iptables pentru începători, curioși, interesați

Mereu am crezut că siguranța nu doare niciodată și nu este niciodată suficientă (de aceea plin de viață El mă numește un maniac de securitate obsesiv și psihotic ...), deci chiar și atunci când folosesc GNU / Linux, nu neglijez securitatea sistemului meu, parolele mele (generat aleatoriu cu pwgen), etc.

În plus, chiar și atunci când tipurile de sistem Unix sunt, fără îndoială, foarte sigure, se recomandă fără îndoială să utilizați un Firewall, configurați-l corect, pentru a fi cât mai bine protejat possible

Aici îți voi explica fără probleme, încurcături sau detalii complexe cum să cunoști elementele de bază ale iptables.

Dar … Ce naiba este iptables?

iptables Este partea kernel-ului Linux (un modul) care se ocupă cu filtrarea pachetelor. Acest lucru a spus într-un alt mod, înseamnă că iptables este partea kernelului a cărei sarcină este să știe ce informații / date / pachet doriți să introduceți computerul și ce nu (și face mai multe lucruri, dar hai să ne concentrăm pe asta pentru moment hehe).

Voi explica acest lucru într-un alt mod 🙂

Mulți distribuitori folosesc firewall-uri, Firestarter o firehol, dar aceste firewall-uri de fapt „din spate” (in fundal) utilizare iptables, atunci ... de ce nu folosiți direct iptables?

Și asta este ceea ce voi explica pe scurt aici 🙂

Până acum există vreo îndoială? 😀

A lucra cu iptables este necesar să aveți permisiuni administrative, așa că aici o voi folosi sudo (dar dacă intri ca. rădăcină, nu e nevoie).

Pentru ca computerul nostru să fie într-adevăr sigur, trebuie doar să permitem ceea ce dorim. Vedeți computerul ca și cum ar fi propria dvs. casă, în casa dvs. în mod implicit NU lăsați pe nimeni să intre, doar anumite persoane specifice pe care le-ați aprobat înainte pot intra, nu? Cu firewall-urile se întâmplă același lucru, în mod implicit nimeni nu poate intra în computerul nostru, doar cei care doresc să intre

Pentru a realiza acest lucru, explic, iată pașii:

1. Deschideți un terminal, în el puneți următoarele și apăsați [Introduce]:

sudo iptables -P INPUT DROP

Acest lucru va fi suficient pentru ca nimeni, absolut nimeni să nu poată intra în computerul tău ... și acest „nimeni” nu te include pe tine însuți

Explicația liniei anterioare: Cu aceasta indicăm iptables că politica implicită (-P) pentru tot ce vrea să intre în computerul nostru (INPUT) este să o ignorăm, să o ignorăm (DROP)

Nimeni nu este destul de general, absolut de fapt, nici tu însuți nu vei putea naviga pe internet sau altceva, de aceea trebuie să punem următoarele și să apăsăm pe acel terminal [Introduce]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... nu înțeleg rahat, Ce fac acele două linii ciudate acum? ...

Simplu 🙂

Prima linie ce spune este că computerul însuși (-i lo ... apropo, lo = localhost) poate face orice dorește. Ceva evident, care poate părea absurd ... dar credeți-mă, este la fel de important ca aerul haha.

Al doilea rând pe care îl voi explica folosind exemplul / comparația / metafora pe care l-am folosit anterior, mă refer la compararea computerului cu casa 🙂 De exemplu, să presupunem că locuim cu mai mulți oameni în casa noastră (mama, tatăl, frații, prietena etc.). Dacă vreunul dintre acești oameni pleacă de acasă, este evident / logic că îi vom lăsa să intre odată ce se vor întoarce, nu?

Tocmai asta face acea a doua linie. Toate conexiunile pe care le inițiem (care provin de la computerul nostru), când prin acea conexiune doriți să introduceți unele date, iptables va permite accesul acestor date. Punând încă un exemplu pentru a-l explica, dacă folosind browserul nostru încercăm să navigăm pe internet, fără aceste 2 reguli nu vom putea, ei bine da ... browserul se va conecta la internet, dar atunci când încearcă să descarce date ( .html, .gif etc.) pe computerul nostru pentru a ne arăta, el nu va putea iptables Acesta va refuza introducerea pachetelor (date), în timp ce cu aceste reguli, pe măsură ce inițiem conexiunea din interior (de pe computerul nostru) și aceeași conexiune este cea care încearcă să introducă date, va permite accesul.

