เมื่อ DesdeLinux ฉันอายุเพียงไม่กี่เดือน และฉันเขียนบทช่วยสอนที่เข้าใจง่ายมากเกี่ยวกับ iptables: iptables สำหรับมือใหม่ขี้สงสัยสนใจ (ตอนที่ 1) . การใช้คำอุปมาอุปไมยเช่นการเปรียบเทียบคอมพิวเตอร์ของเรากับบ้านของเราไฟร์วอลล์ของเรากับประตูบ้านตลอดจนตัวอย่างอื่น ๆ ฉันอธิบายอย่างสนุกสนานโดยไม่ต้องใช้เทคนิคหรือแนวคิดที่ซับซ้อนมากมายไฟร์วอลล์คืออะไร iptables คืออะไรและ วิธีเริ่มใช้งานและกำหนดค่า นี่คือความต่อเนื่องส่วนที่ 2 ของบทช่วยสอน iptables ก่อนหน้า🙂
มันเกิดขึ้นเมื่อไม่กี่วันที่ผ่านมาโดยใช้ Linksys AP (Access Point) ฉันวาง Wifi ไว้ที่บ้านของแฟนแม้ว่าคนในพื้นที่จะไม่ค่อยมีความรู้ด้านเทคโนโลยีมากที่สุดนั่นคือไม่ใช่ว่าจะมีอันตรายมากมายจากการแตก เป็นความคิดที่ดีเสมอที่จะมีการรักษาความปลอดภัยที่ดีเยี่ยมทั้งใน Wifi และในคอมพิวเตอร์
ฉันจะไม่แสดงความคิดเห็นเกี่ยวกับความปลอดภัยของ Wifi ที่นี่เนื่องจากไม่ใช่วัตถุประสงค์ของโพสต์ฉันจะเน้นไปที่การกำหนดค่า iptables ที่ฉันใช้ในแล็ปท็อปของฉัน
ในโพสต์ก่อนหน้านี้ฉันได้อธิบายว่าจำเป็นในไฟร์วอลล์ที่จะต้องปฏิเสธการรับส่งข้อมูลขาเข้าทั้งหมดก่อนสำหรับสิ่งนี้:
sudo iptables -P INPUT DROP
จากนั้นเราต้องอนุญาตให้คอมพิวเตอร์ของเราเองได้รับอนุญาตให้ป้อนข้อมูล:
sudo iptables -A INPUT -i lo -j ACCEPT
เช่นเดียวกับการยอมรับแพ็คเก็ตของคำขอที่มาจากคอมพิวเตอร์ของเรา:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
จนถึงตอนนี้คอมพิวเตอร์ของเราสามารถนำทางอินเทอร์เน็ตได้โดยไม่มีปัญหา แต่ไม่มีใครจากสภาพแวดล้อมอื่น ๆ (LAN, อินเทอร์เน็ต, Wifi และอื่น ๆ ) จะสามารถเข้าถึงคอมพิวเตอร์ของเราได้ทุกทาง เราจะเริ่มกำหนดค่า iptables ตามความต้องการของเรา
การใช้ ulogd เพื่อส่งออกบันทึก iptables ไปยังไฟล์อื่น:
ตามค่าเริ่มต้นบันทึก iptables จะอยู่ในบันทึกเคอร์เนลบันทึกระบบหรืออะไรทำนองนั้น ... ใน Arch ตามค่าเริ่มต้นตอนนี้ฉันจำไม่ได้แล้วว่าพวกเขาไปไหนนั่นเป็นเหตุผลที่ฉันใช้ ยูล็อก เพื่อให้บันทึก iptables อยู่ในไฟล์อื่น
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
การให้สิทธิ์เข้าถึงเซิร์ฟเวอร์ส่วนตัวของฉัน:
ฉันไม่ได้ใช้ VirtualBox หรืออะไรที่คล้ายกับการจำลองเสมือนฉันมีเซิร์ฟเวอร์ส่วนตัวที่จำลองเสมือนด้วย คิวมู + KVM ซึ่งต้องสามารถเชื่อมต่อกับแล็ปท็อปของฉันได้ด้วยกฎ iptables ที่ฉันระบุไว้ข้างต้นจะไม่สามารถทำได้นั่นคือเหตุผลที่ฉันต้องให้สิทธิ์ IP ของเซิร์ฟเวอร์เสมือนของฉันเพื่อให้สามารถเข้าถึงแล็ปท็อปของฉันได้ :
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
เราจะลงรายละเอียดบรรทัดนี้เป็นสิ่งสำคัญที่คุณต้องเข้าใจว่าแต่ละพารามิเตอร์หมายถึงอะไรเพราะจะถูกทำซ้ำหลายครั้งต่อจากนี้:
- อินพุต : ฉันกำลังบอกว่าฉันจะประกาศกฎสำหรับการจราจรขาเข้า
-ฉัน virbr0 : ฉันขอประกาศว่าอินเทอร์เฟซที่ฉันจะยอมรับการรับส่งข้อมูลไม่ใช่ etho (LAN) หรือ wlan0 (Wifi) ฉันบอกโดยเฉพาะว่าเป็นอินเทอร์เฟซ virbr0 ของฉันนั่นคืออินเทอร์เฟซเครือข่ายเสมือน (ภายใน) ที่แล็ปท็อปของฉันสื่อสาร กับเซิร์ฟเวอร์เสมือนของฉัน (และในทางกลับกัน)
-พีทีซีพี : ฉันระบุโปรโตคอลที่ใช้มากที่สุดคือ UDP และ TCP ที่นี่ก็เพียงพอแล้วที่จะไม่ใส่สิ่งนี้ แต่ ... เป็นเรื่องปกติที่จะระบุประเภทของโปรโตคอลที่จะยอมรับ
-s 192.168.122.88 : แหล่งที่มาแหล่งที่มาของแพ็คเกจ กล่าวอีกนัยหนึ่งกฎหมายถึงแพ็กเก็ตที่มาจาก IP 192.168.122.88 โดยเฉพาะ
-j ยอมรับ : แล้วที่นี่ฉันบอกว่าฉันต้องการทำอะไรกับแพ็คเกจที่ตรงกับข้างต้นในกรณีนี้ยอมรับ
กล่าวอีกนัยหนึ่งโดยสรุปฉันจะยอมรับแพ็กเก็ตที่มาจาก IP 192.168.122.88 แต่ในกรณีที่คุณต้องการป้อนแพ็กเก็ตที่มาจาก IP นั้น! พวกเขาเข้าจากอินเทอร์เฟซที่ไม่ใช่ virbr0 นั่นคือสมมติว่าพวกเขาพยายามป้อนแพ็กเก็ตจาก IP 192.168.122.88 แต่มาจากคอมพิวเตอร์ในเครือข่าย Wifi ของเราหากเป็นเช่นนั้นแพ็กเก็ตจะถูกปฏิเสธ ทำไม? เนื่องจากเราระบุอย่างชัดเจนว่าใช่เรายอมรับแพ็กเก็ตจาก 192.168.122.88 ใช่ แต่และเท่านั้น แต่ยังต้องป้อนจากอินเทอร์เฟซ virbr0 (อินเทอร์เฟซเครือข่ายเสมือนภายใน) หากแพ็กเก็ตมาจากอินเทอร์เฟซอื่น (LAN, RAS, Wifi ฯลฯ ) จากนั้นจะไม่ได้รับการยอมรับ ด้วยการระบุอินเทอร์เฟซดังที่คุณเห็นเราสามารถ จำกัด ได้มากขึ้นเราสามารถควบคุมสิ่งที่เข้าสู่คอมพิวเตอร์ของเราได้ดีขึ้น (หรือไม่เข้า)
ยอมรับ ping จาก IP ใด ๆ ของ Wifi ในบ้าน:
