iptables för nybörjare, nyfikna, intresserade

Jag har alltid trott att säkerhet aldrig skadar, och det räcker aldrig (det är därför livlig Han märker mig som en obsessiv och psykotisk säkerhetsmaniak ...), så även när jag använder GNU / Linux försummar jag inte säkerheten i mitt system, mina lösenord (slumpmässigt genereras med pwgen), etc..

Dessutom även när system typ Unix är utan tvekan mycket säkra, det rekommenderas utan tvekan att använda en brandvägg, konfigurera den ordentligt för att vara så väl skyddad som möjligt 🙂

Här kommer jag att förklara för dig utan mycket krångel, intrassling eller komplexa detaljer hur man känner till grunderna i iptables.

Men ... Vad är det iptables?

iptables Det är den del av Linux-kärnan (en modul) som hanterar paketfiltrering. Detta sägs på ett annat sätt, det betyder det iptables Det är den del av kärnan vars uppgift är att veta vilken information / data / paket du vill ange din dator och vad inte (och gör fler saker, men låt oss fokusera på detta för nu hehe).

Jag kommer att förklara detta på ett annat sätt 🙂

Många på deras distros använder brandväggar, Firestarter o eldhol, men dessa brandväggar faktiskt "bakifrån" (i bakgrunden) använda sig av iptables, då ... varför inte använda direkt iptables?

Och det är vad jag kort kommer att förklara här 🙂

Hittills råder det något tvivel? 😀

Att arbeta med iptables det är nödvändigt att ha administrativa behörigheter, så här kommer jag att använda sudo (men om du går in som rot, det finns inget behov).

För att vår dator ska vara säker måste vi bara tillåta vad vi vill. Se din dator som om det vore ditt eget hem, i ditt hem låter du som standard INGEN komma in, bara vissa specifika personer som du har godkänt tidigare kan komma in, eller hur? Med brandväggar händer det samma sak, som standard kan ingen komma in på vår dator, bara de som vill komma in kan komma in 🙂

För att uppnå detta förklarar jag, här är stegen:

1. Öppna en terminal, i den sätt följande och tryck [Stiga på]:

sudo iptables -P INPUT DROP

Detta kommer att räcka så att ingen, absolut ingen kan komma in i din dator ... och denna "ingen" inkluderar er själva

Förklaring till föregående rad: Med den indikerar vi för iptables att standardpolicyn (-P) för allt som vill komma in i vår dator (INPUT) är att ignorera den, ignorera den (DROP)

Ingen är helt allmän, absolut, varken du själv kommer att kunna surfa på internet eller något, det är därför vi måste i den terminalen sätta följande och trycka [Stiga på]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

... jag förstår inte skit, Vad gör de två konstiga linjerna nu? .

Enkelt 🙂

Den första raden vad det står är att själva datorn (-jag ... förresten, lo = localhost) kan göra vad som helst. Något självklart, som kan verka absurt ... men tro mig, det är lika viktigt som luft haha.

Den andra raden kommer jag att förklara med hjälp av exemplet / jämförelsen / metaforen jag använde tidigare, jag menar att jämföra datorn med huset 🙂 Antag till exempel att vi bor med fler människor i vårt hus (mor, far, bröder, flickvän, etc). Om någon av dessa människor lämnar huset, är det uppenbart / logiskt att vi släpper in dem när de återvänder, nej?

Det är precis vad den andra raden gör. Alla anslutningar som vi initierar (som kommer från vår dator), när du genom den anslutningen vill ange data, iptables kommer att släppa in dessa uppgifter. Att sätta ytterligare ett exempel för att förklara det, om vi använder vår webbläsare försöker vi surfa på internet, utan dessa två regler kommer vi inte att kunna, ja ja ... webbläsaren kommer att ansluta till internet, men när den försöker ladda ner data ( .html, .gif, etc) till vår dator för att visa oss, kommer du inte att kunna iptables Det kommer att neka inmatning av paket (data), medan vi med dessa regler, när vi initierar anslutningen inifrån (från vår dator) och att samma anslutning är den som försöker mata in data, kommer det att ge åtkomst.

Med detta klart har vi redan förklarat att ingen kan komma åt någon tjänst på vår dator, ingen utom själva datorn (127.0.0.1) och också, utom anslutningar som startas på själva datorn.