Cu acest lucru gata, am declarat deja că nimeni nu poate accesa niciun serviciu de pe computerul nostru, nimeni în afară de computerul însuși (127.0.0.1) și, de asemenea, cu excepția conexiunilor care sunt pornite chiar de pe computer.

Acum, voi explica încă un detaliu rapid, deoarece a doua parte a acestui tutorial va explica și va acoperi mai multe despre acest hehe, nu vreau să avansez prea mult 😀

Se întâmplă ca, de exemplu, să aibă un site web publicat pe computerul lor și doresc ca acel site să fie văzut de toată lumea, deoarece am declarat anterior că totul nu este permis în mod implicit, cu excepția cazului în care se indică altfel, nimeni nu va putea vedea site-ul web. Acum vom face ca oricine să poată vedea site-ul web sau site-urile pe care le avem pe computerul nostru, pentru aceasta am pus:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Acest lucru este foarte simplu de explicat 😀

Cu această linie declarăm că acceptați sau permiteți (-j ACCEPTĂ) tot traficul către portul 80 (–Portul 80) faceți-l TCP (-p tcp) și că este și trafic de intrare (-O INTRARE). Am pus portul 80, pentru că acesta este portul gazdei web, adică ... atunci când un browser încearcă să deschidă un site pe computerul X, acesta arată întotdeauna în mod implicit pe acel port.

Acum ... ce să faci când știi ce reguli să setezi, dar când repornim computerul vedem că modificările nu au fost salvate? ... ei bine, pentru asta am făcut deja un alt tutorial astăzi:

Cum să porniți automat regulile iptables

Acolo o explic în detaliu 😀

Și aici se termină Primul tutorial pe iptables pentru începători, curioși și interesați 😉 ... nu vă faceți griji, nu va fi ultimul hehe, următorul se va ocupa de aceleași reguli, dar mai specifice, detaliază totul mai mult și crește securitatea. Nu vreau să extind acest lucru mult mai mult, deoarece în realitate este necesar ca bazele (ceea ce ați citit aici la început) să o înțeleagă perfect 🙂

Salutări și ... hai, clarific îndoielile, atâta timp cât știi răspunsul LOL !! (Nu sunt de departe un expert pe acest hahaha)


41 comentarii, lasă-le pe ale tale

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   ezitoc el a spus

    Foarte bun! Doar o întrebare? Ai idee care sunt setările implicite? Întrebarea este de paranoic că sunt doar: D.

    Mulţumesc mult.

    1.    KZKG ^ Gaara el a spus

      În mod implicit, în mod implicit acceptă totul. Cu alte cuvinte, serviciu pe care l-ați pus pe computer ... serviciu care va fi public pentru restul 😀
      Înțelegi?

      Deci ... când nu doriți ca site-ul X să-l vadă ȘI prietenul dvs. sau un anumit IP, vine firewall-ul, htaccess sau o metodă de refuzare a accesului.

  2.   faustod el a spus

    Salutari,

    Frate, Excelent !!!! Acum voi citi primul ...

    Multumesc pentru ajutor…
    disla

  3.   rock and roll el a spus

    Mulțumesc pentru tutorial, îmi vine la îndemână.
    Singurul lucru pe care aș dori să-l știu sau să mă asigur este că, cu aceste instrucțiuni, nu voi avea probleme să fac transferuri p2p, să descarc fișiere sau să fac apeluri video, de exemplu. Din ceea ce am citit nu, nu ar trebui să existe probleme, dar prefer să mă asigur înainte de a intra în rânduri.
    Multumesc de acum.
    Salutări.

    1.    KZKG ^ Gaara el a spus

      Nu ar trebui să aveți probleme, cu toate acestea, aceasta este o configurație destul de simplă, în următorul tutorial vă voi explica mai complet cum să adăugați propriile reguli, în funcție de necesitatea fiecăruia, etc,

      Dar repet, nu ar trebui să aveți probleme, dacă le aveți, reporniți computerul și gata, ca și când nu ați fi configurat niciodată iptables 😀

      1.    Tau el a spus

        Repornire ? Sună foarte windowsero. În cel mai rău caz, trebuie doar să spălați regulile iptables și să setați politicile implicite la ACCEPT, iar problema este rezolvată, deci rockandroleo, nu veți avea probleme.

        Salutări!

  4.   rock and roll el a spus

    Și, îmi pare rău să fac o altă solicitare, dar din moment ce ne referim la firewall, este posibil să explicați cum să aplicați aceleași comenzi în interfețele grafice firewall, cum ar fi gufw sau firestarter.
    Mulțumesc în avans.
    Salutări.

