy i środki, jeśli chcesz czegoś bardziej zaawansowanego (jak limit połączeń itp.), Możesz sprawdzić wszystkie posty, które mówią o iptables tutaj - » https://blog.desdelinux.net/tag/iptables
Jednak dzięki temu mam prawie całą moją lokalną zaporę ogniową 🙂
Na początku wcale nie wydają się złe.
Ale to by coś zmodyfikowało.
Porzuciłbym dane wejściowe, przekazałbym dalej i zaakceptowałbym wyjście
-P WEJŚCIE -m stan -stan USTANOWIONY, ZWIĄZANY -j AKCEPTUJ
To wystarczy, aby newbi w iptables był „dość bezpieczny”
Następnie otwórz porty, których potrzebujemy.
Bardzo podoba mi się ta strona, mają bardzo dobre rzeczy. Dzięki za udostępnienie!
Pozdrowienia!
Dobry wieczór wszystkim, którzy komentowali, ale zobaczmy, czy potraficie wyjaśnić, dlaczego jestem bardziej zagubiony niż wilk w kanalizacji, jestem Kubańczykiem i myślę, że zawsze idziemy dalej na każdy możliwy temat i dobrze: z góry przepraszam, jeśli to nie ma nic wspólnego temat!!!
Mam serwer UBUNTU Server 15 i okazuje się, że mam usługę hostowaną w środku, która jest dostarczana przez inny program, który jest streamerem TV ale staram się nią sterować poprzez adres MAC tak, aby sterowanie portem np. 6500 wybierało ją losowo Nikt nie może wejść przez ten port, chyba że ma adres MAC wskazany w iptables. Zrobiłem konfiguracje tego artykułu numer jeden i działa bardzo dobrze
z góry dziękuję!
Witam, jak się masz, przeczytałem artykuł iptables dla początkujących, jest bardzo dobry, gratuluję, nie wiem zbyt wiele o Linuksie, dlatego chcę ci zadać pytanie, mam problem, jeśli możesz mi pomóc dziękuję, mam serwer z kilka adresów IP i co kilka dni, gdy serwer wysyła e-maile przez adresy IP, które są na serwerze, przestaje wysyłać e-maile, więc aby ponownie wysyłać e-maile muszę wstawić:
/etc/init.d/iptables zatrzymuje się
Kiedy to wstawię, zaczyna znowu wysyłać e-maile, ale po kilku dniach znów się blokuje, czy możesz mi powiedzieć, jakie polecenia mam włożyć, aby serwer nie blokował adresów IP? Czytałem iz tego co mówisz na stronie, z Te dwie linie musiałyby zostać rozwiązane:
sudo iptables -A INPUT -i lo -j AKCEPTUJ
sudo iptables -A INPUT -m stan –stan USTANOWIONY, ZWIĄZANY -j AKCEPTUJ
ale ponieważ nie wiem, czy to jest to, przed wprowadzeniem tych poleceń chciałem sprawdzić, czy dzięki temu adresy IP serwera nie będą już blokowane, czekam na Twoją szybką odpowiedź. Pozdrowienia. Mikołaja.
Witam, dzień dobry, przeczytałem Twój mały tutorial i wydał mi się bardzo dobry iz tego powodu chciałbym zadać Ci pytanie:
Jak mogę przekierować żądania przychodzące przez interfejs lo (localhost) na inny komputer (inny adres IP) z tym samym portem, używam czegoś takiego
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT – do 148.204.38.105:3306
ale nie przekierowuje mnie, monitoruję port 3306 za pomocą tcpdump i jeśli odbiera pakiety, ale nie wysyła ich na nowy adres IP, ale jeśli wykonuję żądania z innego komputera, to je przekierowuje. W skrócie, przekierowuje to, co przychodzi przez -i eth0, ale nie to, co przychodzi przez -i lo.
Z góry doceniam dużą lub małą pomoc, jaką możesz mi udzielić. salu2.
Witam, jak się masz, strona jest bardzo dobra, zawiera dużo informacji.
Mam problem i chciałem zobaczyć czy możesz mi pomóc, mam PowerMta zainstalowaną w Centos 6 z Cpanelem, problem w tym, że po kilku dniach PowerMta przestaje wysyłać maile na zewnątrz, to jakby IP były zablokowane i każdego dnia muszę umieścić komendę /etc/init.d/iptables stop, po czym PowerMta zaczyna ponownie wysyłać e-maile za granicę, w wyniku czego problem zostaje rozwiązany na kilka dni, ale potem znowu się powtarza.
Czy wiesz, jak mogę rozwiązać problem? Czy jest coś, co mogę skonfigurować na serwerze lub w firewallu, aby to się więcej nie powtórzyło? Skoro nie wiem, dlaczego tak się dzieje, jeśli możesz mi pomóc. dziękuję, mam nadzieję, że wkrótce odpowiesz.
Pozdrowienia.
Nicolas.
Doskonałe i bardzo jasne wyjaśnienie, szukałem książek, ale są one bardzo obszerne, a mój angielski nie jest zbyt dobry.
Czy znasz jakieś książki, które polecasz w języku hiszpańskim?
Co powiesz na dzień dobry, bardzo dobrze wyjaśnione, ale nadal nie mam wejścia z internetu, wyjaśnię, mam serwer z Ubuntu, który ma dwie karty sieciowe, jedną z taką konfiguracją Enkodowanie łącza: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 adres inet: 192.168.3.64 Bcast: 192.168.3.255 Maska: 255.255.255.0 i druga z tym innym Encap łącza: Ethernet HWaddr a0: f3: c1: 03: 73: 7b adres inet : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, gdzie druga to ta, którą ma moja brama, czyli 192.168.1.64, ale pierwsza karta to ta, która steruje moimi kamerami i chcę je zobaczyć Internet z mojego stałego adresu IP ,,, widzę je z sieci LAN, ale nie z Internetu, czy możesz mi w tym pomóc? lub jeśli mój router to ten, który jest nieprawidłowo skonfigurowany, to jest to archer tp-link c2 ,,, dzięki
Witam, właśnie to zrobiłem na swoim serwerze i wiesz, jak mogę to odzyskać?
iptables -P INPUT DROP
Zostawiam Ci mój email ing.lcr.21@gmail.com
Trochę szukałem wysokiej jakości postów lub postów na blogu dotyczących tej treści. Googling Wreszcie znalazłem tę stronę. Czytając ten artykuł, jestem przekonany, że znalazłem to, czego szukałem lub przynajmniej mam to dziwne uczucie, odkryłem dokładnie to, czego potrzebowałem. Oczywiście sprawię, że nie zapomnisz tej strony i polecę ją, planuję regularnie Cię odwiedzać.
pozdrowienia
Serdecznie gratuluję! Przeczytałem wiele stron iptables, ale żadna z nich nie jest tak prosta jak twoja; doskonałe wyjaśnienie !!
Dzięki za ułatwienie mi życia tymi wyjaśnieniami!
Przez chwilę czuję się Arabem xD
Mój nauczyciel używa tego do nauczania, dzięki i pozdrowienia. banda