จากคอมพิวเตอร์เครื่องอื่นที่เชื่อมต่อกับ Wifi หากคุณพยายาม ping แล็ปท็อปของฉันฉันต้องการอนุญาต เหตุผล? แนวคิดก็คือในอีกไม่กี่สัปดาห์ข้างหน้าเพื่อเชื่อมโยงพีซีของบ้านที่อยู่ติดกับเครือข่ายดังนั้นการแบ่งปันข้อมูลจะซับซ้อนน้อยลงและลื่นไหลมากขึ้นเมื่อฉันเริ่มทำการทดสอบเพื่อเชื่อมโยงเดสก์ท็อปกับ Wifi ฉันจะ จำเป็นต้อง ping แล็ปท็อปของฉันเพื่อตรวจสอบการเชื่อมต่อหากแล็ปท็อปของฉันไม่ ping ฉันกลับมาฉันคิดได้ว่า AP ล้มเหลวหรือมีข้อผิดพลาดเมื่อเข้าถึง Wifi นั่นคือเหตุผลที่ฉันต้องการอนุญาตให้ใช้ ping
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
- อินพุต : เหมือนเดิมฉันอ้างถึงการรับส่งข้อมูลขาเข้า
- ฉัน wlo1 : คล้ายกับเมื่อก่อน ในกรณีก่อนหน้านี้ฉันระบุอินเทอร์เฟซเสมือนในกรณีนี้ฉันระบุอินเทอร์เฟซอื่นนั่นคือ wifi ของฉัน: wlo1
-p ไอซีเอ็มพี : โปรโตคอล Icmp, icmp = ping นั่นคือฉันไม่อนุญาต SSH หรือสิ่งที่คล้ายกันฉันอนุญาตให้ใช้ ping (icmp) เท่านั้น
-ส 192.168.1.0/24 : แหล่งที่มาของแพ็กเก็ตนั่นคือตราบใดที่แพ็กเก็ตนั้นมาจาก IP 192.168.1? จะได้รับการยอมรับ
-d 192.168.1.51 : Destination IP นั่นคือ IP ของฉัน
-j ยอมรับ : ฉันระบุว่าจะทำอย่างไรกับแพ็คเกจที่ตรงกับข้างต้นยอมรับ
นั่นคือและเพื่ออธิบายสิ่งนี้ในทางวิ่งฉันยอมรับว่าพวกเขา ping ฉัน (โปรโตคอล icmp) ซึ่งปลายทางคือ IP ของฉันโดยเฉพาะตราบใดที่มาจาก IP เช่น 192.168.1 .__ แต่ก็ไม่สามารถมาได้ จากอินเทอร์เฟซเครือข่ายใด ๆ พวกเขาต้องป้อนโดยเฉพาะจากอินเทอร์เฟซเครือข่าย Wifi ของฉัน (wlo1)
ยอมรับ SSH สำหรับ IP เดียวเท่านั้น:
บางครั้งฉันต้องเชื่อมต่อด้วย SSH จากสมาร์ทโฟนของฉันเพื่อควบคุมแล็ปท็อปนั่นคือเหตุผลที่ฉันต้องอนุญาตให้ SSH เข้าถึงแล็ปท็อปของฉันจาก IP ของ Wifi สำหรับสิ่งนี้:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
จากบรรทัดนี้สิ่งเดียวที่แตกต่างหรือสมควรได้รับการเน้นคือ: - พอร์ต 22 (พอร์ต SSH ที่ฉันใช้)
กล่าวอีกนัยหนึ่งฉันยอมรับความพยายามในการเชื่อมต่อกับแล็ปท็อปของฉันผ่านพอร์ต 22 ตราบใดที่พวกเขามาจาก IP ของ wifi ของฉันพวกเขาจะต้องมี IP ของฉันเป็นปลายทางที่เฉพาะเจาะจงและยังมาจากอินเทอร์เฟซ wlo1 นั่นคือ wifi ของฉัน (ไม่ใช่ lan ฯลฯ )
อนุญาตให้พวกเขาดูเว็บไซต์ของคุณ:
ไม่ใช่กรณีของฉัน แต่ถ้าคุณมีเว็บไซต์ที่โฮสต์และไม่ต้องการปฏิเสธการเข้าถึงของใคร ๆ นั่นคือทุกคนจากทุกที่สามารถเข้าถึงเว็บไซต์นั้นได้ง่ายกว่าที่คุณคิดไว้มาก:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
