د نوي زېږېدلو ، علاقه لرونکو ، علاقه لرونکو لپاره iptables (دوهمه برخه)

کله چې لینکس یوازې څو میاشتې عمر درلود نو ما د iptables په اړه د لارښود پوهیدو لپاره خورا ساده لیکلي: د نوي زړونو لپاره نوښتګر ، علاقه مند ، علاقه مند (لومړۍ برخه) . د استعارو کارول لکه زموږ د کمپیوټر زموږ د کور سره پرتله کول ، زموږ د اور دروازې د کور دروازې سره ، او ورته نورې بیلګې ، ما په ساتیرۍ توګه تشریح کړه ، پرته له دې چې ډیری تخنیکي یا پیچلي مفهومونه ، د اور وژنې څه شی وي ، د آی پی ایل څه شی دی او څنګه یې کارول پیلوي او څنګه. جوړول. دا تسلسل دی ، د تیرو iptables ټیوټوریل 2nd دویمه برخه 🙂

دا پیښیږي چې څو ورځې دمخه د لینکیسس AP (د لاسرسي ځای) په کارولو سره ما د خپلې ملګرې په کور کې وائی فای نصب کړ ، که څه هم ځای د ټیکنالوژۍ په برخه کې خورا پوه نه دی ، دا دی ، چې د کریک کولو ډیری خطرونه شتون نلري ، دا تل دی په وائی فای او کمپیوټرونو کې د غوره امنیت لپاره یو ښه نظر.

زه به دلته د Wi-Fi امنیت په اړه تبصره ونه کړم ، ځکه چې دا د پوست هدف نه دی ، زه به د آی پیټبل ترتیباتو باندې تمرکز وکړم چې دا مهال زه په خپل لپ ټاپ کې کاروم.

لاندې کمانډونه په ټرمینل کې اعدام شوي ، دوی اړتیا لري د مدیر امتیازاتو سره اجرا شي ، زه به هر امر ته sudo چمتو کړم ، تاسو کولی شئ ورته کار وکړئ یا مستقیم د ریښې په توګه د حکمونو اجرا کولو سره د sudo کارولو څخه مخنیوی وکړئ

په تیر پوسټ کې ما څرګنده کړې وه چې دا د اور په یوه دیوال کې لازمي دي چې لومړی باید ټول راتلونکی ترافیک رد شي ، د دې لپاره:

sudo iptables -P INPUT DROP

بیا موږ باید خپل کمپیوټر ته اجازه ورکړو چې ډاټا ته د ننوتلو اجازه ولرو:

sudo iptables -A INPUT -i lo -j ACCEPT

د غوښتنو کڅوړې منلو سره چې زموږ له کمپیوټر څخه سرچینه اخلي:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

د دې کرښو غوره پوهاوي لپاره ، زه د تیرې مقالې لومړۍ نیمایي لوستلو وړاندیز کوم: د نوي زړونو لپاره نوښتګر ، علاقه مند ، علاقه مند (لومړۍ برخه)

تر دې دمه زموږ کمپیوټر کولی شي له ستونزو پرته انټرنیټ پرمخ بوځي ، مګر هیڅ یو له بل چاپیریال څخه (LAN ، انټرنیټ ، وائی فای ، او نور) به زموږ کمپیوټر ته په هر ډول لاسرسی ونه کړي. موږ د خپلو اړتیاو سره سم د iptables تنظیم کول پیل کوو.

په بل فایل کې د iptables لاګونو محصول کولو لپاره د ulogd کارول:

په ډیفالټ ډول د iptables لاګ د کرنل لاګ ، سیسټم لاګ ، یا ورته ورته ... په آرچ کې د ډیفالټ په واسطه ځي ، همدا اوس زه حتی یاد نه کوم چې چیرې ځي ، له همدې امله زه کاروم ناخوالې نو د iptables لاګ په بل فایل کې دي.

