Vždy som si myslel, že bezpečnosť nikdy neublíži a nikdy jej nie je dosť (preto živý Označuje ma za obsedantného a psychotického bezpečnostného maniaka ...), takže ani keď používam GNU / Linux, nezanedbávam bezpečnosť svojho systému, svojich hesiel (náhodne vygenerované pomocou pwgen), atď..
Ďalej, aj keď sú systémy typu unix sú bezpochyby veľmi bezpečné, odporúča sa bezpochyby použiť a firewall, nakonfigurujte to správne, aby ste boli čo najlepšie chránení 🙂
Tu vám bez väčších problémov, spleti alebo zložitých podrobností vysvetlím, ako poznať základy iptables.
Ale … Čo je to sakra iptables?
iptables Je to časť jadra Linuxu (modul), ktorá sa zaoberá filtrovaním paketov. Toto sa hovorí iným spôsobom, znamená to iptables je časť jadra, ktorej úlohou je vedieť, aké informácie / dáta / balík chcete do počítača zadať a čo nie (a robí viac vecí, ale teraz sa na to sústreďme hehe).
Vysvetlím to inak 🙂
Mnoho z nich používa brány firewall, Firestarter o firehol, ale tieto brány firewall skutočne „zozadu“ (v pozadí) použitie iptables, potom ... prečo nepoužívať priamo iptables?
A to je to, čo tu v krátkosti vysvetlím 🙂
Zatiaľ existujú pochybnosti? 😀
Pracovať s iptables je potrebné mať oprávnenie správcu, takže tu použijem sudo (ale ak zadáš lajk koreň, nie je potreba).
Aby bol náš počítač skutočne bezpečný, musíme dovoliť iba to, čo chceme. Pozerajte sa na svoj počítač, akoby to bol váš vlastný domov. Predvolene NECHÁTE nikoho dovnútra, vstúpiť doň môžu iba určití konkrétni ľudia, ktorých ste predtým schválili, však? To isté sa deje s bránami firewall, v predvolenom nastavení nemôže nikto vstúpiť do nášho počítača, iba tí z nás môžu vstúpiť 🙂
Aby som to dosiahol, vysvetľujem, tu sú kroky:
1. Otvorte terminál, do ktorého vložte nasledujúce a stlačte [vstúpiť]:
sudo iptables -P INPUT DROP
Bude to stačiť na to, aby nikto, absolútne nikto nemohol vstúpiť do vášho počítača ... a tento „nikto“ nezahŕňa vás 😀
Vysvetlenie predchádzajúceho riadku: Týmto označujeme iptables, že predvolená politika (-P) pre všetko, čo chce vstúpiť do nášho počítača (INPUT), je ignorovať to, ignorovať (DROP)Nikto nie je celkom všeobecný, v skutočnosti absolútny, ani vy sami nebudete môcť surfovať na internete ani nič, preto musíme do tohto terminálu vložiť nasledovné a stlačiť [vstúpiť]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... nerozumiem sračkám, Čo teraz robia tieto dve čudné rady? ...
Jednoduché 🙂
Prvý riadok, ktorý hovorí, je, že samotný počítač (-i lo ... mimochodom, lo = localhost) môže robiť, čo chce. Niečo zrejmé, čo sa môže zdať absurdné ... ale verte mi, že je to rovnako dôležité ako vzduch, haha.
Druhý riadok, ktorý vysvetlím na príklade / porovnanie / metaforu, ktorý som použil predtým, mám na mysli porovnanie počítača s domom 🙂 Predpokladajme napríklad, že v našom dome žijeme s viacerými ľuďmi (matka, otec, bratia, priateľka atď.) ). Ak niekto z týchto ľudí opustí dom, je zrejmé / logické, že ich po návrate pustíme dovnútra, nie?
Presne to robí tento druhý riadok. Všetky pripojenia, ktoré iniciujeme (ktoré pochádzajú z nášho počítača), keď prostredníctvom tohto pripojenia chcete zadať nejaké údaje, iptables tieto údaje povolí. Uvedieme ešte jeden príklad na vysvetlenie, ak sa pomocou nášho prehliadača pokúsime surfovať na internete, bez týchto dvoch pravidiel nebudeme schopní, no áno ... prehliadač sa pripojí k internetu, ale keď sa pokúsi stiahnuť údaje ( .html, .gif atď.) do nášho počítača, aby ste nám ukázali, že to nebudete môcť iptables Zakáže vstup paketov (údajov), zatiaľ čo s týmito pravidlami iniciujeme pripojenie zvnútra (z nášho počítača) a rovnaké pripojenie je to, ktoré sa pokúša zadať údaje, umožní prístup.
