iptables za novince, radovedne, zainteresirane

Vedno sem mislil, da varnost nikoli ne škodi in je ni nikoli dovolj (zato živahno Označuje me kot obsesivnega in psihotičnega varnostnega manijaka ...), zato tudi ko uporabljam GNU / Linux, ne zanemarjam varnosti svojega sistema, svojih gesel (naključno ustvarjeno z pwgen) itd.

Poleg tega tudi, ko sistem tip Unix so nedvomno zelo varni, zato jih je nedvomno priporočljivo uporabljati požarni zid, ga pravilno konfigurirajte, da bo čim bolj zaščiten 🙂

Tukaj vam bom brez večjih težav, zapletov ali zapletenih podrobnosti razložil, kako poznati osnove iptables.

Ampak ... Kaj za vraga so iptables?

iptables Je del jedra Linuxa (modul), ki se ukvarja s filtriranjem paketov. To je rečeno drugače, to pomeni iptables To je del jedra, katerega naloga je vedeti, katere informacije / podatke / paket želite vnesti v svoj računalnik in katere ne (in naredi več stvari, vendar se zaenkrat osredotočimo na to hehe).

To bom razložil na drug način 🙂

Mnogi na svojih distribucijskih sistemih uporabljajo požarne zidove, Firestarter o firehol, vendar ti požarni zidovi dejansko "od zadaj" (v ozadju) uporaba iptables, potem ... zakaj ne bi uporabljali neposredno iptables?

In to bom tukaj na kratko razložil 🙂

Zaenkrat obstaja kakšen dvom? 😀

Za delo z iptables potrebno je imeti administrativna dovoljenja, zato bom tukaj uporabil sudo (če pa vnesete všeč koren, ni potrebe).

Da je naš računalnik resnično varen, si moramo dovoliti le tisto, kar želimo. Videti je, da je tvoj računalnik tvoj dom. Privzeto NE dovoliš nikomur noter, lahko vstopijo samo določene osebe, ki si jih prej odobril, kajne? Enako se zgodi z požarnimi zidovi, privzeto nihče ne more vstopiti v naš računalnik, vstopiti lahko samo mi 🙂

Da bi to dosegli, pojasnjujem naslednje korake:

1. Odprite terminal, vanj vstavite naslednje in pritisnite [vnesite]:

sudo iptables -P INPUT DROP

To bo dovolj, da nihče, popolnoma nihče ne more vstopiti v vaš računalnik ... in ta "nihče" vključuje tudi vas 😀

Pojasnilo prejšnje vrstice: Z njo iptables označujemo, da je privzeti pravilnik (-P) za vse, kar želi vstopiti v naš računalnik (INPUT), da ga ignorira, prezre (DROP)

Nihče ni povsem splošen, pravzaprav absolutno, niti vi sami ne boste mogli brskati po internetu ali kar koli drugega, zato moramo v tem terminalu postaviti naslednje in pritisniti [vnesite]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... ne razumem sranja, Kaj počneta zdaj ti dve čudni liniji? ...

Preprosto 🙂

V prvi vrstici piše, da je računalnik sam (-i lo ... mimogrede, lo = localhost) lahko počne, kar želi. Nekaj ​​očitnega, kar se morda zdi absurdno ... ampak verjemite mi, da je tako pomembno kot zrak haha.

V drugi vrstici bom razložil z zgledom / primerjavo / metaforo, ki sem jo uporabil prej, mislim, da primerjam računalnik s hišo. Recimo, da živimo na primer v svoji hiši več ljudi (mati, oče, bratje, dekle itd.) ). Če kdo od teh ljudi zapusti hišo, je očitno / logično, da jih bomo spustili, ko se vrnejo, ne?

Natanko to počne ta druga vrstica. Vse povezave, ki jih vzpostavimo (ki prihajajo iz našega računalnika), ko prek te povezave želite vnesti nekaj podatkov, iptables bo te podatke pustil noter. Če navedemo še en primer za razlago, če poskušamo brskati po internetu, brez teh dveh pravil ne bomo mogli, no ja ... brskalnik se bo povezal z internetom, ko pa bo poskušal prenesti podatke ( .html, .gif itd.) v naš računalnik, da bi nam ga pokazal, ne bo mogel iptables Zavrnil bo vnos paketov (podatkov), medtem ko bo s temi pravili, ko bomo povezavo vzpostavili od znotraj (iz našega računalnika) in ta ista povezava tista, ki poskuša vnesti podatke, omogočil dostop.