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

زما خصوصي سرور ته لاسرسی:

زه VirtualBox یا کوم بل څه چې د مجازی کولو سره ورته نه کارووم ، زه خپل شخصي سرور سره په مجازی توګه مجازی یم Qemu + KVM کوم چې باید د دې وړ وي چې زما لپ ټاپ سره وصل شي لکه د iptables قواعدو سره چې ما یوازې پورته مشخص کړی دا به ونشي کولی ، له همدې امله زه باید د خپل مجازی سرور IP ته اجازه ورکړم ترڅو دا زما لپ ټاپ ته لاسرسی ومومي:

sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT

موږ دې کرښې ته توضیح کوو ، مهمه ده چې تاسو پوه شئ چې هر پیرامیټر څه معنی لري ، ځکه چې دوی به وروسته له دې ډیر تکرار شي:

- یو ننوتنه : زه وایم چې زه د داخلي ترافیک لپاره قانون اعلانوم

-i virbr0 : زه اعلان کوم چې هغه انٹرفیس چې له لارې به زه ترافیک ومومم ایتو (LAN) یا wlan0 (Wifi) نه دی ، زه په ځانګړي ډول وایم چې دا زما د ویبربر 0 انٹرفیس دی ، دا دی ، د مجازی شبکې انٹرفیس (داخلي) له لارې چې زما لپ ټاپ ورسره اړیکه نیسي. زما مجازی سرور (او برعکس)

-p tcp : زه پروتوکول مشخص کوم ، تر ټولو ډیر کارول شوي UDP او TCP دي ، دلته دا واقعیا دومره نه و چې دا یې وسپارئ مګر ... دا د منلو لپاره د پروتوکول ډول مشخص کول معمول دی

- 192.168.122.88 : د کڅوړو سرچینه ، سرچینه. په بل عبارت ، قاعدې هغه پاکټونو ته اشاره کوي چې په ځانګړي توګه د IP 192.168.122.88 څخه راځي

-j مني : دمخه دلته زه وایم چې زه څه غواړم د کڅوړو سره څه وکړم چې پورتنۍ مسابقې سره ، پدې حالت کې منو.

په بل عبارت ، د لنډیز په توګه ، زه به هغه پاکټونه ومومم چې د IP 192.168.122.88 څخه راځي ، مګر په هغه صورت کې چې تاسو غواړئ پاکټونه دننه کړئ چې د دې IP BUT څخه راځي! دوی د داسې یو انٹرفیس څخه ننوځي چې ویروی 0 نه دی ، دا دی ، راځئ چې ووایو چې دوی هڅه کوي د آی پي 192.168.122.88 څخه پاکټونه دننه کړي مګر دوی زموږ په وائی فای شبکه کې د کمپیوټر څخه دي ، که دا قضیه وي ، نو پاکټونه به رد شي. ولې؟ ځکه چې موږ په روښانه ډول مشخص کوو چې هو ، موږ د 192.168.122.88 هو څخه کڅوړه منو ، مګر او یوازې مګر ، دوی باید د ویروبر0 انٹرفیس (داخلي ، مجازی شبکې انٹرفیس) څخه دننه شي ، که پاکټونه د بل انٹرفیس څخه راځي (LAN ، RAS ، Wifi ، نور) بیا به دوی ونه منل شي. د انٹرفیس په مشخص کولو سره لکه څنګه چې تاسو لیدلی شئ موږ دا حتی محدود کولی شو ، موږ کولی شو په هغه څه ښه کنټرول ولرو چې زموږ کمپیوټر ته داخلیږي (یا ننوځي).

د کور Wifi هر IP څخه پینګ منل:

د ځینې نورو کمپیوټر څخه چې وائی فای سره وصل کیږي ، که تاسو زما د لپ ټاپ پین کولو هڅه وکړئ زه غواړم اجازه ورکړم. دلیل؟ مفکوره دا هم ده چې په راتلونکو څو اونیو کې کمپیوټر په کور کې د شبکې سره وصل کړئ ، نو د معلوماتو شریکول به لږ پیچلي ، ډیر سیال وي ، کله چې زه د ویسټ فای سره د ډیسټاپ لینک کولو لپاره ازموینې پیل کوم ، نو زه به اړتیا خپله کړم لپټاپ چې د ارتباطاتو معاینه وکړي ، که چیرې زما لیپ ټاپ ما بیرته نه راولي نو زه کولی شم فکر وکړم چې AP بریالی دی ، یا وائی فای ته لاسرسي کې ستونزه وه ، له همدې امله زه غواړم پینګ ته اجازه ورکړم.

sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT

- یو ننوتنه : لکه د پخوا په څیر ، زه راتلونکی ترافیک ته اشاره کوم

-زه wlo1 : مخکې ورته. په تیر حالت کې ما مجازی انٹرفیس مشخص کړی ، پدې حالت کې زه بل انٹرفیس مشخص کوم ، زما د wifi: wlo1 څخه

-p icmp : Icmp پروتوکول ، icmp = ping. دا دی ، زه د SSH یا ورته ورته کوم څه ته اجازه نه ورکوم ، زه یوازې د پینګ (آئیک ایم پی) ته اجازه ورکوم.