S touto pripravenosťou sme už deklarovali, že nikto nemá prístup k žiadnym službám v našom počítači, nikto okrem samotného počítača (127.0.0.1) a tiež okrem pripojení, ktoré sú spustené v samotnom počítači.
Teraz rýchlo vysvetlím ešte jeden detail, pretože druhá časť tohto tutoriálu vysvetlí a pokryje viac informácií o tejto hehe, nechcem príliš napredovať 😀
Stáva sa, že napríklad majú na svojom počítači zverejnenú webovú stránku a chcú, aby si ju každý mohol pozrieť, pretože predtým, ako sme vyhlásili, že všetko predvolene NIE JE povolené, pokiaľ nie je uvedené inak, nikto nebude môcť vidieť naše webovú stránku. Teraz prinútime kohokoľvek vidieť webovú stránku alebo webové stránky, ktoré máme v našom počítači, na čo vložíme:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Toto je veľmi jednoduché vysvetliť 😀
Týmto riadkom vyhlasujeme, že prijímate alebo povoľujete (-j PRIJAŤ) všetka premávka na port 80 (–Dport 80) urobte to TCP (-p TCP), a že ide aj o prichádzajúci prenos (-VSTUP). Dal som port 80, pretože to je port hostiteľa webu, to znamená ... keď sa prehliadač pokúsi otvoriť web v počítači X, vždy vyzerá ako predvolený na danom porte.
Teraz ... čo robiť, keď viete, aké pravidlá je potrebné nastaviť, ale po reštartovaní počítača vidíme, že zmeny neboli uložené? ... no, za to som už dnes urobil ďalší tutoriál:
Ako automaticky spustiť pravidlá iptables
Tam to podrobne vysvetľujem 😀
A tu končí 1. návod na tabuľky iptables pre nováčikov, zvedavé a zaujímavé 😉 ... nebojte sa, nebude to posledný hehe, ďalší sa bude zaoberať rovnakými, ale konkrétnejšími pravidlami, ktoré všetko podrobnejšie rozpíšu a zvýšia bezpečnosť. Nechcem to oveľa viac rozširovať, pretože v skutočnosti je potrebné, aby to základy (čo ste sa dočítali tu na začiatku) dokonale pochopili 🙂
Zdravím a ... no tak, objasňujem pochybnosti, pokiaľ poznáte odpoveď LOL !! (Nie som zďaleka odborník na toto hahaha)
Veľmi dobre! Len otázka? Máte predstavu, aké sú predvolené nastavenia? Otázka je paranoidná, že som len: D.
Děkuju mnohokrát.
V predvolenom nastavení prijíma všetko. Inými slovami, služba, ktorú umiestnite do svojho počítača ... služba, ktorá bude po zvyšok verejná 😀
Rozumieš?
Takže ... keď nechcete, aby to X web videl A VÁŠ priateľ alebo istá IP adresa, príde firewall, htaccess alebo nejaká metóda na odmietnutie prístupu.
S pozdravom,
Brat, vynikajúci !!!! Teraz si prečítam prvé ...
Vďaka za vašu pomoc…
disla
Ďakujem za návod, ktorý sa mi hodí.
Jediná vec, ktorú by som chcel vedieť alebo si byť istý, je, že podľa týchto pokynov nebudem mať problémy napríklad s prenosom p2p, sťahovaním súborov alebo videohovormi. Z toho, čo som čítal nie, by nemali byť žiadne problémy, ale radšej sa uistím pred vstupom do riadkov.
Vďaka od teraz.
Zdravím.
Nemali by ste mať problémy, ale toto je pomerne základná konfigurácia, v nasledujúcom návode vám podrobnejšie vysvetlím, ako pridať svoje vlastné pravidlá, v závislosti od potreby každého z nich atď. 🙂
Ale opakujem, nemali by ste mať problémy, ak ich máte, stačí reštartovať počítač a voila, akoby ste nikdy nekonfigurovali iptables 😀
Reštart ? Znie to veľmi okázalo. V najhoršom prípade stačí vyprázdniť pravidlá iptables a nastaviť predvolené politiky na ACCEPT a vec je opravená, takže rockandroleo, nebudete mať problémy.
Saludos!
