иптаблес за почетнике, радознале, заинтересоване

Одувек сам мислио да безбедност никада не шкоди и да је никад довољнозато елав Означава ме као опсесивног и психотичног манијака из безбедности ...), па чак и када користим ГНУ / Линук, не занемарујем сигурност свог система, своје лозинке (насумично генерисана са пвген) итд.

Штавише, чак и када систем тип уник су несумњиво врло сигурни, несумњиво се препоручује употреба а заштитни зид, правилно га конфигуришите, да буде што боље заштићен 🙂

Овде ћу вам без пуно муке, запетљавања или сложених детаља објаснити како да знате основе iptables.

Али … Шта су врашки иптаблес?

iptables То је део Линук кернела (модула) који се бави филтрирањем пакета. Ово речено на други начин, то значи iptables је део језгра чији је задатак да зна које информације / податке / пакет желите да унесете у свој рачунар, а шта не (и ради више ствари, али фокусирајмо се на ово за сада хехе).

Објаснићу ово на други начин 🙂

Многи на њиховим дистрибуцијама користе заштитни зид, Фирестартер o Фирехол, али ови заштитни зидови заправо „одострага“ (у позадини) употреба iptables, онда ... зашто не користити директно iptables?

И то ћу овде укратко објаснити 🙂

За сада постоји ли сумња? 😀

За рад са iptables потребно је имати административне дозволе, па ћу овде користити судо (али ако уђете као корен, нема потребе).

Да би наш рачунар био заиста сигуран, морамо дозволити само оно што желимо. Гледајте на свој рачунар као да је то ваш властити дом, у вашем дому подразумевано НЕ дозвољавате никоме да уђе, само одређени људи које сте раније одобрили могу ући, зар не? Са заштитним зидовима се дешава исто, подразумевано нико не може да уђе у наш рачунар, само они који желе да уђу ентер

Да бих то постигао, објашњавам, ево корака:

1. Отворите терминал, у њега ставите следеће и притисните [Ентер]:

sudo iptables -P INPUT DROP

То ће бити довољно да нико, апсолутно нико не може да уђе у ваш рачунар ... а овај „нико“ укључује и вас самих 😀

Објашњење претходног реда: Помоћу њега иптаблес-у указујемо да је подразумевана смерница (-П) за све што жели да уђе у наш рачунар (ИНПУТ) његово игнорисање, игнорисање (ДРОП)

Нико није сасвим уопштен, у ствари апсолутни, нити ћете ви сами моћи сурфовати Интернетом или било шта друго, зато на тај терминал морамо ставити следеће и притиснути [Ентер]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... не разумем срање, Шта сада раде те две чудне линије? ...

Једноставно 🙂

Прво што пише је да је сам рачунар (-и ло ... успут, ло = лоцалхост) може да ради шта хоће. Нешто очигледно, што може изгледати чак и апсурдно ... али верујте ми, важно је колико и ваздух хаха.

Други ред ћу објаснити на примеру / поређењу / метафори који сам раније користио, мислим да упоредим рачунар са кућом хоусе На пример, претпоставимо да живимо са више људи у нашој кући (мајка, отац, браћа, девојка итд.) ). Ако неко од ових људи напусти кућу, да ли је очигледно / логично да ћемо их пустити унутра кад се врате, зар не?

Управо то чини та друга линија. Све везе које започнемо (које долазе са нашег рачунара), када путем те везе желите да унесете неке податке, iptables пустиће те податке унутра. Дајући још један пример да то објаснимо, ако помоћу нашег прегледача покушамо да сурфујемо Интернетом, без ова 2 правила нећемо моћи, па да ... прегледач ће се повезати на Интернет, али када покуша да преузме податке ( .хтмл, .гиф итд.) на наш рачунар да нам покаже, он то неће моћи iptables Забранит ће унос пакета (података), док ће овим правилима, док започињемо везу изнутра (са нашег рачунара) и та иста веза је она која покушава да унесе податке, омогућити приступ.

Када смо ово спремили, већ смо изјавили да нико не може приступити ниједној услузи на нашем рачунару, нико осим самог рачунара (127.0.0.1), а такође, осим веза које су покренуте на самом рачунару.

