Када DesdeLinux Имао сам само неколико месеци и написао сам изузетно једноставан за разумевање туторијал о иптаблес-у: иптаблес за почетнике, радознале, заинтересоване (1. део) . Користећи метафоре попут поређења рачунара са кућом, заштитног зида са вратима куће, као и друге примере, на забаван начин објаснио сам, без толико техничких и сложених концепата, шта је заштитни зид, шта је иптаблес и како започети употребу и конфигурисати. Ово је наставак, 2. део претходног водича за иптаблес 🙂
Дешава се да сам пре неколико дана користећи везу Линкис АП (приступна тачка) ставио Ви-Фи у кућу своје девојке, иако локалитет у технолошком смислу није најинформисанији, односно није да постоји много опасности од пуцања , увек је добра идеја имати изврсну сигурност како на Ви-Фи тако и на рачунарима.
Нећу овде коментарисати безбедност Ви-Фи-ја, јер то није циљ поста, фокусираћу се на конфигурацију иптаблес коју тренутно користим на свом лаптопу.
У претходном посту сам објаснио да је потребно у заштитном зиду прво забранити сав долазни саобраћај, јер ово:
sudo iptables -P INPUT DROP
Тада морамо да дозволимо нашем рачунару да има дозволу за унос података:
sudo iptables -A INPUT -i lo -j ACCEPT
Као и прихватање пакета захтева који потичу са нашег рачунара:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
До сада наш рачунар може без проблема да се креће Интернетом, али нико из било ког другог окружења (ЛАН, Интернет, Вифи, итд.) Неће моћи да приступи нашем рачунару на било који начин. Почећемо да конфигуришемо иптаблес према нашим потребама.
Коришћење улогд-а за излаз иптаблес евиденција у другу датотеку:
Подразумевано иптаблес евиденције иду у дневник језгра, системски дневник или нешто слично ... у Арцху по дефаулту, тренутно се чак ни не сећам куда иду, зато користим улогд тако да су иптаблес евиденције у другој датотеци.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Давање приступа мом приватном серверу:
Не користим ВиртуалБок или било шта слично за виртуелизацију, већ имам виртуелни свој приватни сервер Кему + КВМ који мора бити у стању да се повеже са мојим преносним рачунаром као таквим, са иптаблес правилима која сам управо навео горе неће моћи, зато морам да дам дозволу ИП-у свог виртуелног сервера како би могао да приступи мом преносном рачунару :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
Детаљно ћемо описати овај ред, важно је да разумете шта сваки параметар значи, јер ће се они од сада много понављати:
-УЛАЗ : Кажем да ћу прогласити правило за долазни саобраћај
-и вирбр0 : Изјављујем да интерфејс преко којег ћу прихватити саобраћај није ето (ЛАН) или влан0 (Вифи), изричито кажем да је то мој интерфејс вирбр0, односно виртуелни мрежни интерфејс (интерни) преко којег мој лаптоп комуницира са мојим виртуелним сервером (и обрнуто)
-п тцп : Наводим протокол, најчешће се користе УДП и ТЦП, овде је заиста било довољно да се ово не стави, али ... уобичајено је навести врсту протокола који треба прихватити
-с 192.168.122.88 : Извор, извор пакета. Другим речима, правило се односи на пакете који потичу конкретно са ИП 192.168.122.88
-ј ПРИХВАТИ : Већ овде кажем шта желим да урадим са пакетима који одговарају горе наведеном, у овом случају прихватите.
Другим речима, као резиме, прихватићу пакете који потичу са ИП 192.168.122.88, али у случају да желите да унесете пакете који потичу са те ИП АЛИ! Они улазе са интерфејса који није вирбр0, то јест, рецимо да покушавају да унесу пакете са ИП 192.168.122.88, али су са рачунара у нашој Ви-Фи мрежи, ако је то случај, пакети ће бити одбијени. зашто? Будући да јасно прецизирамо да, прихватамо пакете са 192.168.122.88 да, али и само, али они такође морају да уђу из вирбр0 интерфејса (интерни, виртуелни мрежни интерфејс), ако пакети долазе из другог интерфејса (ЛАН, РАС, ВиФи, итд.) Тада неће бити прихваћени. Одређивањем интерфејса као што видите можемо га још више ограничити, можемо имати бољу контролу над оним што улази (или не улази) у наш рачунар.