Ko smo že pripravljeni, smo že izjavili, da nihče ne more dostopati do nobene storitve v našem računalniku, nihče razen računalnika samega (127.0.0.1) in tudi, razen povezav, ki se zaženejo v računalniku samem.

Zdaj bom na hitro razložil še eno podrobnost, ker bo drugi del te vaje razložil in zajel več o tem hehe, ne želim napredovati preveč 😀

Zgodi se, da imajo na primer na svojem računalniku objavljeno spletno stran in želijo, da jo vidijo vsi, saj smo prej izjavili, da vse privzeto NI dovoljeno, razen če ni drugače določeno, nihče ne bo mogel videti našega Spletna stran. Zdaj bomo omogočili, da si lahko vsi ogledajo spletno mesto ali spletna mesta, ki jih imamo v svojem računalniku, zato bomo postavili:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

To je zelo enostavno razložiti 😀

S to vrstico izjavljamo, da sprejemate ali dovolite (-j SPREJEM) ves promet do vrat 80 (–Prikaz 80) naj bo TCP (-p tcp) in da gre tudi za dohodni promet (-A VHOD). Pristavil sem vrata 80, ker so to vrata spletnega gostitelja, to je ... ko poskuša brskalnik odpreti spletno mesto v računalniku X, je vedno videti privzeto na teh vratih.

Zdaj ... kaj storiti, ko veste, katera pravila naj nastavijo, ko pa znova zaženemo računalnik, vidimo, da spremembe niso bile shranjene? ... no, za to sem danes že naredil še eno vadnico:

Kako samodejno zagnati pravila iptables

Tam podrobno razložim 😀

In tu se konča 1. vadnica na iptables za novince, radovedne in zainteresirane 😉 ... brez skrbi, ne bo zadnji hehe, naslednji se bo ukvarjal z enakimi, vendar bolj natančnimi pravili, vse podrobneje podrobno opisal in povečal varnost. Tega ne bi rad podaljšal še bolj, ker je v resnici nujno, da ga baze (kar ste prebrali tukaj na začetku) popolnoma razumejo 🙂

Lep pozdrav in ... dajte no, razjasnim dvome, dokler poznate odgovor LOL !! (Nisem daleč strokovnjak za to hahaha)


41 komentarja, pustite svojega

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   ezitoc je dejal

    Zelo dobro! Samo vprašanje? Ali veste, kakšne so privzete nastavitve? Vprašanje je paranoično, da sem samo: D.

    Hvala lepa.

    1.    KZKG ^ Gaara je dejal

      Privzeto in privzeto sprejme vse. Z drugimi besedami, storitev, ki jo vstavite v svoj računalnik ... storitev, ki bo preostala javna 😀
      Ti razumeš?

      Torej ... ko ne želite, da ga X spletno mesto vidi IN vašega prijatelja ali določen IP, pride požarni zid, htaccess ali kakšen način za zavrnitev dostopa.

  2.   faustod je dejal

    S spoštovanjem,

    Bratec, odlično !!!! Zdaj bom prebrala prvo ...

    Hvala za vašo pomoč…
    disla

  3.   rokenrol je dejal

    Hvala za vadnico, pride prav.
    Edino, kar želim vedeti ali se prepričati, je, da s temi navodili na primer ne bom imel težav s prenosom p2p, prenosom datotek ali video klicem. Glede na to, kar sem prebral ne, ne bi smelo biti težav, vendar se raje prepričam pred vstopom v vrstice.
    Hvala od zdaj.
    Lep pozdrav.

    1.    KZKG ^ Gaara je dejal

      Ne bi smeli imeti težav, vendar je to dokaj osnovna konfiguracija, v naslednji vadnici vam bom podrobneje razložil, kako dodati svoja pravila, odvisno od potrebe posameznega itd. 🙂

      Ampak ponavljam, ne bi smeli imeti težav, če jih imate, samo znova zaženite računalnik in voila, kot da nikoli niste konfigurirali iptables 😀

      1.    tau je dejal

        Ponovni zagon ? Sliši se zelo okno. V najslabšem primeru morate le izprazniti pravila iptables in nastaviti privzete politike na ACCEPT in zadeva je odpravljena, zato rockandroleo, ne boste imeli težav.

        Saludos!

  4.   rokenrol je dejal

    In, žal, da sem dal še eno zahtevo, toda ker smo na temi požarnega zidu, je mogoče, da razložite, kako te iste ukaze uporabiti v grafičnih vmesnikih požarnih zidov, kot sta gufw ali firestarter.
    Najprej hvala.
    Lep pozdrav.