กล่าวอีกนัยหนึ่งคือที่นี่อนุญาตให้มีการรับส่งข้อมูลขาเข้าทั้งหมด (tcp) ผ่านพอร์ต 80 อย่างที่คุณเห็นฉันไม่ได้ระบุว่าฉันอนุญาตให้เข้าถึง IP หรือเครือข่ายใดโดยไม่ระบุช่วง IP ที่จะอนุญาต iptables จะถือว่าฉันต้องการ เพื่ออนุญาตให้เข้าถึงช่วง IP ที่มีอยู่ทั้งหมดนั่นคือกับคนทั้งโลก🙂
ชุดอื่น ๆ :
ฉันมีกฎอื่น ๆ อีกมากมายเช่นยอมรับ ping สำหรับ IP จาก LAN ที่บ้านของฉัน (สำหรับสิ่งนี้โดยทั่วไปแล้วจะเป็นบรรทัดเดียวกับด้านบนการเปลี่ยนช่วง IP) ซึ่งเหมือนกับที่ฉันได้อธิบายไว้ข้างต้นมากกว่า .. . ในแล็ปท็อปของฉันฉันไม่ได้ใช้สิ่งที่ซับซ้อนจริงๆที่ จำกัด การเชื่อมต่อต่อต้าน DDoS ฉันปล่อยไว้สำหรับเซิร์ฟเวอร์บนแล็ปท็อปของฉันฉันไม่ต้องการมัน🙂
อย่างไรก็ตามจนถึงตอนนี้บทความ
อย่างที่คุณเห็นการทำงานกับ iptables นั้นไม่ซับซ้อนไม่ว่าจะด้วยวิธีใดก็ตามเมื่อคุณสร้างสคริปต์ที่คุณเขียนกฎของคุณมันจะง่ายมากจากนั้นแก้ไขเพิ่มหรือลบกฎลงในไฟร์วอลล์ของคุณ
ฉันไม่คิดว่าตัวเองเป็นผู้เชี่ยวชาญในเรื่องนี้แม้จะมีคำถามใด ๆ ก็ตามพวกเขาแสดงความคิดเห็นที่นี่ฉันจะพยายามช่วยคุณให้มากที่สุดเท่าที่จะทำได้
ความนับถือ
ดีมากอธิบายได้ดีเยี่ยมมาก
ฉันชอบโพสต์ประเภทนี้
ขอบคุณมากสำหรับความคิดเห็น🙂
โพสต์นี้เป็นหนี้ที่ฉันมีมานานเป็นที่น่าพอใจและน่ายินดีในที่สุดก็สามารถชำระได้ ^ _ ^
ความนับถือ
คำถามคุณอยู่ในคิวบา?
…มันเกิดขึ้นเมื่อไม่กี่วันที่ผ่านมาโดยใช้ Linksys AP (Access Point) ฉันติด Wifi ไว้ที่บ้านของแฟน
ใช่แน่นอนฉันเกิดและอาศัยอยู่ในคิวบา ทำไมคำถาม?
@FIXOCONN: สวัสดีเพื่อนและให้อภัยนอกหัวข้อของคำถาม แต่คุณจะกำหนดให้ Cinnamon ปรากฏเป็นสภาพแวดล้อมเดสก์ท็อปใน User-agent ได้อย่างไร? ฉันใช้ Mint 13 กับ Cinnamon แต่ฉันไม่ได้รับโลโก้ Cinnamon ใน User-agent ทุกครั้งที่แสดงความคิดเห็นบนไซต์นี้
คุณจะกรุณาส่งรายละเอียดตัวแทนผู้ใช้ของคุณให้ฉันหรือไม่ถ้ามันไม่เป็นปัญหามากเกินไป ฉันต้องการทราบข้อมูลนั้นเพื่อวางมันเอง =)
ฉันฝากเพจไว้ให้คุณเพื่อตรวจสอบและให้ข้อมูลแก่ฉัน ขอบคุณและผู้ดูแลระบบให้อภัย "หลอก" (ถ้าคุณสามารถเรียกมันว่า) ในส่วนของฉันด้วยข้อมูลนี้ -> http://user-agent-string.info/
เพิ่ม "Cinnamon" (ไม่มีเครื่องหมายอัญประกาศ) ลงในส่วนใด ๆ ของ UserAgent จากนั้นโลโก้จะปรากฏในความคิดเห็นในอนาคต🙂
โพสต์ดีมาก! ชัดเจนมาก😀
ขอบคุณสำหรับการอ่านและขอบคุณสำหรับความคิดเห็นของคุณ🙂
ขอบคุณ! มันช่วยฉันได้จริงๆ!