Прихватање пинг-а са било које ИП адресе кућног Ви-Фи-ја:
Са другог рачунара који се повезује на Вифи, ако покушате да пингујете мој лаптоп, желим то да дозволим. разлог? Идеја је такође да у наредних неколико недеља повежем рачунар у суседној кући са мрежом, тако да би размена информација била мање сложена и флуиднија, када почнем да радим тестове за повезивање радне површине са Ви-Фи мрежом, треба да пингам лаптоп да бих проверио повезаност, ако ме лаптоп не пинга назад, могу да мислим да АП не успева или да је дошло до грешке приликом приступа Ви-Фи-ју, зато желим да дозволим пинг.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-УЛАЗ : Исто као и раније, мислим на долазни саобраћај
-и вло1 : Слично као раније. У претходном случају сам навео виртуелни интерфејс, у овом случају наведем други интерфејс, онај свог вифи-а: вло1
-п ицмп : Ицмп протокол, ицмп = пинг. Односно, не дозвољавам ССХ или нешто слично, дозвољавам само пинг (ицмп)
-с 192.168.1.0/24 : Извор пакета, односно све док пакети потичу са ИП 192.168.1.? биће прихваћен
-д 192.168.1.51 : ИП одредишта, односно мој ИП.
-ј ПРИХВАТИ : Назначим шта да радим са пакетима који се подударају са горе наведеним, прихватите.
Односно, и да бих то објаснио у трку, прихватам да ме пинг-ују (ицмп протокол) чије је одредиште конкретно моја ИП адреса, све док потичу из ИП-а као што је 192.168.1 .__, али такође не могу доћи са било ког мрежног интерфејса, они морају да уђу конкретно са мог Вифи мрежног интерфејса (вло1)
Прихвати ССХ само за једну ИП адресу:
Понекад треба да се повежем до ССХ са мог паметног телефона за контролу лаптопа, зато морам да дозволим ССХ приступ свом лаптопу са ИП-а Ви-Фи-ја, за ово:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
Из овог ретка једино што се разликује или што заслужује да се истакне је: –Дпорт 22 (ССХ порт који користим)
Односно, прихватам покушаје повезивања са преносним рачунаром преко порта 22, све док долазе са било које ИП адресе мог вифи-а, они такође морају имати моју ИП адресу као одређено одредиште и такође долазе преко интерфејса вло1, то јест мог вифи (не лан, итд.)
Омогућавајући им да виде вашу веб страницу:
То није мој случај, али ако неко од вас има хостовану веб локацију и не жели никоме да ускрати приступ, односно да сви од било ког места могу приступити тој веб локацији, много је једноставније него што мислите:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Другим речима, овде дозвољавају сав долазни саобраћај (тцп) преко порта 80. Као што видите, не прецизирам са којих ИП-ова или мреже дозвољавам приступ, не наводећи опсег ИП-а који ће дозволити, иптаблес претпоставља да желим како би се омогућио приступ свим постојећим опсезима ИП-а, односно целом свету 🙂
Остале комбинације:
Имам многа друга правила као што је, на пример, прихватање пинг-а за ИП-ове из мог кућног ЛАН-а (за ово је у основи исти ред као горе, мењање опсега ИП-а), што је више исто што сам управо објаснио горе. у свом лаптопу као таквом не користим заиста сложене ствари, ограничавање веза, анти ДДоС, остављам то за сервере, на лаптопу ми то није потребно 🙂
Свеједно, засад чланак.
Као што видите, рад са иптаблес-ом није толико сложен или још мање, једном када направите скрипту у коју пишете своја правила, врло је једноставно затим је измените, додајте или уклоните правила на заштитни зид.
Не сматрам се стручњаком за ту тему, далеко од тога, упркос свим питањима која имате, они овде коментаришу, покушаћу да вам помогнем колико год могу.
поздрави
Врло добро, врло добро објашњено, сјајно.
Волим ову врсту поста.
Пуно вам хвала на коментару 🙂
Овај пост је био дуг који сам дуго имао, на крају је пријатан и пријатан што могу да га отплатим ^ _ ^
поздрави
питање јеси ли на куби?
... Деси се да сам пре неколико дана користећи везу Линкис АП (приступна тачка) ставио Ви-Фи у кућу своје девојке
Да наравно, рођен сам и живим на Куби. зашто питање?
@ФИКСОЦОНН: Здраво, пријатељу, опрости на прекомерној теми питања, али како дефинирати Циннамон да се појављује као радно окружење у корисничком агенту? Користим менту 13 са циметом, али ни на који начин нећу да се лого цимета појави у мом корисничком агенту сваки пут када коментаришем на овој страници
Да ли бисте били љубазни да ми пошаљете своје податке о корисничком агенту ако то не представља превелику невољу? Волео бих да знам те податке да бих их сам поставио =)
Остављам вам страницу да бисте је могли прегледати и дати ми информације. Хвала и администратори, опростите "тролање" (ако то можете тако назвати) са моје стране овим информацијама -> http://user-agent-string.info/
Додајте „Цимет“ (без наводника) у било који део УсерАгент-а, а затим би се логотип требао појавити у будућим коментарима 🙂
Врло добар пост! врло јасно 😀
Хвала што сте нас прочитали и хвала на коментару 🙂
Хвала! Заиста ми помаже!