    1.    KZKG ^ Gaara je dejal

      Razložil bom Firestarter, gufw, samo videl sem ga in ga nisem uporabil kot takega, mogoče bom na kratko razložil ali živahno naredi sam 🙂

  5.   assuarto je dejal

    Potem, ko se želim počutiti kot heker, ga bom prebral, vedno sem želel izvedeti več o varnosti

  6.   Daniel je dejal

    Odlična vadnica, zdi se mi dobro razložena in čeprav gre korak za korakom, bolje je, kot bi rekli, za lutke.

    Lep pozdrav.

    1.    KZKG ^ Gaara je dejal

      hahahaha hvala 😀

  7.   Lithos523 je dejal

    Super.
    Jasno razloženo.
    Prebrati ga bomo morali in prebrati, dokler se znanje ne poravna, nato pa nadaljujte z naslednjimi vajami.
    Hvala za članek.

    1.    KZKG ^ Gaara je dejal

      Hvala 😀
      Poskušal sem to razložiti, kot bi si želel, da mi je bilo razloženo prvič, LOL !!

      Lep pozdrav 🙂

  8.   Oscar je dejal

    Zelo dobro, preizkušam in deluje pravilno, kar ustreza samodejnemu zagonu pravil na začetku. Pustil bom, ko boste objavili drugi del, do takrat pa bom imel še nekaj dela s tipkanjem ukazov vsakič, ko bom znova zagnal PC, hvala prijatelju za tut in kako hitro si ga objavil.

  9.   Xose M. je dejal

    hvala za priporočilo in pojasnila.

    Ogledate si lahko, kaj velja za iptables z:

    sudo iptables -L

    1.    KZKG ^ Gaara je dejal

      Natančno 😉
      Dodam še n pravzaprav:
      iptables -nL

  10.   Alex je dejal

    Hvala za vadbo, veselim se drugega dela, lep pozdrav.

  11.   William je dejal

    kdaj bo izšel drugi del

  12.   jonissar je dejal

    Na Machine1 imam proxy z lignji, brskal bo po drugih napravah na tem lan 192.168.137.0/24 in poslušal na 192.168.137.22:3128 (odprem vrata 3128 za vse, ki imajo firestarter), iz Machine1, če dal sem Firefox za uporabo proxyja 192.168.137.22:3128 deluje. Če iz drugega računalnika z ip 192.168.137.10, na primer Machine2, nastavim, da uporablja proxy 192.168.137.22:3128, ne deluje, razen če na Machine1 dam Firestarter za skupno rabo interneta z LAN-om, če proxy deluje, podatki o toku potekajo prek strežnika proxy, če pa na Machine2 odstranijo uporabo strežnika proxy in pravilno usmerijo prehod, bodo lahko prosto krmarili.
    Za kaj gre?
    Kakšna bi bila pravila z iptables?

  13.   geronimo je dejal

    "Trudim se ostati na temni strani sile, saj je tam zabava življenja." in z delirijem jedi hahahahaha

  14.   Carlos je dejal

    Zelo dobro! Malo sem pozen, kajne? haha objava je stara približno 2 leti, vendar sem bila več kot koristna .. hvala, ker ste jo tako enostavno razložili, da sem jo lahko razumel haha ​​nadaljujem z drugimi deli ..

    1.    KZKG ^ Gaara je dejal

      Hvala za branje 🙂

      Da, prispevek ni povsem nov, je pa vseeno zelo koristen, saj v zadnjem desetletju v delovanju požarnih zidov ni spremenil skoraj ničesar 😀

      Lep pozdrav in hvala za komentar

  15.   lev je dejal

    Kakšna razlaga s cvetjem in vsem. Sem "začetnik" uporabnik, vendar z veliko želje po učenju Linuxa, pred kratkim berem prispevek o skriptu nmap, da bi ugotovil, kdo se je povezal z mojim omrežjem, in ne, da bi vas dal dolgo. da bomo uporabili znamenito prvo vrstico, ki ste jo postavili iz iptables, in to je bilo dovolj, in ker sem izjemen noobster, sem jo uporabil, a kot ste zapisali tukaj, ni vstopila v internet 🙁
    Hvala za to objavo, ki razlaga uporabo iptables, upam, da jo razširite in v celoti razložite njeno polno delovanje. Na zdravje!

    1.    KZKG ^ Gaara je dejal

      Hvala vam za branje in komentiranje 🙂
      iptables je fenomenalen, svojo nalogo zaustavi tako dobro, da ... niti sami ne moremo ven, to je zagotovo, razen če ga ne znamo konfigurirati. Zato sem poskušal čim bolj preprosto razložiti iptable, saj včasih vsi ne znajo nekaj razumeti prvič.