-s 192.168.1.0/24 : د پاکټونو سرچینه ، دا ده ، تر هغه چې پاکټونه د IP 192.168.1 څخه راځي.؟ ومنل شي

-d 192.168.1.51 : موخې IP ، دا زما IP دی.

-j مني : زه په ګوته کوم چې د کڅوړو سره څه وکړي چې پورته پورتنۍ سره ورته وي ، منل یې.

دا دی ، او په روانه لاره تشریح کولو لپاره ، زه دا منم چې دوی ما رنګ کوي (د icmp پروتوکول) چې منزل یې په ځانګړي ډول زما IP دی ، تر هغه چې دوی د IP څخه لکه 192.168.1 .__ مګر هم ، دوی نشي کولی د هیڅ شبکې انٹرفیس څخه راشي ، دوی باید په ځانګړي ډول زما د وائی فای شبکې انٹرفیس (wlo1) څخه دننه شي

یوازې د یوې IP لپاره SSH قبول کړئ:

ځینې ​​وختونه زه اړتیا لرم چې پواسطه وصل شم زما د سمارټ فون څخه SSH د لیپ ټاپ کنټرول لپاره، نو له همدې امله زه باید د دې لپاره د خپل وای فای IPs څخه زما لپ ټاپ ته SSH لاسرسي ته اجازه ورکړم:

sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT

له دې خط څخه یوازینی شی چې توپیر لري او یا یې باید روښانه شي. portپورټ 22 (د SSH بندر زه کاروم)

په بل عبارت ، زه د 22 پورټ له لارې زما لپټاپ سره وصل کیدو هڅې منم ، هرڅومره چې دوی زما د وائی فای IP څخه راشي ، دوی باید زما IP هم د یو ځانګړي منزل په توګه ولري او د wlo1 انٹرفیس له لارې هم راځي ، دا زما د وائی فای (لین نه ، وغيره)

دوی ته اجازه ورکول ستاسو ویب پا viewه وګوري:

دا زما قضیه نده ، مګر که تاسو څخه کوم کوربه ویب پا haveه لرئ او نه غواړئ چیرې لاسرسی رد کړئ ، دا دا دی چې له هر ځای څخه هرڅوک کولی شي هغه ویب پا accessې ته لاسرسی ولري ، دا ستاسو په پرتله خورا ساده دي:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

په بل عبارت ، دلته دوی د 80 بندر له لارې ټول راتلونکي ترافیک (tcp) ته اجازه ورکوي. لکه څنګه چې تاسو لیدلی شئ ، زه د کوم IPs یا شبکې څخه د لاسرسي اجازه ورکړم ، د اجازه ورکولو لپاره د IP سلسلې مشخص کولو سره ، iptables فرض کوي چې زه د لاسرسي اجازه غواړم ټول موجوده IP سلسلې ، دا ټولې نړۍ ته دي 🙂

نور ترکیبونه:

زه ډیری نور مقررات لرم لکه د مثال په توګه ، زما د کور لین څخه IPs لپاره پینګ قبول کړئ (د دې لپاره دا اساسا د پورته په څیر ورته کرښه ده ، د IP حدود بدلول) ، کوم چې نور ورته دی چې ما یوازې تشریح کړی ... زما کې لپټاپ لکه لدې چې زه واقعیا پیچلي شیان نه کارووم ، د ارتباطاتو محدودولو ، د DDoS ضد ، زه دا د سرورونو لپاره پریږدم ، زما په لپ ټاپ کې زه ورته اړتیا نلرم 🙂

په هرصورت ، تر دې دمه مقاله.

لکه څنګه چې تاسو لیدلی شئ ، د iptables سره کار کول د کوم وسیله لخوا پیچلي ندي ، یوځل چې تاسو یو سکریپټ رامینځته کړئ په کوم کې چې تاسو خپل قواعد لیکئ دا خورا ساده دی نو بیا یې ترمیم کړئ ، خپل فائر وال کې قواعد اضافه کړئ یا لرې کړئ.

