iptables для новичков, любопытных, заинтересованных

Я всегда думал, что безопасность никогда не помешает, и этого никогда не бывает (поэтому Elav Он называет меня одержимым и психопатическим маньяком безопасности ...), поэтому даже когда я использую GNU / Linux, я не пренебрегаю безопасностью своей системы, своими паролями (случайно генерируется с помощью pwgen), и т.д..

Более того, даже когда системы типа Юникс несомненно, очень безопасны, несомненно, рекомендуется использовать брандмауэр, настройте его правильно, чтобы он был максимально защищен 🙂

Здесь я объясню вам без особого беспорядка, путаницы или сложных деталей, как знать основы Iptables.

Но … Что, черт возьми, такое iptables?

Iptables Это часть ядра Linux (модуль), которая занимается фильтрацией пакетов. Это сказано по-другому, значит, Iptables это часть ядра, задача которой - знать, какую информацию / данные / пакет вы хотите ввести на свой компьютер, а что нет (и делает больше, но давайте сосредоточимся на этом пока хе-хе).

Я объясню это по-другому 🙂

Многие в своих дистрибутивах используют брандмауэры, Firestarter o Firehol, но эти брандмауэры на самом деле «сзади» (на заднем фоне) использовать Iptables, тогда ... почему бы не использовать напрямую Iptables?

И вот что я кратко объясню здесь 🙂

Пока есть сомнения? 😀

Работать с Iptables необходимо иметь права администратора, поэтому здесь я буду использовать Sudo (но если вы войдете как корень, Нет нужды).

Чтобы наш компьютер был действительно безопасным, нам нужно только разрешить то, что мы хотим. Смотрите на свой компьютер как на свой собственный дом, в вашем доме вы по умолчанию НЕ позволяете никому входить, только определенные люди, которых вы одобрили ранее, могут войти, верно? С брандмауэрами происходит то же самое, по умолчанию никто не может войти в наш компьютер, могут войти только те, кто хочет войти 🙂

Вот шаги, которые я объясняю для этого:

1. Откройте терминал, введите в него следующее и нажмите [Войти]:

sudo iptables -P INPUT DROP

Этого будет достаточно, чтобы никто, абсолютно никто не мог войти в ваш компьютер ... и, этот «никто» включает вас 😀

Объяснение к предыдущей строке: с ее помощью мы указываем iptables, что политика по умолчанию (-P) для всего, что хочет войти в наш компьютер (INPUT), - игнорировать это, игнорировать (DROP)

Никто не является достаточно общим, абсолютным на самом деле, и вы не сможете выходить в Интернет или что-то еще, поэтому мы должны в этом терминале ввести следующее и нажать [Войти]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... я ни хрена не понимаю, Что теперь делают эти две странные строчки? ...

Просто 🙂

В первой строке написано, что сам компьютер (-i lo ... кстати, lo = localhost) может делать все, что угодно. Что-то очевидное, что может показаться даже абсурдным ... но поверьте, это так же важно, как воздух, ха-ха.

Вторую строку я объясню, используя пример / сравнение / метафору, которую я использовал раньше, я имею в виду сравнение компьютера с домом 🙂 Например, предположим, что мы живем с большим количеством людей в нашем доме (мать, отец, братья, подруга и т. Д.) Если кто-то из этих людей уйдет из дома, очевидно / логично ли, что мы впустим их, как только они вернутся, нет?

Именно это и делает вторая строка. Все соединения, которые мы инициируем (которые выходят из нашего компьютера), когда через это соединение вы хотите ввести некоторые данные, Iptables впустит эти данные. Приведем еще один пример, чтобы объяснить это, если с помощью нашего браузера мы пытаемся выходить в Интернет, без этих двух правил мы не сможем, ну да ... браузер подключится к Интернету, но когда он попытается загрузить данные ( .html, .gif и т. д.) на наш компьютер, чтобы показать нам, вы не сможете Iptables Он будет запрещать ввод пакетов (данных), в то время как с этими правилами, когда мы инициируем соединение изнутри (с нашего компьютера), и это же соединение является тем, которое пытается ввести данные, оно разрешит доступ.

Когда все это готово, мы уже заявили, что никто не может получить доступ к какой-либо службе на нашем компьютере, кроме самого компьютера (127.0.0.1), а также, кроме соединений, которые запускаются на самом компьютере.