Je nám ľúto, ale vzniesli sme ďalšiu požiadavku, ale pretože sa venujeme téme brány firewall, je možné, že vysvetlíte, ako tieto rovnaké príkazy aplikovať v grafických rozhraniach brán firewall, ako sú gufw alebo firestarter.
V prvom rade ďakujem.
Zdravím.
Vysvetlím Firestarter, asi som to iba videl a nepoužíval som ho, možno to vysvetlím stručne alebo možno živý urob to sama 🙂
Potom, keď sa chcem cítiť ako hacker, prečítam si to, vždy som sa chcel dozvedieť niečo o bezpečnosti
Výborný návod, zdá sa mi dobre vysvetlený, a hoci je to krok za krokom, tým lepšie, ako by sa dalo povedať, pre figuríny.
Zdravím.
hahahaha dakujem 😀
Skvelé.
Jasne vysvetlené.
Bude potrebné si ich prečítať a prečítať ich znova, kým sa vedomosti nezbavia, a potom pokračovať v nasledujúcich návodoch.
Ďakujem za článok.
Dakujem 😀
Snažil som sa to vysvetliť, ako by som si prial, aby mi to bolo vysvetlené prvýkrát, LOL !!
Zdravím 🙂
Veľmi dobré, testujem a funguje to správne, čo zodpovedá automatickému spusteniu pravidiel na začiatku. Ponechám to na čas, keď zverejníte druhú časť. Dovtedy budem mať o niečo viac práce s písaním príkazov pri každom reštartovaní PC, ďakujem priateľovi za túto a za to, ako rýchlo ste ju publikovali.
ďakujem za odporúčanie a vysvetlenie.
Môžete vidieť, čo platí pre iptables s:
sudo iptables -L
Presne 😉
Pridávam n vlastne:
iptables -nLĎakujem za návod, teším sa na druhú časť, pozdravujem.
kedy vyjde druhá časť
Mám proxy s chobotnicou na Machine1, dá prehliadanie internetu na iných strojoch na tom lan 192.168.137.0/24 a počúva 192.168.137.22:3128 (otváram port 3128 pre kohokoľvek s firestarter), z Machine1 ak dal som firefox na použitie proxy 192.168.137.22:3128 funguje to. Ak z iného počítača s IP 192.168.137.10, napríklad Machine2, nastavím ho na použitie proxy 192.168.137.22:3128 nefunguje, okrem prípadov, keď na Machine1 vložím firestarter na zdieľanie internetu s lan, tam ak proxy funguje, údaje o toku sú cez server proxy, ale ak na serveri Machine2 odstránia použitie servera proxy a nasmerujú bránu správne, budú sa môcť voľne pohybovať.
O čom to je?
Aké by boli pravidlá pre iptables?
„Snažím sa zostať na odvrátenej strane sily, pretože práve tu je zábava pre život.“ a s delíriom jedi hahahahaha
Veľmi dobre! Trochu meškám, že? haha príspevok má asi 2 roky, ale bol som viac ako užitočný .. Ďakujem, že si ho vysvetlil tak jednoducho, že som ho pochopil haha pokračujem ďalšími časťami ..
Ďakujem za prečítanie 🙂
Áno, príspevok nie je úplne nový, ale stále je veľmi užitočný, nezmenil takmer nič na fungovaní firewallov za posledné desaťročie si myslím 😀
Zdravím a ďakujem za komentár
Aké vysvetlenie s kvetmi a všetkým možným. Som používateľ „začiatočník“, ale s veľkou túžbou naučiť sa Linux, nedávno som čítal príspevok o skripte nmap, aby som zistil, kto sa pripojil k mojej sieti, a aby som ťa dlho neuviedol, v komentári k uvedenému príspevku povedal používateľ že použijeme slávny prvý riadok, ktorý si vložil z iptables a stačilo to, a keďže som ohromný noobster, tak som ho použil, ale ako si tu písal, do internetu sa nedostal 🙁
Ďakujem za tento príspevok vysvetľujúci použitie iptables, dúfam, že ho rozšírite a úplne mi vysvetlíte jeho celkovú činnosť. Na zdravie!
Ďakujem za prečítanie a komentovanie 🙂
iptables je fenomenálny, robí to tak, že sa vypína tak dobre, že ... nemôžeme vyjsť ani sami, to je isté, pokiaľ nevieme, ako to nakonfigurovať. Preto som sa pokúsil vysvetliť iptables čo najjednoduchšie, pretože niekedy nie každý dokáže prvýkrát niečomu porozumieť.