สวัสดีก่อนอื่นขอแสดงความยินดีกับบล็อกฉันคิดว่ามันยอดเยี่ยมมาก
สิ่งที่อาจกล่าวถึงได้ดีก็คือตัวเลือกในการเข้าสู่ระบบด้วย ULOG ไม่ทำงานในระบบปฏิบัติการที่มี ulogd2 ในกรณีนี้กฎควรเป็น:
sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j NFLOG
ก่อนอื่นขอขอบคุณมากสำหรับสิ่งที่คุณพูดเกี่ยวกับบล็อก🙂
ใน Arch ฉันได้ติดตั้ง ulogd v2.0.2-2 แล้วและบรรทัดที่ฉันใส่ใช้งานได้โดยไม่มีปัญหา (ฉันต้องใส่ loglevel = 1 ใน /etc/ulogd.conf แต่มันจะลบบันทึกไปยังไฟล์อื่นโดยไม่มีปัญหา
คุณใช้ ulogd v2 หรือสูงกว่าบรรทัดที่ฉันทิ้งไว้ทำงานผิดสำหรับคุณหรือไม่?
ขอแสดงความนับถือและขอบคุณสำหรับการแสดงความคิดเห็น
ฉันมักจะรอส่วนที่สองฉันจำได้ว่าตอนที่ฉันอ่านตอนแรก (มันเป็นจุดเริ่มต้นของฉันในไฟร์วอลล์) ขอบคุณ @ KZKG ^ Gaara นับถือ🙂
ขอบคุณที่อ่านฉัน😀
และนี่คือสิ่งที่ฉันพูด ... โพสต์นี้เป็นหนี้ที่ฉันมีมานานแล้ว ^ _ ^
ความนับถือ. ดีมากโพสต์ ฉันพยายามกำหนดค่ากฎ iptables เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลจาก Squid ไปยัง dansguardian และยังไม่บรรลุเป้าหมาย ฉันขอขอบคุณสำหรับความช่วยเหลือในเรื่องนี้
iptables เพื่ออะไร? นั่นไม่ได้ทำโดยตรงกับ ACL ใน Squid หรือไม่?
"ฉันมีกฎอื่น ๆ อีกมากมายเช่น .. "
นี่คือสิ่งที่ฉันเรียกว่าหวาดระแวงเด็กผู้ชาย
อีกเล็กน้อยและคุณใส่ชุดของ Rotwailer ในแต่ละพอร์ตที่เปิดอยู่บนโมเด็ม / เราเตอร์ของคุณ🙂
ฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะฮะ
สวัสดีเพื่อนฉันต้องการความช่วยเหลือในการกำหนดค่า IPTables ในลักษณะที่ปฏิเสธการเข้าถึงเฉพาะสำหรับพอร์ต 80 เมื่อฉันพิมพ์ที่อยู่ในเบราว์เซอร์ของเนมเซิร์ฟเวอร์ที่กำหนดเองของฉันนั่นคือเมื่อฉันพิมพ์ ns1.mydomain.com และ ns2.mydomain. com (ซึ่งเป็นเนมเซิร์ฟเวอร์ของฉัน) IPtables ปฏิเสธการเข้าถึงพอร์ต 80 เพื่อให้เบราว์เซอร์พยายามโหลดหน้านี้ แต่หลังจากนั้นไม่นานมันจะหมดอายุและไม่โหลดเกิดขึ้นเมื่อฉันได้ลองใช้คำสั่งเช่นนี้แล้ว:
iptables -A อินพุต -d ns1.midomini.com -p tcp –dport 80 -j DROP
iptables -A อินพุต -d ns2.midomini.com -p tcp –dport 80 -j DROP
แต่สิ่งเดียวที่ทำได้คือปฏิเสธการเข้าสู่พอร์ต 80 ในโดเมนทั้งหมดของฉัน (เนื่องจากพวกเขาแชร์ IP เดียวกันกับโฮสต์เสมือน) ฉันต้องการให้มันอยู่ใน url ของเนมเซิร์ฟเวอร์ของฉันและ IP ที่เนมเซิร์ฟเวอร์ของฉันชี้เท่านั้น นั่นคือตาราง IP ปฏิเสธการเข้าถึงพอร์ต 80 ใน:
ns1.midomini.com (ชี้ A) -> 102.887.23.33
ns2.midomini.com (ชี้ A) -> 102.887.23.34
และ IP ที่เนมเซิร์ฟเวอร์ชี้ไป
102.887.23.33
102.887.23.34
ตัวอย่างของ บริษัท ที่มีระบบนี้ ได้แก่ Dreamhost
เนมเซิร์ฟเวอร์ของพวกเขา: ns1.dreamhost.com และ ns2.dreamhost.com และ IP ที่พวกเขาชี้ว่าไม่ตอบสนองเมื่อพิมพ์ลงในแถบที่อยู่ของเบราว์เซอร์
ขอบคุณมากล่วงหน้าสำหรับความสนใจของคุณฉันอยากให้คุณมากมือกับสิ่งนี้ฉันต้องการมันและเร่งด่วน !!