    1.    KZKG ^ Gaara el a spus

      Voi explica Firestarter, gufw doar l-am văzut și nu l-am folosit ca atare, poate îl voi explica pe scurt sau poate plin de viață fă-o singur 🙂

  5.   assuarto el a spus

    Atunci, când vreau să mă simt ca un hacker, îl voi citi, am vrut mereu să aflu despre securitate

  6.   Daniel el a spus

    Excelent tutorial, mi se pare bine explicat și, deși este pas cu pas, cu atât mai bine, așa cum s-ar spune, pentru manechine.

    Salutări.

    1.    KZKG ^ Gaara el a spus

      hahahaha mulțumesc 😀

  7.   Lithos523 el a spus

    Grozav.
    Foarte clar explicat.
    Va fi necesar să-l citiți și să-l recitiți până când cunoștințele sunt stabilite și apoi continuați cu următoarele tutoriale.
    Mulțumesc pentru articol.

    1.    KZKG ^ Gaara el a spus

      Mulțumesc 😀
      Am încercat să-l explic așa cum aș dori să mi se explice pentru prima dată, LOL !!

      Salutări 🙂

  8.   Oscar el a spus

    Foarte bine, testez și funcționează corect, ceea ce corespunde inițierii regulilor automat la început o voi lăsa pentru când publicați a doua parte, până atunci voi mai avea un pic de lucru la tastarea comenzilor de fiecare dată când repornesc PC, mulțumesc prieten pentru tuto și pentru cât de repede l-ai publicat.

  9.   Xosé M. el a spus

    multumesc pentru recomandare si explicatii.

    Puteți vedea ce se aplică cu iptables cu:

    sudo iptables -L

    1.    KZKG ^ Gaara el a spus

      Exact 😉
      Eu adaug n de fapt:
      iptables -nL

  10.   Alex el a spus

    Mulțumesc pentru tutorial, aștept cu nerăbdare partea a doua, salutări.

  11.   william el a spus

    când va ieși a doua parte

  12.   jonissar el a spus

    Am un proxy cu calmar pe Machine1, va da navigarea pe internet către alte mașini pe acel lan 192.168.137.0/24 și ascultă pe 192.168.137.22:3128 (deschid portul 3128 pentru oricine are firestarter), de la Machine1 dacă Am pus Firefox să folosească proxy 192.168.137.22:3128 funcționează. Dacă de pe un alt computer cu ip 192.168.137.10 de exemplu, Machine2, l-am setat să folosească proxy 192.168.137.22:3128 nu funcționează, cu excepția cazului în care pe Machine1 am pus în firestarter să împărtășesc internetul cu lan, acolo dacă proxy-ul funcționează, datele de flux sunt prin proxy, dar dacă pe Machine2 elimină utilizarea proxy-ului și indică gateway-ul corect, vor putea naviga liber.
    Despre ce este vorba?
    Cu iptables care ar fi regulile?

  13.   geronimo el a spus

    "Încerc să rămân pe partea întunecată a forței, pentru că acolo este distracția vieții." și cu delir de jedi hahahahaha

  14.   Carlos el a spus

    Foarte bun! Am întârziat puțin nu? haha postarea are vreo 2 ani, dar am fost mai mult decât utilă .. Vă mulțumesc că l-ați explicat atât de simplu încât am putut să-l înțelege haha ​​am continuat cu celelalte părți ..

    1.    KZKG ^ Gaara el a spus

      Vă mulțumim că ați citit 🙂

      Da, postarea nu este complet nouă, dar este încă foarte utilă, nu a schimbat aproape nimic despre funcționarea firewall-urilor în ultimul deceniu cred că I

      Salutări și mulțumiri pentru comentarii

  15.   leu el a spus

    Ce explicație cu flori și totul. Sunt un utilizator „novice”, dar cu multă dorință de a învăța Linux, recent citeam o postare despre un script nmap pentru a vedea cine s-a conectat la rețeaua mea și nu pentru a te face lung, într-un comentariu la acel post, un utilizator a spus că vom aplica faimoasa primă linie pe care ați pus-o de pe iptables și a fost suficientă și, din moment ce sunt un noobster extraordinar, am aplicat-o, dar așa cum ați scris aici, nu a intrat pe Internet 🙁
    Vă mulțumim pentru această postare care explică utilizarea iptables, sper să o extindeți și să explicați pe deplin funcționarea sa completă. Noroc!

