Kapag DesdeLinux Ilang buwan pa lang ako at nagsulat ako ng napakasimpleng pag-unawa sa tutorial tungkol sa iptables: iptables para sa mga bagong kasal, mausisa, interesado (ika-1 bahagi) . Ang paggamit ng mga talinghaga tulad ng paghahambing ng aming computer sa aming bahay, aming firewall sa pintuan ng bahay, pati na rin iba pang mga halimbawa, ipinaliwanag ko sa isang nakakaaliw na paraan, nang walang napakaraming mga teknikalidad o kumplikadong konsepto, ano ang isang firewall, ano ang mga iptable at kung paano simulang gamitin ito at i-configure Ito ang pagpapatuloy, ang ika-2 bahagi ng nakaraang iptables tutorial 🙂
Ito ay nangyari na ilang araw na ang nakakaraan gamit ang isang Linksys AP (Access Point) Naglalagay ako ng isang Wifi sa bahay ng aking kasintahan, kahit na ang lokalidad ay hindi ang pinaka-kaalaman sa mga tuntunin ng teknolohiya, iyon ay, hindi ito maraming mga panganib ng pag-crack, palagi itong Isang magandang ideya na magkaroon ng mahusay na seguridad kapwa sa Wifi at sa mga computer.
Hindi ako magkomento sa seguridad ng Wifi dito, dahil hindi ito ang layunin ng post, mag-focus ako sa pagsasaayos ng iptables na kasalukuyang ginagamit ko sa aking laptop.
Sa nakaraang post na ipinaliwanag ko na kinakailangan sa isang firewall na tanggihan muna ang lahat ng papasok na trapiko, para dito:
sudo iptables -P INPUT DROP
Pagkatapos ay dapat nating pahintulutan ang ating sariling computer na magkaroon ng pahintulot na magpasok ng data:
sudo iptables -A INPUT -i lo -j ACCEPT
Pati na rin ang pagtanggap ng mga packet ng mga kahilingan na nagmula sa aming computer:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sa ngayon ang aming computer ay maaaring mag-navigate sa internet nang walang mga problema, ngunit walang sinuman mula sa anumang iba pang kapaligiran (LAN, internet, Wifi, atbp.) Ang makaka-access sa aming computer sa anumang paraan. Magsisimula na kaming mag-configure ng mga iptable alinsunod sa aming mga pangangailangan.
Paggamit ng ulogd upang ma-output ang mga iptable log sa isa pang file:
Bilang default ang mga iptable log ay pumupunta sa log ng kernel, ang log ng system, o isang bagay tulad nito ... sa Arch bilang default, sa ngayon ay hindi ko rin naaalala kung saan sila pupunta, iyon ang dahilan kung bakit ginagamit ko ulogd upang ang mga iptable log ay nasa ibang file.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Pagbibigay ng access sa aking pribadong server:
Hindi ako gumagamit ng VirtualBox o anumang katulad sa virtualize, mayroon akong pribadong server na na-virtualize Qemu + KVM na dapat ay makakonekta sa aking laptop tulad nito, na may mga patakaran na iptables na tinukoy ko lamang sa itaas ay hindi ito magagawa, iyon ang dahilan kung bakit kailangan kong magbigay ng pahintulot sa IP ng aking virtual server upang ma-access nito ang aking laptop:
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
Idedetalye namin ang linyang ito, mahalaga na maunawaan mo kung ano ang ibig sabihin ng bawat parameter, sapagkat maraming ulit ang mauulit mula ngayon:
-Isang INPUT : Sinasabi kong magpapahayag ako ng isang patakaran para sa papasok na trapiko
-ako virbr0 : Ipinahayag ko na ang interface kung saan tatanggapin ko ang trapiko ay hindi etho (LAN) o wlan0 (Wifi), partikular kong sinasabi na ito ay ang aking interface ng virbr0, iyon ay, ang virtual network interface (panloob) kung saan nakikipag-usap ang aking laptop ang aking virtual server (at kabaliktaran)
-p tcp : Tinukoy ko ang protocol, ang pinaka ginagamit ay UDP at TCP, narito talagang sapat na hindi upang ilagay ito ngunit ... kaugalian na tukuyin ang uri ng protocol na tatanggapin
-s 192.168.122.88 : Ang pinagmulan, mapagkukunan ng mga pakete. Iyon ay, ang patakaran ay tumutukoy sa mga packet na partikular na nagmula sa IP 192.168.122.88
-j TANGGAP : Narito na sinasabi ko kung ano ang gusto kong gawin sa mga package na tumutugma sa itaas, sa kasong ito tanggapin.