ขอให้เป็นวันที่ดี !!
สวัสดีอีวาน
ติดต่อฉันทางอีเมล (kzkggaara[at]desdelinux[dot]net) คุยกันให้ใจเย็นๆ อธิบายดีกว่า พรุ่งนี้ไม่พลาดจะมาตอบครับ (วันนี้ผ่านไป)
สิ่งที่คุณต้องการทำนั้นง่ายมากฉันไม่รู้ว่าทำไมบรรทัดที่คุณบอกฉันไม่ได้ผลสำหรับคุณมันควรจะเป็น แต่คุณต้องตรวจสอบบันทึกและสิ่งอื่น ๆ ที่จะยาวเกินไปที่นี่
สวัสดีและฉันรออีเมลของคุณ
ในทางทฤษฎีด้วย iptables ฉันสามารถป้องกันคำขอตัดการเชื่อมต่อจากโปรแกรมเช่น aircrack ฉันถูก??? ฉันจะทดสอบ แต่ถ้าคุณบอกฉันว่าคุณจะทำให้ฉันมีความสุขมาก XDDD
ในทางทฤษฎีฉันคิดอย่างนั้นตอนนี้ฉันไม่รู้ว่ามันทำได้ยังไงฉันไม่เคยทำมาก่อน ... แต่ฉันพูดซ้ำในทางทฤษฎีฉันคิดว่ามันทำได้
หลังจากใช้กฎ iptables ฉันไม่สามารถเข้าถึงโฟลเดอร์ windows ที่ใช้ร่วมกันบนเครือข่ายท้องถิ่นได้ ฉันควรใช้กฎอะไรเพื่อแก้ไข
ขอบคุณ
คุณใช้กฎ iptables อะไรบ้าง?
นี่คือส่วนที่ 2 ของ "iptables สำหรับมือใหม่" คุณอ่านอันแรกหรือยัง? ฉันขอให้สิ่งนี้ทราบว่าคุณใช้กฎที่อยู่ในโพสต์ก่อนหน้านี้หรือไม่
ใช่ฉันได้อ่านทั้งสองส่วนแล้ว สำหรับสคริปต์ฉันใช้โพสต์อื่นที่คุณโพสต์เกี่ยวกับการเริ่มต้นกฎด้วย systemd
#! / bin / ทุบตี
# - UTF 8 -
# Iptables ไบนารี
iptables = » / usr / bin / iptables »
โยนออกไป ""
## ทำความสะอาดโต๊ะ ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo » - ทำ FLUS เป็น iptables » && echo »»
## การสร้างบันทึกด้วย ULOGD ##
$ iptables -A อินพุต -p tcp -m tcp –tcp-แฟล็ก FIN, SYN, RST, ACK SYN -j ULOG
## กำหนดนโยบาย DROP เริ่มต้น ##
$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
#echo » - นโยบาย DROP ที่กำหนดโดยค่าเริ่มต้น» && echo »»
## อนุญาตทุกอย่างให้ localhost ##
$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A เอาท์พุท -o lo -j ยอมรับ
#echo » - อนุญาตทั้งหมดสำหรับ localhost » && echo »»
## อนุญาตให้ป้อนแพ็คเก็ตของการเชื่อมต่อที่ฉันเริ่มต้น ##
$ iptables -A INPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
#echo » - แพ็กเก็ตการเชื่อมต่อที่อนุญาตเริ่มต้นโดย» && echo »»
โยนออกไป "##############################"
echo » ## IPTABLES CONFIGURED OK! ## »
โยนออกไป "##############################"
ฉันได้อ่านบนอินเทอร์เน็ตว่าสำหรับแซมบ้าคุณควรมีกฎต่อไปนี้ในสคริปต์:
$ iptables -A INPUT -p tcp –dport 139 -j ยอมรับ
$ iptables -A INPUT -p tcp –dport 445 -j ยอมรับ
$ iptables -A INPUT -p udp –sport 137 -j ยอมรับ
$ iptables -A INPUT -p udp –dport 137 -j ยอมรับ
$ iptables -A INPUT -p udp –dport 138 -j ยอมรับ
อย่างไรก็ตามฉันไม่สามารถเห็นเวิร์กกรุ๊ปของ windows ได้ : ส
แก้ไขปัญหา. แก้ไขเวิร์กกรุ๊ปและโฮสต์อนุญาตให้ใช้พารามิเตอร์ในไฟล์คอนฟิกูเรชันแซมบ้า
บทความดีเยี่ยมมาก !!!!