Теперь я быстро объясню еще одну деталь, потому что вторая часть этого урока объяснит и расскажет больше об этом, хе-хе, я не хочу слишком продвигаться 😀

Бывает, что, например, у них есть веб-сайт, опубликованный на их компьютере, и они хотят, чтобы этот веб-сайт был виден всем, поскольку мы ранее заявляли, что все по умолчанию НЕ разрешено, если не указано иное, никто не сможет увидеть наши Веб-сайт. Теперь мы сделаем так, чтобы каждый мог видеть веб-сайт или веб-сайты, которые у нас есть на нашем компьютере, для этого мы помещаем:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Это очень просто объяснить 😀

Этой строкой мы заявляем, что вы принимаете или разрешаете (-j ПРИНЯТЬ) весь трафик на порт 80 (–Dport 80) сделайте это TCP (-p tcp), а также входящий трафик (-ВХОД). Я поставил порт 80, потому что это порт веб-хоста, то есть ... когда браузер пытается открыть сайт на компьютере X, он всегда по умолчанию смотрит на этот порт.

Теперь ... что делать, если вы знаете, какие правила устанавливать, но когда мы перезагружаем компьютер, мы видим, что изменения не были сохранены? ... ну, для этого я уже сделал еще один урок сегодня:

Как автоматически запускать правила iptables

Там подробно объясняю 😀

И здесь заканчивается 1-й урок на iptables для новичков, любопытных и заинтересованных 😉… не волнуйтесь, это будет не последний, хе-хе, следующий будет иметь дело с такими же, но более конкретными правилами, более детализированными и повышающими безопасность. Я не хочу расширять это намного больше, потому что на самом деле необходимо, чтобы основы (то, что вы читаете здесь в начале) прекрасно понимали 🙂

Приветствую и ... давай, проясняю сомнения, раз уж ты знаешь ответ LOL !! (Я далеко не эксперт в этом хахаха)


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

40 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   эзиток сказал

    Очень хорошо! Просто вопрос? Вы хоть представляете, каковы настройки по умолчанию? Параноидальный вопрос, что я просто: D.

    Большое спасибо.

    1.    КЗКГ ^ Гаара сказал

      По умолчанию, по умолчанию он принимает все. Другими словами, сервис, который вы ставите на свой компьютер ... сервис, который будет общедоступным для всех остальных 😀
      Вы понимаете?

      Итак ... когда вы не хотите, чтобы веб-сайт X видел его И ваш друг, или определенный IP-адрес, появляется брандмауэр, htaccess или какой-либо метод для запрета доступа.

  2.   Faustod сказал

    С уважением,

    Брат, отлично !!!! Сейчас я прочту первое ...

    Спасибо за вашу помощь…
    Дисла

  3.   Rockandroleo сказал

    Спасибо за учебник, он пригодился.
    Единственное, что я хочу знать или убедиться, это то, что с этими инструкциями у меня не возникнет проблем, например, с выполнением p2p-переводов, загрузкой файлов или видеозвонками. Из того, что я прочитал, никаких проблем быть не должно, но я предпочитаю убедиться, прежде чем вводить строки.
    Спасибо сейчас.
    Привет.

    1.    КЗКГ ^ Гаара сказал

      У вас не должно возникнуть проблем, однако это довольно простая конфигурация, в следующем уроке я более подробно объясню, как добавлять свои собственные правила, в зависимости от необходимости каждого из них и т. Д. 🙂

      Но повторяю, у вас не должно возникнуть проблем, если они у вас есть просто перезагрузите компьютер и вуаля, как будто вы никогда не настраивали iptables 😀

      1.    тау сказал

        Рестарт ? Звучит очень подозрительно. В худшем случае вам просто нужно сбросить правила iptables и установить политики по умолчанию на ACCEPT, и проблема будет исправлена, так что rockandroleo, у вас не будет проблем.

        Saludos!

  4.   Rockandroleo сказал

    И, извините, что сделаю еще один запрос, но поскольку мы говорим о брандмауэре, возможно, вы объясните, как применять эти же команды в графических интерфейсах брандмауэра, таких как gufw или firestarter.
    Заранее спасибо.
    Привет.