      Hvala za komentar, pozdrav ^ _ ^

      PS: O podaljšanju objave je tu 2. del: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    lev je dejal

        No, najlepša hvala, če sem prebral drugi del in takoj začel igrati na konzoli z vašim izjemnim vodnikom. Najlepša hvala, hej, mimogrede, upam, da mi lahko pomagate, saj malo dvomim in kot dobro veste, sem novinec, ki se poskušam učiti o tej čudoviti brezplačni programski opremi, do te mere, da sem pred kratkim namestil drugačno distro na katero sem datoteko dhcp.config spremenil vrstico in jo pustil tako:
        #send ime-gostitelja ""; No, v tej distribuciji mi je uspelo in vse je bilo v redu, moje ime računalnika se ne pojavi na strežniku dhcp mojega usmerjevalnika, samo ikona računalnika, vendar sem v tem novem distro distribuciji spremenil isto vrstico in pustil enako, vendar ni uspelo. Bi me lahko malo usmeril? 🙁 Prosim ...

        1.    KZKG ^ Gaara je dejal

          Ya esto puede ser algo más complejo o extenso, crea un tema en nuestro foro (foro.desdelinux.net) y ahí entre todos te ayudamos 🙂

          Hvala za branje in komentiranje

          1.    lev je dejal

            Pripravljen, hvala za odgovor. Jutri zjutraj naredim temo in upam, da mi lahko pomagate, pozdrav in seveda objem.

  16.   Diego je dejal

    Odličen članek.
    Ali menite, da lahko s tem v svoji hiši uporabim požarni zid z uporabo iptables ali moram vedeti kaj drugega? Ali imate kakšno vadnico za konfiguracijo ali s temi članki ostaja?
    pozdrav

    1.    KZKG ^ Gaara je dejal

      Pravzaprav so bile to osnove in sredstva, če želite kaj bolj naprednega (na primer omejitev povezave itd.), Lahko tukaj preverite vse objave, ki govorijo o iptables - » https://blog.desdelinux.net/tag/iptables

      Vendar imam s tem skoraj ves svoj lokalni požarni zid 🙂

  17.   Vrana je dejal

    Za začetek se mi sploh ne zdijo slabe.
    Toda nekaj bi spremenilo.

    Spustil bi vhod in naprej ter sprejel izhod
    -P INPUT -m stanje –stanje VZPOSTAVLJENO, POVEZANO -j SPREJEM
    To bi zadostovalo, da bi bil newbi v iptablih "dokaj varen"
    Nato odprite vrata, ki jih potrebujemo.
    Stran mi je zelo všeč, imajo zelo dobre stvari. Hvala za deljenje!
    Lep pozdrav!

  18.   fgz je dejal

    Dober večer vsem, ki so komentirali, ampak poglejmo, če lahko pojasnite, zakaj sem bolj izgubljen kot volk v kanalizaciji, sem Kubanec in mislim, da gremo vedno dlje glede vseh možnih tem in no: Oprostite mi vnaprej, če to nima nobene zveze s temo !!!

    Imam strežnik UBUNTU Server 15 in izkazalo se je, da imam znotraj gostovano storitev, ki jo zagotavlja drug program, ki oddaja TV, vendar jo poskušam nadzorovati prek naslova MAC, tako da nadzor vrat, na primer 6500, ki ga izbere naključno Nihče ne more vstopiti skozi ta vrata, razen če je z naslovom MAC, navedenim v iptables. Konfiguracije tega članka številka ena sem naredil zelo dobro in boljše kot sem hotel, vendar sem informacije poiskal v todooooooooooooooo in nisem našel vesele konfiguracije, ki bi dovolila, da mac naslov uporablja samo določena vrata in nič drugega.

    Hvala v naprej!

  19.   Slika nadomestnega znaka Nicolasa Gonzaleza je dejal

    Pozdravljeni, kako ste, prebral sem članek iptables za novince, zelo dober, čestitam vam, o Linuxu ne vem veliko, zato vas želim vprašati, imam težavo, če lahko pomagajte, hvala. Imam strežnik z več IP-ji in vsakih nekaj dni, ko strežnik pošilja e-pošto prek IP-jev, ki so na strežniku, neha pošiljati e-pošto, zato moram za ponovno pošiljanje e-pošte dodati:

    /etc/init.d/iptables stop

    Ko to dam, začne spet pošiljati e-pošto, a po nekaj dneh se spet blokira, mi lahko poveste, katere ukaze moram dati, da strežnik ne blokira IP-jev? Bral sem in iz tega, kar ste rekli na strani, z Ti dve vrstici bi bilo treba rešiti:

    sudo iptables -A INPUT -i lo -j SPREJEM
    sudo iptables -A INPUT -m state -state VZPOSTAVLJENO, POVEZANO -j SPREJEM

    Ker pa ne vem, ali je to kaj, sem pred vnosom teh ukazov želel preveriti, ali s tem IP-ji strežnika ne bodo več blokirani, čakam na vaš hiter odgovor. S spoštovanjem. Nikolaja.