Nu kommer jag snabbt att förklara ytterligare en detalj, för den andra delen av denna handledning kommer att förklara och täcka mer om detta hehe, jag vill inte gå vidare för mycket 😀

Det händer att de till exempel har en webbplats publicerad på sin dator och de vill att den ska ses av alla, som tidigare förklarade vi att allt som standard INTE är tillåtet, om inte annat anges kommer ingen att kunna se vår hemsida. Nu får vi alla att se webbplatsen eller webbplatserna som vi har på vår dator, för detta lägger vi:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Detta är väldigt enkelt att förklara 😀

Med den raden förklarar vi att du accepterar eller tillåter (-j ACCEPTERA) all trafik till hamn 80 (–Dport 80) gör det TCP (-p tcp), och att det också är inkommande trafik (-EN INGÅNG). Jag lägger port 80, för det är porten till webbhotellet, det vill säga ... när en webbläsare försöker öppna en webbplats på X-dator ser den alltid ut som standard på den porten.

Nu ... vad ska jag göra när du vet vilka regler som ska ställas in, men när vi startar om datorn ser vi att ändringarna inte sparades? ... ja, för det gjorde jag redan en handledning idag:

Hur man startar iptables-regler automatiskt

Där förklarar jag det i detalj 😀

Och här slutar 1: a handledningiptables för nybörjare, nyfikna och intresserade ... oroa dig inte, det kommer inte att vara det sista hehe, nästa kommer att ta itu med samma, men mer specifika regler, detaljerar allt lite mer och ökar säkerheten. Jag vill inte förlänga detta mycket mer, för i verkligheten är det nödvändigt att baserna (vad du läser här i början) förstår det perfekt perfectly

Hälsningar och ... kom igen, jag klargör tvivlen, så länge du vet svaret LOL !! (Jag är ingen expert på detta överlägset hahaha)


41 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   ezitoc sade

    Mycket bra! Bara en fråga? Har du någon aning om vad standardinställningarna är? Frågan är paranoid att jag bara är: D.

    Tack så mycket.

    1.    KZKG ^ Gaara sade

      Som standard, ja som standard accepterar det allt. Med andra ord, tjänst som du lägger på din dator ... tjänst som kommer att vara offentlig för resten 😀
      Du förstår?

      Så ... när du inte vill att X-webbplatsen ska se den OCH din vän, eller en viss IP, kommer brandväggen, htaccess eller någon metod för att neka åtkomst.

  2.   faustod sade

    hälsningar,

    Broder, utmärkt !!!! Nu ska jag läsa den första ...

    Tack för hjälpen…
    disla

  3.   Rock and Roll sade

    Tack för handledningen, det passar mig väldigt bra.
    Det enda jag vill veta eller se till är om jag med dessa instruktioner inte har några problem att göra p2p-överföringar, ladda ner filer eller ringa videosamtal till exempel. Från det jag läste nej borde det inte finnas några problem, men jag föredrar att se till innan jag går in på raderna.
    Tack sedan nu.
    Hälsningar.

    1.    KZKG ^ Gaara sade

      Du borde inte ha problem, men det här är en ganska grundläggande konfiguration, i nästa handledning kommer jag att förklara mer detaljerat hur du lägger till dina egna regler, beroende på var och en, osv.

      Men jag upprepar att du inte borde ha problem, om du har dem startar du bara om datorn och det är det, som om du aldrig hade konfigurerat iptables 😀

      1.    tau sade

        Omstart ? Det låter väldigt fönstret. I värsta fall måste du bara spola iptables-reglerna och ställa in standardpolicyerna för ACCEPT och frågan är fixad, så rockandroleo, du kommer inte att ha problem.

        Saludos!

  4.   Rock and Roll sade

    Och ledsen för att göra en ny begäran, men eftersom vi är på ämnet brandvägg är det möjligt att du förklarar hur du använder samma kommandon i grafiska brandväggsgränssnitt som gufw eller firestarter.
    Tack på förhand.
    Hälsningar.