    1.    КЗКГ ^ Гаара сказал

      Я объясню Firestarter, черт возьми, я его только видел и не использовал как таковой, может быть, я объясню это вкратце или может быть Elav сделай сам 🙂

  5.   Асуарто сказал

    Потом, когда мне захочется почувствовать себя хакером, я прочитаю это, мне всегда хотелось узнать о безопасности.

  6.   Дэниел сказал

    Отличный учебник, я думаю, что он хорошо объяснен, и хотя он шаг за шагом, тем лучше, как говорится, для чайников.

    Привет.

    1.    КЗКГ ^ Гаара сказал

      хахахаха спасибо 😀

  7.   Литос523 сказал

    Отлично.
    Понятно объяснил.
    Нам нужно будет прочитать его и перечитать до тех пор, пока мы не усвоим наши знания, а затем продолжим изучение следующих руководств.
    Спасибо за статью.

    1.    КЗКГ ^ Гаара сказал

      Спасибо 😀
      Я попытался объяснить это так, как хотел бы, чтобы это объяснили мне впервые, LOL !!

      Привет 🙂

  8.   Оскар сказал

    Очень хорошо, я тестирую, и он работает правильно, что соответствует автоматическому запуску правил в начале, я оставлю его, когда вы опубликуете вторую часть, до тех пор у меня будет немного больше работы, набирая команды каждый раз, когда я перезапускаю ПК, спасибо другу за туто и за то, как быстро вы его опубликовали.

  9.   Хосе М. сказал

    спасибо за рекомендации и объяснения.

    Вы можете увидеть, что применимо к iptables, с помощью:

    sudo iptables -L

    1.    КЗКГ ^ Гаара сказал

      Точно 😉
      Я добавляю n фактически:
      iptables -nL

  10.   Alex сказал

    Спасибо за туториал, жду вторую часть, привет.

  11.   Уильям сказал

    когда выйдет вторая часть

  12.   Джонисар сказал

    У меня есть прокси-сервер со squid на Machine1, он предоставит доступ к Интернету другим машинам на этом LAN 192.168.137.0/24, и он прослушивает 192.168.137.22:3128 (я открываю порт 3128 для всех, у кого есть firestarter), с Machine1, если Я поставил firefox для использования прокси 192.168.137.22:3128, он работает. Если с другого компьютера с ip 192.168.137.10, например, Machine2, я настроил его на использование прокси 192.168.137.22:3128, он не работает, за исключением случаев, когда на Machine1 я установил firestarter для совместного использования Интернета с локальной сетью, если прокси работает, данные потока передаются через прокси, но если на Machine2 они удаляют использование прокси и правильно указывают шлюз, они смогут свободно перемещаться.
    О чем это?
    Какие бы правила были с iptables?

  13.   Geronimo сказал

    «Я стараюсь оставаться на темной стороне силы, потому что именно в этом заключается радость жизни». и с бредом джедаев хахахахаха

  14.   Carlos сказал

    Очень хорошо! Я немного опоздал, да? Ха-ха, посту около двух лет, но я был более чем полезен .. Я благодарю вас за то, что вы объяснили его так просто, что я мог его понять, ха-ха, я продолжаю с другими частями ..

    1.    КЗКГ ^ Гаара сказал

      Спасибо за чтение 🙂

      Да, этот пост не совсем новый, но он все еще очень полезен, я думаю, он почти ничего не изменил в работе межсетевых экранов

      Приветствую и спасибо за комментарий

  15.   лев сказал

    Какое объяснение с цветами и всем остальным. Я "начинающий" пользователь, но с большим желанием изучить Linux, недавно я читал сообщение о скрипте nmap, чтобы узнать, кто подключился к моей сети, и не заставлять вас долго, в комментарии к этому сообщению пользователь сказал что Мы применим известную первую строку, которую вы поместили из iptables, и этого было достаточно, и поскольку я огромный нубстер, я применил ее, но, как вы здесь написали, она не вошла в Интернет
    Спасибо за этот пост, объясняющий использование iptables, я надеюсь, что вы расширите его и полностью объясните мне его общую работу. Ура!

    1.    КЗКГ ^ Гаара сказал

      Спасибо за чтение и комментарии 🙂
      iptables феноменален, он настолько хорошо выполняет свою работу по выключению, что ... мы даже не можем выбраться сами, это точно, если мы не знаем, как его настроить. Вот почему я постарался объяснить iptables как можно проще, потому что иногда не каждый может что-то понять с первого раза.