Сад ћу вам објаснити још један детаљ, јер ће други део овог водича објаснити и покрити више о овоме, хехе, не желим превише напредовати 😀

Дешава се да, на пример, имају веб локацију објављену на рачунару и желе да је ту веб страницу виде сви, као што смо раније прогласили да све подразумевано НИЈЕ дозвољено, уколико није другачије назначено, нико неће моћи да види наш веб сајт. Сада ћемо учинити да свако може видети веб локацију или веб локације које имамо на рачунару, за ово стављамо:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Ово је врло једноставно објаснити 😀

Том линијом изјављујемо да прихватате или дозвољавате (-ј ПРИХВАТИ) сав саобраћај до луке 80 (–Дпорт 80) нека буде ТЦП (-п тцп), и да је то и долазни саобраћај (-УЛАЗ). Ставио сам порт 80, јер је то порт веб хоста, односно ... када прегледач покуша да отвори локацију на Кс рачунару, он увек изгледа подразумевано на том порту.

Сад ... шта да радите када знате која правила да поставите, али када поново покренемо рачунар, видимо да промене нису сачуване? ... па, за то сам данас већ урадио још један туториал:

Како аутоматски покренути правила иптаблес

Тамо то детаљно објашњавам 😀

И овде се завршава 1. туториал на иптаблес за почетнике, радознале и заинтересоване 😉 ... не брините, неће бити последњи хехе, следећи ће се позабавити истим, али конкретнијим правилима, детаљно све детаљно описујући и повећавајући сигурност. Не желим ово више да продужавам, јер је у стварности неопходно да базе (оно што сте овде прочитали на почетку) савршено разумеју 🙂

Поздрав и ... хајде, разјашњавам недоумице, све док знате одговор ЛОЛ !! (Нисам далеко стручњак за ово хахаха)


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

40 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   езитоц дијо

    Врло добар! Само питање? Имате ли идеју која су подразумевана подешавања? Питање је параноично да сам само: Д.

    Пуно Вам хвала.

    1.    КЗКГ ^ Гаара дијо

      Подразумевано, па подразумевано прихвата све. Другим речима, услуга коју ставите на рачунар ... услуга која ће у осталом бити јавна 😀
      Разумеш?

      Дакле ... када не желите да га Кс веб локација види И вашег пријатеља или одређену ИП адресу, долази заштитни зид, хтаццесс или неки метод којим се може одбити приступ.

  2.   фаустод дијо

    Поздрав,

    Брате, одлично !!!! Сад ћу прочитати прву ...

    Хвала на помоћи…
    Дисла

  3.   роцкандролео дијо

    Хвала на лекцији, добро ми дође.
    Једино што желим да знам или да се уверим је да ако са овим упутствима нећу имати проблема да извршим п2п преносе, преузмем датотеке или упућујем видео позиве, на пример. Из онога што сам прочитао не, не би требало бити никаквих проблема, али више волим да се уверим пре него што уђем у редове.
    Хвала од сада.
    Поздрав.

    1.    КЗКГ ^ Гаара дијо

      Не бисте требали имати проблема, међутим ово је прилично основна конфигурација, у следећем упутству ћу вам детаљније објаснити како додати своја правила, у зависности од потребе сваког од њих итд. 🙂

      Али понављам, не бисте требали имати проблема, ако их имате, само поново покрените рачунар и воила, као да никада нисте конфигурисали иптаблес 😀

      1.    Тау дијо

        Поново покренути ? Звучи врло прозорно. У најгорем случају, једноставно морате да испразните правила иптаблес и поставите подразумеване политике на АЦЦЕПТ и ствар је решена, тако да роцкандролео, нећете имати проблема.

        САЛУДОС!

  4.   роцкандролео дијо

    И, извињавам се што сам упутио још један захтев, али пошто смо на теми заштитног зида, могуће је да објасните како да примените те исте наредбе у графичким интерфејсима заштитних зидова попут гуфв или фирестартер.
    Де антемано, грациас.
    Поздрав.

    1.    КЗКГ ^ Гаара дијо

      Објаснићу Фирестартер, гуфв Само сам га видео и нисам га користио као таквог, можда ћу га објаснити укратко или можда елав уради сам 🙂

  5.   Асуарто дијо

    Онда када пожелим да се осећам као хакер, прочитаћу је, одувек сам желео да учим о сигурности

  6.   Данијел дијо

    Изврсно упутство, чини ми се добро објашњено и иако је корак по корак то боље, што би рекли, за лутке.