زه پخپله د دې موضوع په اړه یو کارپوه نه ګ .م ، د هر ډول شکونو سره سره چې تاسو یې لرئ ، دوی دلته تبصره کوي ، زه به هڅه وکړم څومره چې زه کولی شم له تاسو سره مرسته وکړم.

مننه!


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

31 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   ریسکټو dijo

    ډیر ښه ، ډیر ښه تشریح شوی ، عالي.
    زه دا ډول پوسټ خوښوم.

    1.    KZKG ^ ګارا dijo

      د تبصره کولو لپاره ډیره مننه

      دا پوسټ پور و چې ما د اوږدې مودې لپاره درلود ، دا په پای کې خوشحاله او خوشحاله ده چې د دې له ورکولو څخه د وتلو وړ وي ^ _ ^

      مننه!

      1.    فکسون dijo

        پوښتنه په کوبا کی
        ... دا پیښیږي چې څو ورځې دمخه د لینکیسس AP (د لاسرسي ځای) په کارولو سره ما د خپلې ملګرې په کور کې وائی فای نصب کړ

        1.    KZKG ^ ګارا dijo

          هو البته ، زه زیږیدلی یم او کیوبا کې ژوند کوم. پوښتنه ولې؟

        2.    سام برګوس dijo

          FIXOCONN: سلام ملګری او د پوښتنې آفټوپیک بخښنه ، مګر تاسو څنګه د کارن-اجنټ کې د ډیسټاپ چاپیریال په څیر سینینیم تعریف کړئ؟ زه د منټ 13 د مینځلو سره کاروم ، مګر په هیڅ ډول زه د سینه لوګو نه اخلم چې هرکله چې زه پدې سایټ کې خپل نظر ورکوم زما د کارونکي-اجنټ کې ښکاري.

          ایا تاسو به دومره مهربان یاست چې ما ته د خپل کارونکي اجنټ توضیحات راکړئ که چیرې دا ډیره ستونزه ونلري؟ زه غواړم هغه ډاټا پوه کړم چې دا پخپله ځای په ځای کړي =)

          زه تاسو ته یوه پا leaveه پریږدم نو تاسو دا بیاکتنه کولی شئ او ما ته معلومات راکړئ. مننه او مدیران ، د دې معلوماتو سره زما برخه کې "ټرولینګ" (که تاسو کولی شئ دا ووایاست) وبخښئ http://user-agent-string.info/

          1.    KZKG ^ ګارا dijo

            د کارن اجنټ یوې برخې ته "سینامین" (د نرخونو پرته) اضافه کړئ ، نو لوګو باید په راتلونکي نظرونو کې څرګند شي 🙂

  2.   برونو کاسیو dijo

    پوسټ ډیر ښه! ډیر روښانه 😀

    1.    KZKG ^ ګارا dijo

      د لوستلو لپاره مننه او ستاسو د نظر مننه 🙂

  3.   ویل dijo

    مننه! دا واقعیا زما سره مرسته کوي!

  4.   اوسکار ګراناده dijo

    سلام ، د بلاګ لپاره د ټولو ډیری مبارکیو لومړی ، زه فکر کوم چې دا عالي دی.
    یو څه چې شاید ذکر یې ښه وي دا دی چې د ULOG سره د ننوتلو اختیار په عملیاتي سیسټمونو کې کار نه کوي چې ulogd2 لري ، د دې قضیې لپاره باید قاعده دا وي:
    sudo iptables -A INPUT -p tcp -m tcp ctcp-flags FIN، SYN، RST، ACK SYN -j NFLOG

    1.    KZKG ^ ګارا dijo

      له هرڅه دمخه ، د هغه څه لپاره ډیره مننه چې تاسو د بلاګ about په اړه وایاست

      ما په آرچ کې v2.0.2-2 نصب کړی ، او هغه کرښه چې ما پرته له کومې ستونزې کار کاوه (ما باید په /etc/ulogd.conf کې لاګلیف = 1 کېښود ، مګر دا پرته له ستونزو پرته بل فایل ته لاګونه لیږي.