Ďakujem za komentár, s pozdravom ^ _ ^
PS: O predĺžení príspevku je tu druhá časť: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
No, ďakujem pekne, ak som si prečítal druhú časť a okamžite som začal hrať na konzole s vaším ohromným sprievodcom. Ďakujem pekne, mimochodom, dúfam, že mi pomôžete, pretože o tom trochu pochybujem a ako dobre viete, som nováčik, ktorý sa snaží dozvedieť viac o tomto úžasnom slobodnom softvéri. Nedávno som mal nainštalované iné distro do ktorého som upravil súbor dhcp.config riadok a nechal som ho takto:
#send host-name ""; Fungovalo to pre mňa v tom distre a všetko bolo v poriadku, moje pc meno sa neobjavuje na dhcp serveri môjho routera, iba ikona pc, ale v tomto novom distro som upravil ten istý riadok a nechal to rovnaké ale to nefungovalo. Mohli by ste ma trochu usmerniť? 🙁 Prosím ...
Keďže to môže byť niečo zložitejšie alebo rozsiahlejšie, vytvorte tému v našom fóre (fóre.desdelinux.net) a tam vám spolu pomôžeme 🙂
Ďakujem za prečítanie a komentovanie
Pripravený, ďakujem za odpoveď. Zajtra ráno urobím tému a dúfam, že mi pomôžete, pozdravy a samozrejme objatie.
Vynikajúci článok.
Myslíte si, že s týmto môžem implementovať firewall pomocou iptables v mojom dome alebo potrebujem vedieť niečo iné? Máte nejaký konfiguračný návod alebo k týmto článkom zostáva?
ide o
V skutočnosti to boli základy a znamená to, že ak chcete niečo pokročilejšie (napríklad limit pripojenia atď.), Môžete skontrolovať všetky príspevky, ktoré hovoria o iptables, tu - » https://blog.desdelinux.net/tag/iptables
Vďaka tomu však mám takmer celý svoj lokálny firewall 🙂
Na začiatok sa nezdajú vôbec zlé.
Ale niečo by to upravilo.
Odhodil by som vstup, preposlal a prijal výstup
-P VSTUP -m stav –stav STANOVENÉ, SÚVISIACE -j AKCEPTOVAŤ
To by stačilo na to, aby bol newbi v iptables „celkom bezpečný“
Potom otvorte porty, ktoré potrebujeme.
Stránka sa mi veľmi páči, majú veľmi dobré veci. Vďaka za zdieľanie!
Zdravím!
Dobrý večer všetkým, ktorí to komentovali, ale pozrime sa, či môžete objasniť, prečo som viac stratený ako vlk v stoku, som Kubánec a myslím si, že vždy ideme ďalej po každej možnej téme a dobre: Vopred ma ospravedlňte, ak nemá to nič spoločné s témou !!!
Mám server UBUNTU Server 15 a ukázalo sa, že mám vo vnútri hostenú službu, ktorú poskytuje iný program, ktorý je streamovaný z TV, ale snažím sa ju ovládať cez MAC adresu, aby ju vybrala napríklad kontrola portu, napríklad 6500 náhodne Nikto nemôže vstúpiť cez tento port, pokiaľ to nie je s MAC adresou uvedenou v iptables. Vytvoril som konfigurácie tohto článku číslo jedna a funguje to veľmi, aleyyyyyyyyyyyyyyyyyyyyyyyyyyyy, lepšie, ako som chcel, ale hľadal som informácie v todooooooooooooo a nenašiel som šťastnú konfiguráciu, ktorá by umožňovala mac adrese používať iba určitý port a nič iné.
vopred ďakujem!
Ahojte, ako sa máte, prečítal som si článok iptables pre nováčikov, je to veľmi dobré, blahoželám vám, neviem veľa o linuxe, preto vám chcem položiť otázku, mám problém, ak môžete pomôžte mi ďakujem, mám server s niekoľkými adresami IP a každých pár dní, keď server odosiela e-maily prostredníctvom adries IP, ktoré sú na serveri, prestane posielať e-maily, takže na ďalšie odosielanie e-mailov musím uviesť:
/etc/init.d/iptables zastaviť
Keď to dám, začne znova posielať e-maily, ale po niekoľkých dňoch sa to znova zablokuje. Môžete mi povedať, aké príkazy musím dať, aby server neblokoval adresy IP? Čítal som a z toho, čo hovoríte na stránke, s Tieto 2 riadky by bolo treba vyriešiť:
sudo iptables -A VSTUP -i lo -j AKCEPTOVAŤ
sudo iptables -A VSTUP -m stav –stav STANOVENÉ, SÚVISIACE -j PRIJAŤ
ale keďže neviem, či to tak je, pred zadaním týchto príkazov som chcel zistiť, či s tým už nebudú blokované adresy IP servera, čakám na vašu rýchlu odpoveď. S pozdravom. Mikuláša.