  20.   Tux MH je dejal

    Pozdravljeni, dobro jutro, prebrala sem vašo malo vadnico in zdela se je zelo dobra, zato bi vas rada vprašala:

    Kako lahko preusmerim zahteve, ki vstopijo prek vmesnika lo (localhost) v drug računalnik (drug IP) z istimi vrati, uporabljam nekaj takega

    iptables -t nat -A PREDIZVAJANJE -p tcp –port 3306 -j DNAT –do 148.204.38.105:3306

    vendar me ne preusmeri, nadzorujem vrata 3306 s tcpdump in če prejme pakete, vendar jih ne pošlje na novi IP, če pa pošiljam zahteve iz drugega računalnika, jih preusmeri. Skratka, preusmeri me, kaj pride skozi -i eth0, ne pa tistega, kar pride skozi -i lo.

    Vnaprej cenim veliko ali malo pomoči, ki mi jo lahko zagotovite. salu2.

  21.   Nicolas je dejal

    Pozdravljeni, kako ste, stran je zelo dobra, vsebuje veliko informacij.

    Imam težavo in želel sem preveriti, ali mi lahko pomagate. PowerMta imam nameščen v Centos 6 s Cpanelom. Težava je v tem, da PowerMta po nekaj dneh neha pošiljati e-pošto na zunaj, kot da so IP blokirani vsak dan moram postaviti ukaz /etc/init.d/iptables stop, s tem pa PowerMta začne spet pošiljati e-pošto v tujino, s tem pa je težava rešena nekaj dni, potem pa se ponovi.

    Ali veste, kako lahko rešim težavo? Ali lahko kaj nastavim na strežniku ali požarnem zidu, da se to ne ponovi? Ker ne vem, zakaj se to dogaja, če mi lahko pomagate hvala, upam, da boste kmalu odgovorili.

    Lep pozdrav.

    Nikolaja.

  22.   Louis Delgado je dejal

    Odlična in zelo jasna razlaga. Iskal sem knjige, vendar so zelo obsežne in moja angleščina ni zelo dobra.
    Ali poznate knjige, ki jih priporočate v španščini?

  23.   fbec je dejal

    Kaj pa dobro jutro, zelo dobro razloženo, vendar še vedno nimam vhoda iz interneta, razložil bom, imam strežnik z Ubuntujem, ki ima dve omrežni kartici, eno s to konfiguracijo Encap povezave: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 in drugi s to povezavo: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Maska: 255.255.255.0, pri čemer je drugi tisti, ki ga ima moj prehod, to je 192.168.1.64, toda prva kartica je tista, ki nadzoruje moje kamere in jih želim videti od internet iz mojega fiksnega ip-ja ,, vidim jih z lan-a, ne pa z interneta, mi lahko pomagaš pri tem? , ali če je moj usmerjevalnik napačno konfiguriran, je tp-link archer c2 ,, hvala

  24.   louis castro je dejal

    Pozdravljeni, pravkar sem to storil na svojem strežniku in veste, kako ga lahko obnovim?
    iptables -P INPUT DROP
    Pustil sem vam svoj e-poštni naslov ing.lcr.21@gmail.com

  25.   električne inštalacije je dejal

    Malo sem iskal kakovostne objave ali objave v blogu o tej vsebini. Googlanje Končno sem našel to spletno stran. Z branjem tega članka sem prepričan, da sem našel tisto, kar sem iskal, ali vsaj imam ta nenavaden občutek, natančno odkril, kar sem potreboval. Seveda vas ne bom pozabil na to spletno stran in priporočil, nameravam vas redno obiskovati.

    pozdrav

  26.   na je dejal

    Resnično vam čestitam! Prebral sem veliko strani iptables, vendar nobene tako preprosto razložene kot vaše; odlična razlaga !!
    Hvala, ker ste mi s temi razlagami olajšali življenje!

  27.   Anonimno je dejal

    Za trenutek se počutim arabsko xD

  28.   Victor Andres Embryos.lan je dejal

    Moj učitelj to uporablja za poučevanje, zahvale in pozdrave. tolpa