      ایا تاسو ulogd v2 یا لوړ کار کوئ ، ایا هغه کرښه چې ما پریښوده ستاسو لپاره غلط کار کوي؟

      درناوی او د نظر ورکولو لپاره مننه.

  5.   سيټکس dijo

    زه تل دوهم برخې ته منتظر وم ، زه په یاد لرم کله چې ما لومړی لوستل (دا د اور وژنو کې زما ابتکار و). مننه @ KZKG ^ ګارا ، درناوی 🙂

    1.    KZKG ^ ګارا dijo

      زما د لوستلو لپاره مننه 😀
      او هو هو ، څه چې ما وویل ... دا پوسټ پور و چې ما ډیر وخت دمخه ^ _ ^ درلود

  6.   جوز لوئس ګونزالیز د پلیټینټ لرونکي عکس dijo

    درناوی پوسټ ډیر ښه. زه هڅه کوم چې د iptables قواعد تنظیم کړم ترڅو ترافیک له سکویډ څخه dansguardian ته اړوم او دا لاهم هدف لاسته نه راوړي. زه به پدې برخه کې د یو څه مرستې مننه وکړم.

    1.    KZKG ^ ګارا dijo

      iptables د دې لپاره؟ ایا دا په سکویډ کې د ACLs سره مستقیم ندي ترسره شوي؟

  7.   بې نومه dijo

    "زه نور ډیر قواعد لرم لکه .."
    دا هغه څه دي چې زه یې پارونیا بولم ، هلک
    یو څه نور او تاسو په خپل خلاصې بندر / راټر on کې په هر خلاص بندر کې د روټ والر یوه کڅوړه واچوئ

    1.    KZKG ^ ګارا dijo

      هاهاهاهاهاهاها د خندا وړ له خندا سره مړه کیږم هاهاهاه

  8.   ایوان dijo

    سلامونه ملګري ، دا پیښیږي چې زه د IPTables تنظیم کولو کې مرستې ته پدې ډول اړتیا لرم چې دا یوازې د 80 پورټ لپاره لاسرسی څخه انکار کوي کله چې زه د خپل دودیز نوم لیکونکي په براوزر کې ادرس ټایپ کړم ، نو دا هغه وخت دی چې زه د ns1.mydomain.com او ns2.mydomain ټایپ کوم. com (کوم چې زما نوم لیکونکي دي) IPtables د 80 پورټ ته لاسرسی ردوي ترڅو براوزر د پا pageې پورته کولو هڅه وکړي مګر یو څه وروسته وروسته له دې چې تیریږي او هیڅکله هم نه لوړیږي ، دا پیښیږي چې ما دمخه د دې ډول قوماندې سره هڅه کړې ده:

    iptables -A INPUT -d ns1.midomini.com -p tcp portdport 80 -j DROP
    iptables -A INPUT -d ns2.midomini.com -p tcp portdport 80 -j DROP

    مګر یوازینی شی چې دا یې کوي زما په ټولو ډومینونو کې 80 پورټ ته د ننوتلو مخنیوی دی (ځکه چې دوی ورته مجازی کوربه ورته IP شریکوي) ، زه غواړم دا یوازې زما د نوم لیکونکو په url کې وي او هغه IP چې زما نوم لیکونکي یې په ګوته کوي ، دا دی ، د IP جدولونه په 80 کې بندر کې لاسرسی ردوي:

    ns1.midomini.com (په ګوته کولو A) -> 102.887.23.33
    ns2.midomini.com (په ګوته کولو A) -> 102.887.23.34

    او هغه IPs چې نوم لیکونکي یې په ګوته کوي

    102.887.23.33
    102.887.23.34

    د یوه شرکت مثال چې دا سیسټم لري دا دی: ډریم هوسټ
    د دوی نوم لیکونکي: ns1.dreamhost.com او ns2.dreamhost.com او هغه IPs چې دوی په ګوته کوي ځواب نه ورکوي کله چې د براوزر پته بار کې ټایپ شي

    ستاسو د پاملرنې لپاره دمخه له تاسو څخه ډیره مننه ، زه له تاسو څخه ډیره غواړم چې ما سره پدې برخه کې مرسته راکړئ ، زه واقعیا ورته او عاجل اړتیا لرم!

    ښه ورځ !!