    1.    KZKG ^ Gaara sade

      Jag kommer att förklara Firestarter, gufw Jag har bara sett det och inte använt det som sådant, kanske förklarat det kort eller kanske livlig gör det själv 🙂

  5.   assuarto sade

    Sedan när jag känner mig som en hackare läser jag den, jag har alltid velat lära mig mer om säkerhet

  6.   Daniel sade

    Utmärkt handledning, det verkar för mig väl förklarat och medan det är steg för steg desto bättre, som de skulle säga, för dummies.

    Hälsningar.

    1.    KZKG ^ Gaara sade

      hahahaha tack 😀

  7.   Lithos523 sade

    Bra.
    Tydligt förklarad.
    Det kommer att vara nödvändigt att läsa den och läsa den igen tills kunskapen är klar och fortsätt sedan med följande handledning.
    Tack för artikeln.

    1.    KZKG ^ Gaara sade

      Tack 😀
      Jag har försökt förklara det som jag skulle ha önskat att det skulle förklaras för mig för första gången, LOL !!

      Hälsningar 🙂

  8.   oscar sade

    Mycket bra, jag testar och det fungerar korrekt, vilket motsvarar att starta reglerna automatiskt i början. Jag lämnar det för när du publicerar den andra delen, tills dess kommer jag att ha lite mer arbete med att skriva kommandona varje gång jag startar om PC, tack vän för tuto och för hur snabbt du publicerade den.

  9.   Xose M. sade

    tack för rekommendationen och förklaringarna.

    Du kan se vad som gäller med iptables med:

    sudo iptables -L

    1.    KZKG ^ Gaara sade

      Exakt 😉
      Jag lägger till n faktiskt:
      iptables -nL

  10.   Alex sade

    Tack för handledningen, jag ser fram emot den andra delen, hälsningar.

  11.   räkning sade

    när kommer andra delen ut

  12.   jonissar sade

    Jag har en proxy med bläckfisk på Machine1, det kommer att surfa på internet till andra maskiner på den lan 192.168.137.0/24, och den lyssnar på 192.168.137.22:3128 (jag öppnar port 3128 för alla med firestarter), från Machine1 om jag använder Firefox för att använda proxy 192.168.137.22:3128 fungerar det. Om jag från en annan dator med ip 192.168.137.10, till exempel Machine2, ställer in den för att använda proxy 192.168.137.22:3128 fungerar den inte, förutom om jag på Machine1 satte in firestarter för att dela internet med lan, där om proxy fungerar, flödet data sker via proxyen, men om de på Machine2 tar bort användningen av proxy och riktar gatewayen korrekt kan de navigera fritt.
    Vad handlar det här om?
    Vad skulle reglerna vara med iptables?

  13.   geronimo sade

    "Jag försöker stanna kvar på kraftens mörka sida, för det är där det roliga i livet är." och med delirium av jedi hahahahaha

  14.   Carlos sade

    Mycket bra! Jag är lite sen, eller hur? haha inlägget är ungefär 2 år gammalt men jag var mer än användbar .. Jag tackar för att du förklarade det så enkelt att jag kunde förstå det haha ​​jag fortsätter med de andra delarna ..

    1.    KZKG ^ Gaara sade

      Tack för att du läste 🙂

      Ja, inlägget är inte helt nytt men det är ändå mycket användbart, det har inte förändrat nästan någonting om driften av brandväggar under det senaste decenniet tror jag 😀

      Hälsningar och tack till dig för din kommentar

  15.   lion sade

    Vilken förklaring med blommor och allt. Jag är en "nybörjare" -användare men med mycket lust att lära mig Linux, nyligen läste jag ett inlägg om ett nmap-skript för att se vem som anslöt till mitt nätverk och inte göra dig lång, i en kommentar till det inlägget sa en användare att vi kommer att tillämpa den berömda första raden som du lägger från iptables och det var nog, och eftersom jag är en enorm noobster, tillämpade jag den, men som du har skrivit här, kom den inte in på Internet Internet
    Tack för det här inlägget som förklarar användningen av iptables, jag hoppas att du förlänger det och förklarar fullständigt dess fulla funktion. Skål!

    1.    KZKG ^ Gaara sade

      Tack till dig för att du läste och kommenterade 🙂
      iptables är jättebra, det gör sitt jobb att stänga av det, så bra att ... vi kan inte ens komma ut själva, det är säkert, om vi inte vet hur man konfigurerar det. Det är därför jag har försökt förklara iptables så enkelt som möjligt, för ibland kan inte alla förstå något första gången.