    Поздрав.

    1.    КЗКГ ^ Гаара дијо

      хахахаха хвала 😀

  7.   Литхос523 дијо

    Сјајно.
    Јасно објашњено.
    Биће потребно да га прочитате и поново прочитате док се знање не устали, а затим наставите са следећим водичима.
    Хвала на чланку.

    1.    КЗКГ ^ Гаара дијо

      Хвала 😀
      Покушао сам да објасним како бих волео да ми је први пут објашњено, ЛОЛ !!

      Поздрав 🙂

  8.   Оскар дијо

    Врло добро, тестирам и ради исправно, што одговара покретању правила аутоматски на почетку, оставићу то када објавите други део, до тада ћу имати мало више посла да куцам наредбе сваки пут када поново покренем ПЦ, хвала пријатељу на тут-у и на томе како сте га брзо објавили.

  9.   Ксосе М. дијо

    хвала на препоруци и објашњењима.

    Можете видети шта се односи на иптаблес са:

    sudo iptables -L

    1.    КЗКГ ^ Гаара дијо

      Тачно 😉
      Ја додајем n заправо:
      iptables -nL

  10.   алек дијо

    Хвала на лекцији, радујем се другом делу, поздрав.

  11.   Вилијам дијо

    када ће изаћи други део

  12.   јонисар дијо

    Имам проки са лигњама на Мацхине1, он ће претраживати интернет другим машинама на том ланцу 192.168.137.0/24 и слуша на 192.168.137.22:3128 (отворим порт 3128 за све који имају фирестартер), из Мацхине1 ако ставим Фирефок да користим проки 192.168.137.22:3128, то ради. Ако са другог рачунара са ип 192.168.137.10, на пример, Мацхине2, подесим га да користи прокси 192.168.137.22:3128 не ради, осим ако на Мацхине1 ставим фирестартер за дељење интернета са ЛАН-ом, ако прокси ради, проток подаци су преко проки-а, али ако на Мацхине2 уклоне употребу проки-а и правилно усмере мрежни пролаз, моћи ће слободно да се крећу.
    О чему се овде ради?
    Каква би правила била са иптаблес?

  13.   геронимо дијо

    „Трудим се да останем на тамној страни силе, јер је ту забава живота.“ и са делиријумом једи хахахахаха

  14.   Карлос дијо

    Врло добар! Мало касним зар не? хаха пост је стар око 2 године, али био сам више него користан .. захваљујем вам што сте га објаснили тако лако да бих могао да га разумем хаха настављам са осталим деловима ..

    1.    КЗКГ ^ Гаара дијо

      Хвала на читању 🙂

      Да, пост није у потпуности нов, али је и даље веома користан, није променио готово ништа у вези са радом заштитних зидова у последњој деценији, мислим 😀

      Поздрав и хвала вам на коментару

  15.   лав дијо

    Какво објашњење са цвећем и свиме. Корисник сам „почетник“, али са пуно жеље да научим Линук, недавно сам читао пост о нмап скрипти да бих видео ко се повезао са мојом мрежом и да вас не бих дуго чекао, у коментару на тај пост који је рекао корисник да ћемо применити чувену прву линију коју сте ставили из иптаблес-а и то је било довољно, а пошто сам страшан нобстер, применио сам је, али као што сте овде написали, није ушла на Интернет 🙁
    Хвала вам на овом посту који објашњава употребу иптаблес-а, надам се да ћете га проширити и у потпуности ми објаснити његов укупан рад. Живели!

    1.    КЗКГ ^ Гаара дијо

      Хвала вам што сте читали и коментарисали 🙂
      иптаблес је феноменалан, обавља свој посао тако да се искључује, тако добро да ... не можемо ни сами изаћи, то је сигурно, осим ако не знамо како да га конфигуришемо. Због тога сам покушао да објасним иптабле што једноставније, јер понекад нису сви у стању да нешто схвате први пут.