    1.    KZKG ^ Gaara el a spus

      Vă mulțumim că ați citit și comentat 🙂
      iptables este fenomenal, își face treaba de a închide atât de bine, încât ... nici măcar nu putem ieși singuri, asta e sigur, dacă nu știm cum să-l configurăm. De aceea am încercat să explic iptables cât mai simplu posibil, pentru că uneori nu toată lumea este capabilă să înțeleagă ceva prima dată.

      Mulțumesc pentru comentariu, salut ^ _ ^

      PS: Despre extinderea postării, iată a doua parte: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    leu el a spus

        Ei bine, mulțumesc foarte mult, dacă am citit a doua parte și am început să joc imediat pe consolă cu ghidul tău extraordinar. Vă mulțumesc foarte mult, hei apropo sper să mă puteți ajuta, deoarece am puțină îndoială și, după cum știți bine, sunt un începător care încearcă să afle despre acest software gratuit minunat, până la punctul acesta, am avut recent o altă distribuție la care am modificat fișierul dhcp.config o linie și lăsând-o astfel:
        #transmiteți numele gazdei ""; Ei bine, a funcționat pentru mine în acea distribuție și totul a fost în regulă, numele computerului meu nu apare în serverul dhcp al routerului meu, ci doar pictograma computerului, dar în această nouă distribuție am modificat aceeași linie lăsând-o la fel, dar N-a funcționat. M-ai putea ghida un pic? 🙁 Vă rog ...

        1.    KZKG ^ Gaara el a spus

          Ya esto puede ser algo más complejo o extenso, crea un tema en nuestro foro (foro.desdelinux.net) y ahí entre todos te ayudamos 🙂

          Mulțumesc că ai citit și ai comentat

          1.    leu el a spus

            Gata, mulțumesc pentru răspuns. Mâine dimineață fac subiectul și sper să mă puteți ajuta, salutări și bineînțeles o îmbrățișare.

  16.   Diego el a spus

    Articol excelent.
    Crezi că, cu asta, pot implementa un firewall folosind iptables în casa mea sau trebuie să știu altceva? Aveți vreun tutorial de configurare sau cu aceste articole rămâne?
    salutări

    1.    KZKG ^ Gaara el a spus

      De fapt, acesta a fost elementul de bază și mediu, dacă doriți ceva mai avansat (cum ar fi limitele conexiunii etc.) puteți verifica aici toate postările care vorbesc despre iptables - » https://blog.desdelinux.net/tag/iptables

      Cu toate acestea, cu asta am aproape tot paravanul de protecție local local

  17.   Cioară el a spus

    Nu par deloc rău pentru început.
    Dar ar modifica ceva.

    Aș renunța la o intrare și a transmite și a accepta o ieșire
    -P INPUT -m state-state STABILIT, AFILIAT -j ACCEPT
    Acest lucru ar fi suficient pentru ca un newbi în iptables să fie „destul de sigur”
    Apoi, deschideți porturile de care avem nevoie.
    Îmi place foarte mult pagina, au lucruri foarte bune. Vă mulțumim pentru distribuire!
    Salutări!

  18.   fgz el a spus

    Noapte buna tuturor celor care au comentat, dar sa vedem daca puteti clarifica de ce sunt mai pierdut decat un lup in canal, sunt cubanez si cred ca mergem mereu mai departe pe fiecare subiect posibil si bine: Scuzati-ma dinainte daca nu are legatura cu subiectul !!!

    Am un server UBUNTU Server 15 și se dovedește că am un serviciu găzduit în interior care este furnizat de un alt program care este stream TV, dar încerc să-l controlez prin adresa MAC, astfel încât controlul portului de exemplu 6500 care îl selectează la întâmplare Nimeni nu poate intra prin acel port decât dacă este cu adresa MAC indicată în iptables. Am făcut configurațiile acestui articol numărul unu și funcționează foarteyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy bine, mai bine decât am vrut, dar am căutat informații în totoooooooooooo și nu am găsit configurația fericită pentru a permite unei adrese Mac să folosească doar un anumit port și nimic altceva.

    multumesc anticipat!