      Tack för kommentaren, hälsningar ^ _ ^

      PS: Om att utöka inlägget, här är den andra delen: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    lion sade

        Tack så mycket, om jag läste andra delen och började spela direkt på konsolen med din enorma guide. Tack så mycket, hej förresten, jag hoppas att du kan hjälpa mig eftersom jag har lite tvivel och som ni väl vet är jag en nybörjare som försöker lära mig mer om den här underbara gratis mjukvaran, jag hade nyligen installerat en annan distro till vilken jag modifierade filen dhcp.config en rad och lämnade den så här:
        # skicka värdnamn ""; Tja, det fungerade för mig i den distroen och allt var bra, mitt pc-namn visas inte på dhcp-servern på min router, bara ikonen på datorn, men i den här nya distroen ändrade jag samma rad och lämnade den samma men den fungerade inte. Kan du vägleda mig lite? Snälla ...

        1.    KZKG ^ Gaara sade

          Eftersom detta kan vara något mer komplext eller omfattande, skapa ett ämne i vårt forum (forum.desdelinux.net) och där hjälper vi dig tillsammans 🙂

          Tack för att du läste och kommenterade

          1.    lion sade

            Redo, tack för svaret. I morgon morgon gör jag ämnet och jag hoppas att du kan hjälpa mig, hälsningar och naturligtvis en kram.

  16.   diego sade

    Utmärkt artikel.
    Tror du att med det här kan jag implementera en brandvägg med hjälp av iptables i mitt hus eller behöver jag veta något annat? Har du någon konfigurationshandledning eller med dessa artiklar kvar?
    gäller

    1.    KZKG ^ Gaara sade

      Egentligen har detta varit grunderna och medel, om du vill ha något mer avancerat (som anslutningsgräns osv.) Kan du kontrollera alla inlägg som pratar om iptables här - » https://blog.desdelinux.net/tag/iptables

      Men med detta har jag nästan hela min lokala brandvägg 🙂

  17.   Gala sade

    De verkar inte alls dåliga till att börja med.
    Men det skulle ändra något.

    Jag skulle släppa en inmatning och vidarebefordra och acceptera en utdata
    -P INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT
    Det skulle räcka för att en nybörjare i iptables skulle vara "ganska säker"
    Öppna sedan de portar som vi behöver.
    Jag gillar verkligen sidan, de har väldigt bra saker. Tack för att du delar med dig!
    Hälsningar!

  18.   fgz sade

    God kväll till alla som har kommenterat, men låt oss se om ni kan klargöra varför jag är mer förlorad än en varg i avloppet, jag är kubansk och jag tror att vi alltid går längre på alla möjliga ämnen och väl: ämnet !!!

    Jag har en UBUNTU Server 15-server och det visar sig att jag har en tjänst inuti som tillhandahålls av ett annat program som är stream-tv men jag försöker kontrollera den via MAC-adress så att portkontrollen till exempel 6500 som väljer den slumpmässigt Ingen kan komma in genom den porten om den inte är med MAC-adressen som anges i iptables. Jag gjorde konfigurationerna av den här artikeln nummer ett och det fungerar väldigtyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy, bättre än jag ville men jag har letat efter info i todooooooooooooo och jag hittade inte den lyckliga konfigurationen för att tillåta en mac-adress att använda en viss port bara och ingenting annat.

    tack på förhand!

  19.   Nicolas gonzalez sade

    Hej, hur mår du, jag läste artikeln iptables för nybörjare, den är väldigt bra, jag gratulerar dig, jag vet inte mycket om Linux, det är därför jag vill ställa en fråga, jag har ett problem, om du kan hjälp mig Jag tackar dig, jag har en server med flera IP-adresser och med några dagars mellanrum, när servern skickar e-postmeddelanden via IP-adresserna som finns på servern, slutar den att skicka e-postmeddelanden, så för att den ska skicka e-post igen måste jag lägga:

    /etc/init.d/iptables stoppar

    När jag lägger det börjar det skicka e-post igen, men efter några dagar blockeras det igen, kan du berätta för mig vilka kommandon jag måste sätta så att servern inte blockerar IP-adresserna? Jag läste och från vad du säger på sidan, med Dessa två rader måste lösas:

    sudo iptables -A INPUT -i lo -j ACCEPTERA
    sudo iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT

    Men eftersom jag inte vet om det är vad det är, innan jag lägger ut dessa kommandon, ville jag se om serverns IP-adresser inte längre blockeras, jag väntar på ditt snabba svar. Hälsningar. Nicholas.