Sa madaling salita, bilang buod, tatanggap ako ng mga packet na nagmula sa IP 192.168.122.88, ngunit kung nais mong maglagay ng mga packet na nagmula sa IP na PERO! Pumasok sila mula sa isang interface na hindi virbr0, iyon ay, sabihin nating sinusubukan nilang maglagay ng mga packet mula sa IP 192.168.122.88 ngunit ang mga ito ay mula sa isang computer sa aming Wifi network, kung iyon ang kaso, tatanggihan ang mga packet. bakit? Dahil malinaw naming tinukoy na oo, tumatanggap kami ng mga packet mula 192.168.122.88 oo, ngunit at lamang ngunit, kailangan din nilang pumasok mula sa interface ng virbr0 (panloob, virtual network interface), kung ang mga packet ay nagmula sa ibang interface (LAN, RAS, Wifi, atbp) kung gayon hindi sila tatanggapin. Sa pamamagitan ng pagtukoy sa interface tulad ng nakikita mong maaari naming paghigpitan ito nang higit pa, maaari kaming magkaroon ng isang mas mahusay na kontrol sa kung ano ang pumapasok (o hindi pumasok) sa aming computer.
Tumatanggap ng ping mula sa anumang IP ng home Wifi:
Mula sa ilang iba pang computer na kumokonekta sa Wifi, kung susubukan mong i-ping ang aking laptop nais kong payagan ito. dahilan Ang ideya ay din sa susunod na ilang linggo upang maiugnay ang PC sa bahay sa tabi ng network, kaya't ang pagbabahagi ng impormasyon ay magiging mas kumplikado, mas likido, kapag nagsimula akong magsagawa ng mga pagsubok upang maiugnay ang desktop sa Wifi, kakailanganin kong i-ping ang aking laptop upang suriin ang pagkakakonekta, kung ang aking laptop ay hindi ibabalik sa akin maisip ko na ang AP ay nabigo, o na mayroong isang error kapag na-access ang Wifi, iyon ang dahilan kung bakit nais kong payagan ang ping.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
-Isang INPUT : Parehas ng dati, tumutukoy ako sa papasok na trapiko
-ako wlo1 : Katulad ng dati. Sa nakaraang kaso ay tinukoy ko ang virtual interface, sa kasong ito ay tumutukoy ako ng isa pang interface, ang aking wifi: wlo1
-p icmp : Icmp protocol, icmp = ping. Iyon ay, hindi ko pinapayagan ang SSH o anumang katulad, pinapayagan ko lamang ang ping (icmp)
-s 192.168.1.0/24 : Ang pinagmulan ng mga packet, iyon ay, hangga't ang mga packet ay nagmula sa isang IP 192.168.1.? tatanggapin
-d 192.168.1.51 : Destination IP, iyon ay, ang aking IP.
-j TANGGAP : Isinasaad ko kung ano ang gagawin sa mga package na tumutugma sa itaas, tanggapin.
Iyon ay, at upang ipaliwanag ito sa isang tumatakbo na paraan, tinatanggap ko na na-ping nila ako (icmp protocol) na ang patutunguhan ay partikular ang aking IP, hangga't nagmula sila sa isang IP tulad ng 192.168.1 .__ ngunit din, hindi sila maaaring magmula sa anumang interface ng network , kailangan nilang ipasok ang partikular mula sa aking Wifi network interface (wlo1)
Tanggapin lamang ang SSH para sa isang IP:
Minsan kailangan kong kumonekta ng SSH mula sa aking smartphone upang makontrol ang laptop, iyon ang dahilan kung bakit kailangan kong payagan ang pag-access ng SSH sa aking laptop mula sa mga IP ng aking Wifi, para dito:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
Mula sa linyang ito ang tanging bagay na naiiba o karapat-dapat na mai-highlight ay: –Dport 22 (SSH port na ginagamit ko)
Iyon ay, tumatanggap ako ng mga pagtatangka upang kumonekta sa aking laptop sa pamamagitan ng port 22, hangga't nagmula sila sa anumang IP ng aking wifi, kailangan din nilang magkaroon ng isang tukoy na patutunguhan ang aking IP at dumaan din sa interface ng wlo1, iyon ay, ang aking wifi (hindi ang lan, atbp)
Pinapayagan silang tingnan ang iyong website:
Hindi ito ang kaso ko, ngunit kung ang alinman sa iyo ay may naka-host na website at hindi nais na tanggihan ang pag-access sa sinuman, iyon ay, na ang lahat mula sa kahit saan ay maaaring ma-access ang website na iyon, mas simple ito kaysa sa maisip mong:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Sa madaling salita, narito pinapayagan nila ang lahat ng papasok na trapiko (tcp) sa pamamagitan ng port 80. Tulad ng nakikita mo, hindi ko tinukoy mula sa aling mga IP o network na pinapayagan ko ang pag-access, sa pamamagitan ng hindi pagtukoy ng isang saklaw ng IP upang payagan, ipalagay na iptables na gusto ko upang payagan ang pag-access sa lahat ng mga umiiral na mga saklaw ng IP, iyon ay, sa buong mundo 🙂
Iba pang mga kumbinasyon:
Mayroon akong maraming iba pang mga patakaran tulad ng, halimbawa, tanggapin ang ping para sa mga IP mula sa aking LAN sa bahay (para sa ito ito ay karaniwang parehong linya tulad ng nasa itaas, binabago ang mga saklaw ng IP), na higit sa pareho na ipinaliwanag ko sa itaas .. . sa aking laptop tulad nito hindi ako gumagamit ng talagang kumplikadong mga bagay, na sa paglilimita sa mga koneksyon, laban sa DDoS, iniiwan ko iyon para sa mga server, sa aking laptop hindi ko ito kailangan
Gayunpaman, sa ngayon ang artikulo.