  19.   Imagine de substituent Nicolas Gonzalez el a spus

    Bună, ce mai faci, am citit articolul iptables pentru începători, este foarte bine, te felicit, nu știu multe despre Linux, așa că vreau să-ți pun o întrebare, am o problemă, dacă poți ajuta eu vă mulțumesc, am un server cu mai multe adrese IP și la fiecare câteva zile, când serverul trimite e-mailuri prin adresele IP care se află pe server, nu mai trimite e-mailuri, așa că pentru a trimite din nou e-mailuri trebuie să pun:

    /etc/init.d/iptables se oprește

    Când pun asta, începe să trimită din nou e-mailuri, dar după câteva zile devine din nou blocat, îmi puteți spune ce comenzi trebuie să pun pentru ca serverul să nu blocheze IP-urile? Citeam și din ceea ce spui pe pagină, cu aceste 2 rânduri ar trebui rezolvate:

    sudo iptables -A INPUT -i lo -j ACCEPT
    sudo iptables -A INPUT -m state –stATE STABILIT, RELATAT -j ACCEPT

    dar, din moment ce nu știu dacă asta este, înainte de a pune acele comenzi, am vrut să văd dacă prin aceasta IP-urile serverului nu vor mai fi blocate, aștept răspunsul dumneavoastră prompt. Salutari. Nicolae.

  20.   Tux MH el a spus

    Bună dimineața, ți-am citit micul tutorial și mi s-a părut foarte bine și din acest motiv aș vrea să-ți pun o întrebare:

    Cum pot redirecționa cererile care vin prin interfața lo (localhost) către un alt computer (un alt IP) cu același port, folosesc ceva de genul acesta

    iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –la 148.204.38.105:3306

    dar nu mă redirecționează, monitorizez portul 3306 cu tcpdump și dacă primește pachete dar nu le trimite către noul IP, dar dacă fac cereri de pe alt computer le redirecționează. Pe scurt, redirecționează ceea ce vine prin -i eth0, dar nu ceea ce vine prin -i lo.

    În avans apreciez mult sau puținul ajutor pe care mi-l puteți oferi. salu2.

  21.   Nicolas el a spus

    Bună, ce mai faci, pagina este foarte bună, are multe informații.

    Am o problemă și am vrut să văd dacă mă puteți ajuta, am PowerMta instalat în Centos 6 cu Cpanel, problema este că după câteva zile PowerMta încetează să mai trimită e-mailuri către exterior, parcă ip-urile sunt blocate, și în fiecare zi trebuie să plasez comanda /etc/init.d/iptables stop, cu asta PowerMta începe să trimită din nou e-mailuri în străinătate, problema fiind rezolvată câteva zile, dar se întâmplă din nou.

    Știți cum pot face pentru a rezolva problema? Există ceva pe care îl pot configura pe server sau în firewall, astfel încât să nu se mai repete? Deoarece nu știu de ce se întâmplă acest lucru, dacă mă puteți ajuta I mulțumesc, sper să vă răspundă în curând.

    Salutări.

    Nicolas.

  22.   Louis Delgado el a spus

    Explicație excelentă și foarte clară, am căutat cărți, dar sunt foarte extinse, iar engleza mea nu este foarte bună.
    Cunoașteți cărți pe care le recomandați în spaniolă?

  23.   fbec el a spus

    Ce zici de bună dimineața, foarte bine explicată, dar încă nu am intrare de pe internet, o să explic, am un server cu Ubuntu, care are două plăci de rețea, una cu această configurație Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mască: 255.255.255.0 și al doilea cu această altă conexiune encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Mască: 255.255.255.0, unde a doua este cea pe care o are gateway-ul meu, care este 192.168.1.64, dar primul card este cel care îmi controlează camerele și vreau să le văd de la internetul de pe ip-ul meu fix ,,, le pot vedea din lan dar nu din internet, m-ai putea ajuta cu asta? , sau dacă routerul meu este cel care este configurat incorect, este un tp-link archer c2 ,,, mulțumesc

  24.   Louis Castro el a spus

    Bună ziua, tocmai am făcut acest lucru pe serverul meu și știi, cum îl pot recupera?
    iptables -P INPUT DROP
    Vă las emailul meu ing.lcr.21@gmail.com

  25.   instalații electrice el a spus

    Am căutat un pic postări de înaltă calitate sau postări de blog pe acest conținut. Google am găsit în sfârșit acest site. Citind acest articol, sunt convins că am găsit ceea ce căutam sau măcar am acel sentiment ciudat, am descoperit exact ce aveam nevoie. Desigur, te voi face să nu uiți acest site web și să îl recomand, intenționez să te vizitez în mod regulat.

    În ceea ce priveşte

  26.   na el a spus

    Chiar te felicit! Am citit multe pagini de iptables, dar niciuna nu este atât de explicată ca a ta; excelenta explicatie !!
    Vă mulțumesc că mi-ați făcut viața mai ușoară cu aceste explicații!

  27.   Anonim el a spus

    Pentru o clipă mă simt arab xD

  28.   Victor Andres Embryos.lan el a spus

    Profesorul meu folosește asta pentru a preda, mulțumiri și salutări. bandă