  20.   Tux MH sade

    Hej god morgon, jag läste din lilla handledning och det verkade väldigt bra och av den anledningen vill jag ställa dig en fråga:

    Hur kan jag omdirigera förfrågningarna som går in via lo-gränssnittet (localhost) till en annan dator (en annan IP) med samma port, jag använder något liknande detta

    iptables -t nat -A PREROUTING -p tcp –port 3306 -j DNAT –to 148.204.38.105:3306

    men det omdirigerar inte mig, jag övervakar port 3306 med tcpdump och om den tar emot paket men inte skickar dem till den nya IP-adressen, men om jag gör förfrågningar från en annan dator omdirigerar den dem. Kort sagt omdirigerar det vad som kommer in genom -i eth0, men inte vad som kommer in genom -i lo.

    I förväg uppskattar jag den mycket eller lite hjälp du kan ge mig. salu2.

  21.   Nicolas sade

    Hej, hur mår du, sidan är väldigt bra, den har mycket information.

    Jag har ett problem och jag ville se om du kan hjälpa mig, jag har PowerMta installerat i Centos 6 med Cpanel, problemet är att PowerMta efter några dagar slutar skicka e-post till utsidan, det är som att IP: erna är blockerade och varje dag måste jag placera kommandot /etc/init.d/iptables stopp, med att PowerMta börjar skicka e-post igen utomlands, med det löses problemet i några dagar, men sedan händer det igen.

    Vet du hur jag kan göra för att lösa problemet? Finns det något som jag kan konfigurera på servern eller i brandväggen så att det inte händer igen? Eftersom jag inte vet varför detta händer, om du kan hjälpa mig tackar jag dig, jag hoppas att du snart svar.

    Hälsningar.

    Nicolas.

  22.   Louis Delgado sade

    Utmärkt och mycket tydlig förklaring, jag har letat efter böcker men de är mycket omfattande och min engelska är inte särskilt bra.
    Känner du några böcker som du rekommenderar på spanska?

  23.   fbec sade

    Vad sägs om god morgon, mycket väl förklarad, men jag har fortfarande ingen entré från internet, jag förklarar, jag har en server med Ubuntu, som har två nätverkskort, en med den här konfigurationen Länkkapsel: Ethernet HWaddr a0: f3: c1: 10 : 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 och den andra med denna andra Länkkapsel: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr: 192.168.1.64 Bcast: 192.168.1.255 Mask: 255.255.255.0, där den andra är den som min gateway har, vilket är 192.168.1.64, men det första kortet är det som styr mina kameror och jag vill se dem från internet från min fasta ip ,,, jag kan se dem från lan men inte från internet, kan du hjälpa mig med det? , eller om min router är den som är felaktigt konfigurerad är det en tp-link bågskytt c2 ,,, tack

  24.   louis castro sade

    Hej, jag gjorde precis detta på min server och du vet, hur kunde jag återställa det?
    iptables -P INPUT DROP
    Jag lämnar min e-postadress ing.lcr.21@gmail.com

  25.   elektriska installationer sade

    Jag har letat ganska mycket efter högkvalitativa inlägg eller blogginlägg på detta innehåll. Googling Jag hittade äntligen den här webbplatsen. När jag läste den här artikeln är jag övertygad om att jag har hittat det jag letade efter eller åtminstone har den konstiga känslan, jag har upptäckt exakt vad jag behövde. Naturligtvis kommer jag att se till att du inte glömmer den här webbplatsen och rekommenderar den, jag planerar att besöka dig regelbundet.

    hälsningar

  26.   na sade

    Jag gratulerar dig verkligen! Jag har läst många sidor med iptables men inga så enkelt förklarade som din; utmärkt förklaring !!
    Tack för att du gjorde mitt liv enklare med dessa förklaringar!

  27.   Anonym sade

    Ett ögonblick känner jag mig arabisk xD

  28.   Victor Andres Embryos.lan sade

    Min lärare använder detta för att undervisa, tack och hälsningar. gäng