Ahoj dobré ráno, prečítal som si váš malý návod a zdalo sa mi to veľmi dobré, a preto by som vám rád položil otázku:
Ako môžem presmerovať požiadavky, ktoré vstupujú cez rozhranie lo (localhost) na iný počítač (inú IP) s rovnakým portom, používam niečo také
iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –do 148.204.38.105:3306
ale nepresmeruje ma to, monitorujem port 3306 pomocou tcpdump a ak prijíma pakety, ale neposiela ich na novú IP, ale ak urobím požiadavky z iného počítača, presmeruje ich to. Stručne povedané, presmeruje ma, čo prichádza cez -i eth0, ale nie to, čo prichádza cez -i lo.
Vopred si vážim veľkú alebo malú pomoc, ktorú mi môžete poskytnúť. salu2.
Dobrý deň, ako sa máte, stránka je veľmi dobrá, má veľa informácií.
Mám problém a chcel som zistiť, či mi môžete pomôcť. Mám nainštalovanú program PowerMta v Centos 6 s programom Cpanel. Problém je v tom, že po niekoľkých dňoch program PowerMta prestane posielať e-maily zvonku, je to, akoby boli blokované adresy IP, a každý jeden deň musím umiestňovať príkaz /etc/init.d/iptables stop, s tým, že PowerMta začne zasielať e-maily znova do zahraničia, s tým sa problém na pár dní vyrieši, ale potom sa to stane znova.
Viete, ako môžem problém vyriešiť? Existuje niečo, čo môžem nakonfigurovať na serveri alebo vo firewalle, aby sa to už nezopakovalo? Keďže neviem, prečo sa to deje, môžete mi pomôcť, ďakujem, dúfam, že čoskoro odpoviete.
Zdravím.
Mikuláša.
Vynikajúce a veľmi jasné vysvetlenie, hľadal som knihy, ktoré sú však veľmi rozsiahle a moja angličtina nie je veľmi dobrá.
Poznáte nejaké knihy, ktoré odporúčate v španielčine?
Čo tak dobré ráno, veľmi dobre vysvetlené, ale stále nemám prístup z internetu, vysvetlím to, mám server s Ubuntu, ktorý má dve sieťové karty, jednu s touto konfiguráciou Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Maska: 255.255.255.0 a druhá s týmto ďalším Link encap: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, kde druhá je tá, ktorú má moja brána, ktorá je 192.168.1.64, ale prvá karta je tá, ktorá ovláda moje fotoaparáty a chcem ich vidieť z internet z môjho fixného ip ,,, vidím ich z lan, ale nie z internetu, mohli by ste mi s tým pomôcť? , alebo ak je môj router ten, ktorý je nesprávne nakonfigurovaný, jedná sa o tp-link archer c2 ,,, vďaka
Dobrý deň, práve som to urobil na svojom serveri a viete, ako to môžem zistiť?
iptables -P INPUT DROP
Nechám ti svoj e-mail ing.lcr.21@gmail.com
Trochu som hľadal kvalitné príspevky alebo blogové príspevky týkajúce sa tohto obsahu. Google, nakoniec som našiel tento web. Čítaním tohto článku som presvedčený, že som našiel to, čo som hľadal, alebo mám aspoň ten zvláštny pocit, objavil som presne to, čo som potreboval. Samozrejme, že vás prinútim nezabudnúť na tento web a odporučiť ho, plánujem vás pravidelne navštevovať.
pozdravy
Naozaj ti blahoželám! Čítal som veľa stránok tabuľky iptables, ale žiadna nie je tak jednoducho vysvetlená ako vaša; vynikajúce vysvetlenie !!
Ďakujeme, že ste mi týmito vysvetleniami uľahčili život!
Na chvíľu sa cítim arabsky xD
Môj učiteľ to používa na vyučovanie, poďakovanie a pozdrav. gang