      Хвала на коментару, поздрав ^ _ ^

      ПС: О продужењу поста, ево 2. дела: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    лав дијо

        Па, хвала вам пуно, ако сам прочитао други део и почео одмах да свирам на конзоли са вашим огромним водичем. Хвала вам пуно, хеј успут се надам да ми можете помоћи јер мало сумњам и као што добро знате, ја сам почетник који покушава да научи о овом дивном бесплатном софтверу, до те тачке, недавно сам инсталирао другачији дистро на шта сам модификовао датотеку дхцп.цонфиг ред и оставио га овако:
        #сенд хост-наме ""; Па, успело ми је у тој дистрибуцији и све је било у реду, моје име рачунара се не појављује на дхцп серверу мог рутера, већ само икона рачунара, али у овом новом дистро-у сам модификовао исту линију остављајући је истом али није успело. Можете ли ме мало упутити? 🙁 Молим те ...

        1.    КЗКГ ^ Гаара дијо

          Сада ово може бити нешто сложеније или обимније, креирајте тему на нашем форуму (форум.фромлинук.нет) и тамо ћемо вам сви помоћи 🙂

          Хвала на читању и коментарисању

          1.    лав дијо

            Спремни, хвала на одговору. Сутра ујутро радим тему и надам се да ми можете помоћи, поздрав и наравно загрљај.

  16.   Диего дијо

    Одличан чланак.
    Да ли мислите да са овим могу да имплементирам заштитни зид користећи иптабле у својој кући или морам да знам нешто друго? Да ли имате неки водич за конфигурацију или са овим чланцима остаје?
    поздрав

    1.    КЗКГ ^ Гаара дијо

      Заправо је ово основно и средње, ако желите нешто напредније (као што су ограничења везе итд.), Овде можете проверити све постове који говоре о иптаблима - » https://blog.desdelinux.net/tag/iptables

      Међутим, уз ово имам скоро сав локални заштитни зид 🙂

  17.   Цров дијо

    За почетак уопште не изгледају лоше.
    Али то би нешто модификовало.

    Испустио бих улаз и проследио и прихватио излаз
    -П УЛАЗ -м стање –држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАТИТИ
    То би било довољно да невби у иптаблес-у буде „прилично сигуран“
    Затим отворите порта који су нам потребни.
    Страница ми се јако свиђа, имају јако добре ствари. Хвала што делите!
    Поздрав!

  18.   ФГЗ дијо

    Добро вече свима који су коментарисали, али да видимо можете ли појаснити зашто сам изгубљенији од вука у канализацији, ја сам Кубанац и мислим да увек идемо даље на сваку могућу тему и добро: Извините ме унапред ако то нема никакве везе са темом !!!

    Имам УБУНТУ Сервер 15 сервер и испоставило се да у себи хостујем услугу коју пружа други програм који емитује ТВ, али покушавам да је контролишем преко МАЦ адресе тако да контрола порта, на пример 6500, која је одабере насумично Нико не може да уђе кроз тај порт осим ако није са МАЦ адресом назначеном у иптаблес. Направио сам конфигурације овог чланка број један и он функционише врло добро, боље него што сам желео, али информације сам потражио у тодооооооооооооооо и нисам нашао срећну конфигурацију која дозвољава да мац адреса користи само одређени порт и ништа друго.

    Хвала унапред!

  19.   Ницолас Гонзалез дијо

    Здраво, како сте, прочитао сам чланак иптаблес за почетнике, врло је добар, честитам вам, не знам пуно о линуксу, зато желим да вас питам, имам проблем ако можете помозите ми, хвала вам, имам сервер са неколико ИП-ова и сваких неколико дана, када сервер шаље е-пошту преко ИП-а који су на серверу, престаје да шаље е-пошту, па да би поново послао е-пошту морам да ставим:

    /етц/инит.д/иптаблес стоп

    Када то ставим, поново почиње да шаље е-пошту, али након неколико дана поново постаје блокирано, можете ли ми рећи које наредбе морам да дам да сервер не би блокирао ИП адресе? Читао сам и из онога што кажете на страници, са Ова 2 реда треба решити:

    судо иптаблес -А УЛАЗ -и ло -ј ПРИХВАТИ
    судо иптаблес -А УЛАЗ -м стање -држава УСТАНОВЉЕНА, ПОВЕЗАНА -ј ПРИХВАТИ

    Али пошто не знам да ли је то то, пре стављања тих наредби желео сам да проверим да ли ИП адресе сервера више неће бити блокиране, чекам ваш брз одговор. Поздрави. Никола.