    1.    KZKG ^ ګارا dijo

      سلام ایوان ،

      له ما سره د بریښنالیک له لارې اړیکه ونیسئ (kzkggaara [at] desdelinux [dot] नेट) ترڅو په ډیر ارامۍ سره خبرې وکړئ او تاسو ته ښه وضاحت درکړم ، سبا به له ناکامۍ پرته ځواب درکړم (نن زه تیریږم)

      هغه څه چې تاسو یې کول غواړئ ساده دي ، زه نه پوهیږم چې هغه لینونه چې تاسو ما ته ویلئ ستاسو لپاره کار نه کوي ، دوی باید ، مګر تاسو باید د ونې او نور شیان چیک کړئ چې دلته به ډیر اوږد وي.

      سلامونه او زه ستاسو بریښنالیک ته انتظار کوم

  9.   neysonv dijo

    په نظریاتي توګه د iptables سره زه کولی شم د هوایی کریک په څیر برنامو څخه د منقولو غوښتنو لیږلو څخه مخنیوی وکړم. زه سمه یم ؟؟؟ ښه زه به ازموینې ترسره کړم مګر که تاسو راته ووایاست چې تاسو به زه ډیر خوشحاله کړم XDDD

    1.    KZKG ^ ګارا dijo

      په تیوري کې زه داسې فکر کوم ، اوس ، زه نه پوهیږم چې دا څنګه کیدی شي ، ما هیڅکله نه دی کړی ... مګر زه تکراروم ، په تیوري کې ، زه فکر کوم چې دا کیدی شي.

  10.   Alex dijo

    د iptables قواعدو پلي کولو وروسته ، دا زما لپاره ناممکن دی چې په ځایی شبکه کې د وینډوز مشترکو فولډرو ته لاسرسی ومومئ. د دې د حل لپاره زه باید کوم قانون پلي کړم؟
    مننه.

    1.    KZKG ^ ګارا dijo

      تاسو د iptables کوم قانون پلي کړی؟
      دا د "newbies لپاره iptables" دوهمه برخه ده ، ایا تاسو لومړۍ برخه لوستې؟ زه د دې څخه غوښتنه کوم چې پوه شئ که تاسو هغه قواعد پلي کړل چې په تیرو پوست کې وو

      1.    Alex dijo

        هو ، ما دواړه برخې لوستې دي. د سکریپټ لپاره زه پخپله بل پوسټ کې اساس کوم چې تاسو د سیستمډ سره د مقرراتو پیل کولو په اړه پوسټ کړی.

        #! / بن / بش
        # - UTF 8 -

        # Iptables بائنری
        iptables = »/ usr / bin / iptables»

        "وغورځول"

        ## پاک میزونه ##
        ip iptables -F
        ip iptables -X
        ip iptables -Z
        #echo »- اپلاتونو ته FLUS جوړ کړی» او& ایکو »»

        ## د ULOGD سره د لاګونو رامینځته کول ##
        ip ایپيټبل - A INPUT -p tcp -m tcp ctcp-flags FIN، SYN، RST، ACK SYN -j ULOG

        ## د ډیفالټ DROP پالیسي تعریف کړئ ##
        ip ایټاییبلز - P انپټ ډراپ
        ip ایپیټبل - پی فارورډ ډراپ
        #echo »- د DROP پالیسي د ډیفالټ لخوا ټاکل شوې» && echo »

        ## ځایی هوسټ ته هرڅه ته اجازه ورکړئ ##
        ip ایډیټبلونه - A INPUT -i lo -j ACCEPT
        ip ایډیټبلونه - AUTPUT -o lo -j ACCEPT
        #echo »- د ځایی هوست for او& ایکو All for لپاره ټول اجازه

        ## اجازه راکړئ د ارتباطو کڅوړو ته دننه شئ چې ما پیل کړي ##
        ip ایډیټبل - د INPUT -m ایالت ate اسټابلیش شوی ، اړوند - د ACEPT سره اړیکه
        #echo »- اجازه ورکړل شوي پیوستون زما د» && ايکو by by لخوا پیل شوی

        وغورځول شو "###################################
        د echo »## IPTABLES ترتیب شوي سمه ده! ## »
        وغورځول شو "###################################