      Спасибо за комментарий, с уважением ^ _ ^

      PS: По поводу расширения поста вот вторая часть: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    лев сказал

        Что ж, большое спасибо, если я прочитал вторую часть и сразу начал играть на консоли с вашим потрясающим гайдом. Большое спасибо, эй, кстати, я надеюсь, что вы можете мне помочь, так как я немного сомневаюсь, и, как вы хорошо знаете, я новичок, пытающийся узнать об этом замечательном бесплатном программном обеспечении, кстати, недавно у меня был установлен другой дистрибутив к которому я изменил строку файла dhcp.config и оставил ее так:
        # отправить имя хоста ""; Что ж, у меня это сработало в этом дистрибутиве, и все было хорошо, имя моего компьютера не отображается на dhcp-сервере моего маршрутизатора, только значок компьютера, но в этом новом дистрибутиве я изменил ту же строку, оставив ее прежней, но это не работает. Не могли бы вы немного помочь мне? 🙁 Пожалуйста ...

        1.    КЗКГ ^ Гаара сказал

          Теперь это может быть что-то более сложное или обширное, создайте тему на нашем форуме (forum.desdelinux.net), и мы все поможем вам в этом 🙂

          Спасибо за чтение и комментирование

          1.    лев сказал

            Готово, спасибо за ответ. Завтра утром я займусь этой темой и надеюсь, что вы мне поможете, привет и, конечно же, объятия.

  16.   Диего сказал

    Отличная статья.
    Как вы думаете, с этим я могу реализовать брандмауэр с помощью iptables в моем доме, или мне нужно знать что-то еще? У вас есть какой-нибудь учебник по настройке или он остается с этими статьями?
    привет

    1.    КЗКГ ^ Гаара сказал

      На самом деле это был базовый и средний, если вам нужно что-то более продвинутое (например, ограничения на количество подключений и т. Д.), Вы можете проверить все сообщения, в которых говорится об iptables здесь - » https://blog.desdelinux.net/tag/iptables

      Однако с этим у меня почти весь локальный брандмауэр 🙂

  17.   Ворона сказал

    Они совсем не кажутся плохими.
    Но это что-то изменит.

    Я бы отбросил ввод и перешел и принял вывод
    -P ВВОД -m состояние –state УСТАНОВЛЕНО, СВЯЗАННО -j ПРИНЯТЬ
    Этого было бы достаточно, чтобы newbi в iptables был "достаточно безопасным"
    Затем открываем нужные нам порты.
    Страничка мне очень нравится, у них очень хорошие вещи. Спасибо, что поделился!
    Привет!

  18.   ФГЗ сказал

    Добрый вечер всем, кто прокомментировал, но давайте посмотрим, сможете ли вы прояснить, почему я заблудился больше, чем волк в канализации, я кубинец, и я думаю, что мы всегда идем дальше по всем возможным темам и хорошо: Извините меня заранее, если это не имеет отношения к теме !!!

    У меня есть сервер UBUNTU Server 15, и оказалось, что у меня есть услуга, размещенная внутри, которая предоставляется другой программой, которая является потоковым ТВ, но я пытаюсь контролировать ее через MAC-адрес, чтобы управление портом, например, 6500, которое его выбирает случайно Никто не может войти через этот порт, если он не имеет MAC-адрес, указанный в iptables. Я выполнил конфигурацию этой статьи номер один, и она работает оченьyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy хорошо, лучше, чем я хотел, но я искал информацию в todooooooooooooo, и я не нашел счастливой конфигурации, позволяющей MAC-адресу использовать только определенный порт и ничего больше.

    заранее спасибо!

  19.   Николас Гонсалес сказал

    Здравствуйте, как дела, прочитал статью iptables для новичков, очень хорошо, поздравляю вас, я плохо разбираюсь в linux, поэтому хочу задать вам вопрос, у меня проблема, если можете помогите мне, я благодарю вас, у меня есть сервер с несколькими IP-адресами, и каждые несколько дней, когда сервер отправляет электронные письма через IP-адреса, которые находятся на сервере, он перестает отправлять электронные письма, поэтому для повторной отправки электронных писем я должен указать:

    /etc/init.d/iptables stop

    Когда я ставлю это, он снова начинает отправлять электронные письма, но через несколько дней он снова блокируется, можете ли вы сказать мне, какие команды я должен поставить, чтобы сервер не блокировал ip? Я читал и из того, что вы говорите страницу с этими двумя строками, которые должны быть решены:

    sudo iptables -A INPUT -i lo -j ПРИНЯТЬ
    sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT

    Но поскольку я не знаю, что это такое, прежде чем вводить эти команды, я хотел увидеть, не будут ли при этом больше блокироваться IP-адреса сервера, я жду вашего быстрого ответа. С уважением. Николай.