  20.   Тук МХ дијо

    Поздрав, добро јутро, прочитао сам ваш мали водич и чини ми се врло добрим и из тог разлога бих желео да вам поставим питање:

    Како могу да преусмерим захтеве који долазе преко интерфејса ло (лоцалхост) на други рачунар (другу ИП) са истим портом, користим нешто попут овог

    иптаблес -т нат -А ПРЕРОУТИНГ -п тцп –дпорт 3306 -ј ДНАТ –до 148.204.38.105:3306

    али ме не преусмерава, надгледам порт 3306 помоћу тцпдумп и ако прима пакете, али их не шаље на нову ИП адресу, али ако упутим захтеве са другог рачунара, преусмерава их. Укратко, преусмерава ме шта долази кроз -и етх0, али не и оно што долази кроз -и ло.

    Унапред ценим велику или малу помоћ коју ми можете пружити. салу2.

  21.   Николас дијо

    Здраво, како сте, страница је врло добра, има пуно информација.

    Имам проблем и желео сам да видим можете ли да ми помогнете, ПоверМта сам инсталирао у Центос 6 са Цпанелом, проблем је што након неколико дана ПоверМта престаје да шаље е-пошту споља, то је као да су ИП адресе блокиране и сваког дана морам да поставим наредбу /етц/инит.д/иптаблес стоп, с тим што ПоверМта почиње поново да шаље е-пошту у иностранство, с тим да се проблем решава неколико дана, али онда се то понови.

    Да ли знате како могу да решим проблем? Могу ли нешто да конфигуришем на серверу или у заштитном зиду тако да се то више не понови? Будући да не знам зашто се то догађа, ако ми можете помоћи хвала, надам се да ћете ускоро одговорити.

    Поздрав.

    Никола.

  22.   Луис Делгадо дијо

    Одлично и врло јасно објашњење, тражио сам књиге, али оне су врло опсежне и мој енглески језик није баш добар.
    Да ли знате неку књигу коју препоручујете на шпанском?

  23.   фбец дијо

    Шта кажете на добро јутро, врло добро објашњено, али још увек немам улаз са интернета, објаснићу, имам сервер са Убунту-ом, који има две мрежне картице, једну са овом конфигурацијом Енцап везе: Етхернет ХВаддр а0 : ф3: ц1: 10: 05: 93 инет аддр: 192.168.3.64 Бцаст: 192.168.3.255 Маска: 255.255.255.0 и други са овим другим омотом везе: Етхернет ХВаддр а0: ф3: ц1: 03: 73: 7б инет аддр : 192.168.1.64 Бцаст: 192.168.1.255 Маска: 255.255.255.0, при чему је други онај који има мој мрежни пролаз, а то је 192.168.1.64, али прва картица је она која контролише моје камере и желим да их видим са интернет са мог фиксног ип-а ,, видим их са лан-а, али не и са интернета, можете ли ми помоћи око тога? , или ако је мој рутер нетачно конфигурисан, то је тп-линк арцхер ц2 ,,, хвала

  24.   Луис Цастро дијо

    Здраво, управо сам ово урадио на свом серверу и знате како могу да га опоравим?
    иптаблес -П ИНПУТ ДРОП
    Остављам вам свој е-маил инг.лцр.21@гмаил.цом

  25.   електричне инсталације дијо

    Мало сам тражио висококвалитетне постове или блогове о овом садржају. Гуглајући Напокон сам пронашао ову веб страницу. Читајући овај чланак, уверен сам да сам пронашао оно што сам тражио или бар имам тај чудан осећај, открио сам тачно оно што ми је требало. Наравно, учинићу да ову веб страницу не заборавите и препоручим је, планирам да вас редовно посећујем.

    поздрави

  26.   na дијо

    Заиста вам честитам! Прочитао сам много страница иптаблес, али ниједну тако једноставно објашњену као вашу; одлично објашњење !!
    Хвала што сте ми олакшали живот овим објашњењима!

  27.   Анонимно дијо

    На тренутак се осећам арапским кД