ฉันเพิ่งอ่านและฉันชอบทั้งวิธีที่คุณอธิบายและการใช้ iptables ที่เป็นประโยชน์จริงๆฉันอยากจะเรียนรู้วิธีการใช้งานในเชิงลึกมากขึ้น
สวัสดีและบทความที่ยอดเยี่ยมฉันหวังว่าคุณจะเผยแพร่เพิ่มเติมเกี่ยวกับ Iptables! ^^
ที่รัก;
ฉันมีพร็อกซีที่มี iptables และหนึ่งในเครือข่ายของฉันไม่สามารถ ping ได้ http://www.google.cl ด้วยเหตุนี้ฉันจึงบล็อกพอร์ตและลองหลายพันวิธีในการเปิดพอร์ตและไม่มีอะไรเกิดขึ้น ถ้าฉันไม่สามารถ ping ฉันจะเชื่อมต่อ Outlook ไม่ได้
ขอแสดงความยินดีกับโพสต์! ดีมาก. แต่ฉันมีคำถาม บางครั้งที่อยู่ IP ที่กำหนดให้คุณในเครือข่ายสามารถเปลี่ยนแปลงได้ (หากเป็นความจริงที่เราสามารถกำหนด IP ให้กับที่อยู่ MAC ของเราได้) แต่ Iptables จะอนุญาตให้เข้าถึงเซิร์ฟเวอร์ของเราผ่าน SSH โดยที่อยู่ MAC ได้หรือไม่?
ฉันหวังว่าฉันจะอธิบายตัวเองได้ดี
ขอแสดงความนับถือและขอบคุณมาก!
สวัสดีคุณรู้ไหมว่าฉันมีการกำหนดค่าเซิร์ฟเวอร์ linux และหลังจากวางคำสั่งเหล่านี้ฉันได้บล็อกทุกอย่างและสูญเสียการเข้าถึงฉันสามารถกู้คืนได้เกือบทุกอย่าง แต่ฉันขาด 2 อย่าง * ฉันไม่สามารถเข้าถึงจากเว็บเบราว์เซอร์ผ่าน cname «เซิร์ฟเวอร์»ได้อีกต่อไปถ้าตาม ip, 10.10.10.5 และในทางกลับกันฉันไม่เห็นทรัพยากรที่แชร์จาก windows explorer บนเครือข่ายก่อนที่ฉันจะใส่ \\ server และ เห็นทรัพยากรที่ใช้ร่วมกันทั้งหมด ฉันหวังว่าคุณจะช่วยฉันได้ฉันรู้ว่ามันงี่เง่า แต่ฉันแก้ไม่ได้ขอบคุณ
ฉันพูดคำต่อคำ:
'
โปรโตคอล Icmp, icmp = ping นั่นคือฉันไม่อนุญาต SSH หรือสิ่งที่คล้ายกันฉันอนุญาตให้ใช้ ping (icmp) เท่านั้น
'
ICMP และ PING ไม่เหมือนกัน Pinging เป็นส่วนหนึ่งของโปรโตคอล ICMP แต่ไม่ใช่ทุกอย่าง โปรโตคอล ICMP (Internet Control Message Protocol) มีการใช้งานอื่น ๆ อีกมากมายซึ่งบางส่วนมีอันตรายบางประการ และคุณยอมรับการรับส่งข้อมูล ICMP ทั้งหมด คุณจะต้อง จำกัด เฉพาะ ping เท่านั้น
Saludos!
ฉันต้องฝึกงาน แต่ฉันไม่ค่อยเข้าใจเกี่ยวกับ iptables มากนักโปรดช่วยฉันหน่อยได้ไหม….
ขอบคุณ !!!!!!!