  20.   Смокинг MH сказал

    Здравствуйте, доброе утро, я прочитал ваш небольшой учебник, и он показался мне очень хорошим, и по этой причине я хотел бы задать вам вопрос:

    Как я могу перенаправить запросы, которые приходят через интерфейс lo (localhost) на другой компьютер (другой IP) с тем же портом, я использую что-то вроде этого

    iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –to 148.204.38.105:3306

    но он меня не перенаправляет, я отслеживаю порт 3306 с помощью tcpdump, и если он получает пакеты, но не отправляет их на новый IP-адрес, но если я делаю запросы с другого компьютера, он перенаправляет их. Короче говоря, он перенаправляет мне то, что входит через -i eth0, но не то, что приходит через -i lo.

    Заранее я ценю большую или небольшую помощь, которую вы можете мне оказать. салу2.

  21.   никола сказал

    Здравствуйте, как дела, страничка очень хорошая, на ней много информации.

    У меня проблема, и я хотел посмотреть, можете ли вы мне помочь, у меня PowerMta установлен в Centos 6 с Cpanel, проблема в том, что через несколько дней PowerMta перестает отправлять электронные письма извне, это похоже на то, что IP-адреса заблокированы, и каждый день я должен размещать команду /etc/init.d/iptables stop, после чего PowerMta снова начинает отправлять электронные письма за границу, и проблема решается на несколько дней, но затем это происходит снова.

    Знаете ли вы, как я могу решить эту проблему? Есть ли что-то, что я могу настроить на сервере или в брандмауэре, чтобы этого не повторилось? Поскольку я не знаю, почему это происходит, если вы можете мне помочь, я спасибо, надеюсь на ваш скорейший ответ.

    Привет.

    Николя.

  22.   Луис Дельгадо сказал

    Прекрасное и очень четкое объяснение. Я искал книги, но они очень обширны, а мой английский не очень хорош.
    Вы знаете какие-нибудь книги на испанском, которые вы порекомендуете?

  23.   fbec сказал

    Как насчет доброго утра, очень хорошо объяснено, но у меня все еще нет входа из Интернета, я объясню, у меня есть сервер с Ubuntu, на котором есть две сетевые карты, одна с такой конфигурацией Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 и второй с этим другим Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Маска: 255.255.255.0, где второй - тот, который есть у моего шлюза, то есть 192.168.1.64, но первая карта - это та, которая управляет моими камерами, и я хочу видеть их с Интернет с моего фиксированного IP ,,, Я могу видеть их по локальной сети, но не из Интернета, не могли бы вы мне помочь? , или если мой роутер неправильно настроен, то это tp-link archer c2 ,,, спасибо

  24.   Луис Кастро сказал

    Здравствуйте, я только что сделал это на своем сервере, и вы знаете, как мне это восстановить?
    iptables -P ПАДЕНИЕ ВВОДА
    Я оставляю тебе свою электронную почту ing.lcr.21@gmail.com

  25.   электрические установки сказал

    Я довольно долго искал качественные сообщения или сообщения в блогах по этому поводу. Погуглил я наконец нашел этот сайт. Прочитав эту статью, я убедился, что нашел то, что искал, или, по крайней мере, у меня появилось то странное чувство, что я обнаружил именно то, что мне нужно. Конечно, я позабочусь о том, чтобы вы не забыли этот сайт и рекомендовали его, я планирую посещать вас регулярно.

    привет

  26.   na сказал

    Я тебя очень поздравляю! Я прочитал много страниц iptables, но ни одна из них не объясняется так просто, как ваша; отличное объяснение !!
    Спасибо, что облегчили мне жизнь этими объяснениями!

  27.   Anonimous сказал

    На мгновение я чувствую себя арабом xD