        ما په انټرنیټ کې لوستلي چې د سمبا لپاره تاسو باید په سکریپټ کې لاندې مقررات ولرئ:

        ip ایډیټبلونه - A INPUT -p tcp portdport 139 -j ACCEPT
        ip ایډیټبلونه - A INPUT -p tcp portdport 445 -j ACCEPT
        ip ایپيټبلز -A INPUT -p udp ortsport 137 -j ACCEPT
        ip اپایټ - د INPUT -p udp ddport 137 -j ACCEPT
        ip اپایټ - د INPUT -p udp ddport 138 -j ACCEPT

        په هرصورت ، حتی د دوی سره نه زه د وینډوز کاري ډلې ګورم. : ایس

      2.    Alex dijo

        ستونزه حل شوه. د کاري ډلې بدل کړئ او کوربه د سمبا تنظیم کولو فایل کې پیرامیټونو ته اجازه ورکوي.

  11.   otkmanz dijo

    عالي مقاله ، یوازې عالي !!!!
    زه یوازې دا لوستلم او زه دواړه لیوالتیا لرم چې تاسو یې تشریح کوئ او د iptables رښتینې ګټوره کارول ، زه واقعیا غواړم زده کړم چې څنګه په لوی ژور کې دا وکاروئ.
    سلامونه او عالي مقاله ، زه امید لرم چې تاسو د Iptables په اړه نور خپور کړئ! ^^

  12.   LEO dijo

    ګرانه؛

    زه د iptables سره یو پراکسي لرم او زما یوه شبکه پینګ نشي کولی http://www.google.cl د دې دلیل لپاره ما بندرګاه بنده کړې او د بندرونو د خلاصولو لپاره زرګونه لارې هڅه کوم او هیڅ نه پیښ کیږي. که زه پینګ نشم کولی زه لید ویلی نشم

  13.   Borja dijo

    په پوسټ کې مبارک شه! ډیر ښه. مګر زه یوه پوښتنه لرم. ځینې ​​وختونه د IP پته چې تاسو ته په شبکه کې ګمارل کیږي بدل کیدی شي (که دا ریښتیا وي چې موږ کولی شو زموږ مایک اډریس ته IP معرفي کړو) ، مګر ایا د Iptables سره امکان شتون لري چې د مایک پته لخوا د SSH له لارې زموږ سرور ته لاسرسی ومومي؟

    زه امید لرم چې ما خپل ځان ښه تشریح کړی.

    درناوی ، او ډیره مننه!

  14.   فرنانډو مارتین ګان dijo

    سلام ، تاسو پوهیږئ چې ما د لینکس سرور ترتیب کړی و او د دې قوماندې مینځلو وروسته ما هرڅه بند کړل او لاسرسی مې له لاسه ورکړ ، زه تقریبا هرڅه بیرته ترلاسه کولی شم مګر زه 2 شیان ورکوم. * زه نور د ویب براوزر څخه د cname «سرور through له لارې لاسرسی نه شم کولی که د ip ، 10.10.10.5 لخوا او په بل اړخ کې زه په شبکه کې د وینډوز سپړونکي څخه شریک سرچینې نه ګورم ، مخکې لدې چې ما put سرور پریښود او ټول ولیدل شریک سرچینې. زه امید لرم چې تاسو ما سره مرسته کولی شئ ، زه پوهیږم چې دا بې وقوف دی مګر زه نشم کولی دا حل کړم ، مننه

  15.   تاو dijo

    زه وربټیم وینم:
    '
    Icmp پروتوکول ، icmp = ping. دا دی ، زه د SSH یا ورته ورته کوم څه ته اجازه نه ورکوم ، زه یوازې د پینګ (آئیک ایم پی) ته اجازه ورکوم.
    '

    ICMP او PING یو شان ندي. پینګینګ د ICMP پروتوکول برخه ده ، مګر دا هرڅه ندي. د ICMP (د انټرنیټ کنټرول پیغام پیغام پروتوکول) خورا ډیرې کارونې لري ، ځینې یې د ځانګړي خطرونو سره. او تاسو ټول ICMP ترافیک منئ. تاسو باید یوازې پینګ پورې محدودیت ولرئ.

    مننه!

  16.   اوزکر dijo

    زه باید یو انترنشپ وکړم مګر زه د iptables په اړه ډیر څه نه پوهیږم ، کولی شئ مهرباني وکړئ زما سره مرسته وکړئ ....
    مننه!!!!!!!