Поздрав, пре свега пуно честитки за блог, мислим да је сјајно.
Нешто што би можда било добро напоменути је да опција за пријављивање помоћу УЛОГ-а не ради у оперативним системима који имају улогд2, у овом случају правило би требало да буде:
судо иптаблес -А ИНПУТ -п тцп -м тцп –тцп-заставице ФИН, СИН, РСТ, АЦК СИН -ј НФЛОГ
Пре свега, пуно вам хвала на ономе што кажете о блогу 🙂
У Арцху сам инсталирао улогд в2.0.2-2 и линија коју сам ставио ради без проблема (морао сам да ставим логлевел = 1 у /етц/улогд.цонф, али евиденције без проблема преносе у другу датотеку.
Користите ли улогд в2 или новији, линија коју сам оставио ради погрешно за вас?
Поздрав и хвала на коментару.
Увек сам чекао други део, сећам се када сам прочитао први (то је била моја иницијација у заштитним зидовима). Хвала @ КЗКГ ^ Гаара, поздрав 🙂
Хвала што сте ме прочитали 😀
И хехе да, оно што сам рекао ... овај пост је био дуг који сам имао давно ^ _ ^
Поздрави. Врло добар пост. Покушавам да конфигуришем правила иптаблес за преусмеравање саобраћаја са лигњи на дансгуардиан, али још увек не постиже циљ. Био бих захвалан на помоћи у овом погледу.
иптаблес за то? Зар се то не ради директно са АЦЛ-овима у Скуид-у?
„Имам многа друга правила попут ..“
Ово ја зовем параноја, дечко
Још мало и стављате по један пакет Ротваилера у сваки отворени порт на вашем модему / рутеру 🙂
ХАХАХАХАХАХАХАХАХА Умирем од смеха са ротвајлерима хахахаха
Поздрав пријатељу, дешава ми се да ми треба помоћ да конфигуришем ИПТаблес на такав начин да ускрати приступ само за порт 80 када упишем адресу у прегледач својих прилагођених сервера имена, то је када на пример укуцам нс1.мидомаин.цом и нс2.мидомаин. цом (који су моји сервери имена) ИПтабле одбијају приступ порту 80 тако да прегледач покушава да учита страницу, али након неког времена она истиче и никада се не учитава, дешава се да сам већ покушао са оваквим командама:
иптаблес -А ИНПУТ -д нс1.мидомини.цом -п тцп –дпорт 80 -ј ДРОП
иптаблес -А ИНПУТ -д нс2.мидомини.цом -п тцп –дпорт 80 -ј ДРОП
Али једина ствар коју ради је да одбије улаз на порт 80 у свим мојим доменима (јер они деле исту ИП адресу као Виртуал Хост), желим да то буде само у урл-у мојих сервера имена и ИП-у на који моји сервери имена воде, то јест, ИП табеле ускраћују приступ порту 80 у:
нс1.мидомини.цом (Тачка А) -> 102.887.23.33
нс2.мидомини.цом (Тачка А) -> 102.887.23.34
и ИП адресе на које упућују сервери имена
102.887.23.33
102.887.23.34
Пример компаније која има овај систем је: Дреамхост
Њихови сервери имена: нс1.дреамхост.цом и нс2.дреамхост.цом и ИП адресе на које указују не реагују када се укуцају у траку за адресу прегледача.
Унапред вам хвала на пажњи, веома бих волео да ми помогнете са овим, стварно ми је потребно и хитно!
Добар дан !!
Здраво Иване,
Контактирајте ме путем е-поште (кзкггаара[ат]desdelinux[тачка]нет) да о томе мирније причам и боље објасним, сутра ћу ти сигурно одговорити (данас сам у пролазу)
Оно што желите да урадите је једноставно, не знам зашто вам редови за које кажете да не раде, али би требало, али морате да проверите евиденције и друге ствари које би овде биле предуге.
Поздрав и чекам вашу е-пошту
теоретски са иптаблес могао бих да избегнем да ми се шаљу захтеви за искључење из програма као што је аирцрацк. Ја сам у праву??? Па, урадићу тестове, али ако ми кажете да бисте ме јако обрадовали КСДДД
У теорији мислим да је тако, сада, не знам како би то могло да се уради, никада то нисам урадио ... али понављам, у теорији мислим да би могао.
Након примене правила иптаблес, немогуће ми је да приступим дељеним Виндовс фасциклама на локалној мрежи. Које правило треба да применим да бих то поправило?
Хвала.
Која сте иптаблес правила применили?
Ово је други део "иптаблес фор невбиес", да ли сте прочитали први? Тражим да знам да ли сте применили правила која су била у претходном посту
Да, прочитао сам оба дела. За скрипту се заснивам на другом посту који сте објавили о покретању правила са системд.
#! / бин / басх
# - УТФ 8 -
# Иптаблес бинарно
иптаблес = »/ уср / бин / иптаблес»
Избацио ""
## чисте табеле ##
$ иптаблес -Ф
$ иптаблес -Кс
$ иптаблес -З
#ецхо »- Направљен ФЛУС за иптаблес» && ецхо »»
## Успостављање дневника са УЛОГД-ом ##
$ иптаблес -А УЛАЗ -п тцп -м тцп –тцп-заставице ФИН, СИН, РСТ, АЦК СИН -ј УЛОГ
## Дефинисање подразумеваних ДРОП смерница ##
$ иптаблес -П ИНПУТ ДРОП
$ иптаблес -П НАПРЕД ДРОП
#ецхо »- ДРОП политика је подразумевано дефинисана» && ецхо »»
## Дозволи све локалном хосту ##
$ иптаблес -А УЛАЗ -и ло -ј ПРИХВАТИ
$ иптаблес -А ИЗЛАЗ -о ло -ј ПРИХВАТИ
#ецхо »- Све дозвољено за лоцалхост» && ецхо »»
## Дозволи унос пакета веза које сам иницирао ##
$ иптаблес -А УЛАЗ -м стање -држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАЋА
#ецхо »- Дозволи пакете веза које сам иницирао» && ецхо »»
Избацио " ##############################"
ецхо »## ИПТАБЛЕС ЦОНФИГУРЕД ОК! ## »
Избацио " ##############################"
На интернету сам прочитао да за самбу у скрипти треба да имате следећа правила:
$ иптаблес -А ИНПУТ -п тцп –дпорт 139 -ј ПРИХВАТИ
$ иптаблес -А ИНПУТ -п тцп –дпорт 445 -ј ПРИХВАТИ
$ иптаблес -А УЛАЗ -п удп-спорт 137 -ј ПРИХВАТИ
$ иптаблес -А УЛАЗ -п удп –дпорт 137 -ј ПРИХВАТИ
$ иптаблес -А УЛАЗ -п удп –дпорт 138 -ј ПРИХВАТИ
Међутим, чак ни код њих не видим радне групе за Виндовс. : С
Проблем решен. Измените радну групу и дозвољавају хостове параметара у конфигурационој датотеци самбе.
Одличан чланак, баш сјајан !!!!
Управо сам га прочитао и волим како то објашњавате, тако и заиста корисну употребу иптаблес-а, заиста бих волео да научим како да га дубље користим.
Поздрав и одличан чланак, надам се да ћете објавити више о Иптаблес! ^^
Поштовани;
Имам прокси са иптаблес-ом и једна од мојих мрежа не може пингати http://www.google.cl из овог разлога имам блокиране портове и покушавам хиљаде начина да отворим луке и ништа се не дешава. Ако не могу пингати, не могу повезати Оутлоок
Честитам на посту! Врло добар. Али имам питање. Понекад се ИП адреса која вам је додељена у мрежи може променити (ако је тачно да смо могли доделити ИП нашим МАЦ адресама), али постоји ли могућност да Иптаблес дозволи приступ нашем серверу преко ССХ-а преко МАЦ адресе?
Надам се да сам се добро објаснио.
Поздрав, хвала вам пуно!
Здраво, знате, конфигурисао сам линук сервер и након стављања ових наредби све сам блокирао и изгубио приступ, могао сам опоравити скоро све, али недостају ми две ствари. * Више не могу да приступим из веб прегледача преко цнаме «сервер» ако путем ип, 2 и с друге стране не видим дељене ресурсе из Виндовс Екплорер-а на мрежи, пре него што ставим \\ сервер и Видео сам све заједничке ресурсе. Надам се да ми можете помоћи, знам да је глупо, али не могу то да решим, хвала
Цитирам дословно:
'
Ицмп протокол, ицмп = пинг. Односно, не дозвољавам ССХ или нешто слично, дозвољавам само пинг (ицмп)
'
ИЦМП и ПИНГ нису исто. Пингинг је део ИЦМП протокола, али није све. Протокол ИЦМП (Интернет Цонтрол Мессаге Протоцол) има много више употреба, од којих неке имају одређене опасности. И прихватате сав ИЦМП саобраћај. Морали бисте ограничити само пинг.
САЛУДОС!
Морам да одем на праксу, али се не разумем пуно у иптабле, можете ли ми помоћи ...
Хвала!!!!!!!