Tulad ng nakikita mo, ang pagtatrabaho sa mga iptable ay hindi kumplikado sa anumang paraan, sa sandaling bumuo ka ng isang script kung saan isinulat mo ang iyong mga patakaran napakadali pagkatapos baguhin ito, idagdag o alisin ang mga panuntunan sa iyong firewall.
Hindi ko isinasaalang-alang ang aking sarili na dalubhasa sa paksang malayo rito, sa kabila ng anumang pag-aalinlangan na mayroon ka, nagkomento sila rito, susubukan kong tulungan ka hangga't makakaya ko.
Regards
Napakaganda, napakahusay na ipinaliwanag, mahusay.
Gusto ko ang ganitong uri ng post.
Maraming salamat sa iyong puna 🙂
Ang post na ito ay isang utang na mayroon ako sa mahabang panahon, kaaya-aya at kaaya-aya sa huli ay mabayaran ito ^ _ ^
Regards
isang tanong nasa cuba ka ba?
… Nangyayari na ilang araw na ang nakakaraan gamit ang isang Linksys AP (Access Point) naglagay ako ng isang Wifi sa bahay ng aking kasintahan
Oo syempre, ako ay ipinanganak at nakatira sa Cuba. bakit ang tanong?
@FIXOCONN: Kamusta kaibigan at patawarin ang offtopic ng tanong, ngunit paano mo tinukoy ang Cinnamon na lilitaw bilang isang desktop environment sa user-agent? Gumagamit ako ng Mint 13 sa Cinnamon, ngunit sa anumang paraan hindi ko nakukuha ang logo ng Cinnamon na lilitaw sa aking user-agent tuwing nagkokomento ako sa site na ito
Napakabait mo ba upang maipasa sa akin ang mga detalye ng iyong ahente ng gumagamit kung hindi ito masyadong gulo? Nais kong malaman ang data na iyon upang ilagay ito sa aking sarili =)
Iiwan kita ng isang pahina upang masuri mo ito at ibigay sa akin ang impormasyon. Salamat at mga admin, patawarin ang "trolling" (kung maaari mo itong tawagan) sa aking bahagi sa impormasyong ito -> http://user-agent-string.info/
Idagdag ang "Cinnamon" (nang walang mga quote) sa anumang bahagi ng UserAgent, kung gayon dapat lumitaw ang logo sa mga hinaharap na komento 🙂
Napakahusay ng post! napakalinaw 😀
Salamat sa pagbabasa at salamat sa iyong puna 🙂
Salamat! Nakatutulong talaga ito sa akin!
Kumusta, una sa lahat maraming pagbati para sa blog, sa palagay ko ito ay mahusay.
Ang isang bagay na maaaring mabuting banggitin ay ang pagpipiliang mag-log sa ULOG ay hindi gagana sa mga operating system na may ulogd2, para sa kasong ito ang panuntunan ay dapat na:
sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j NFLOG
Una sa lahat, maraming salamat sa mga sinasabi tungkol sa blog 🙂
Sa Arch mayroon akong naka-install na ulogd v2.0.2-2, at ang linya na inilagay ko ay gumagana nang walang mga problema (kailangan kong maglagay ng isang loglevel = 1 sa /etc/ulogd.conf, ngunit tumatagal ang mga log sa isa pang file nang walang mga problema.
Gamit ang ulogd v2 o mas mataas, gumagana ba para sa iyo ang linya na naiwan ko?
Regards at salamat sa pagbibigay ng puna.
Palagi akong naghihintay para sa pangalawang bahagi, naalala ko noong nabasa ko ang una (ito ang aking pagsisimula sa mga firewall). Salamat @ KZKG ^ Gaara, regards 🙂
Salamat sa pagbabasa sa akin 😀
At hehe oo, sabi ko ... ang post na ito ay isang utang na matagal na ang nakalipas ^ _ ^
Pagbati. Napakahusay ng post. Sinusubukan kong i-configure ang mga patakaran ng iptables upang mai-redirect ang trapiko mula sa pusit patungo sa dansguardian at hindi pa rin nito nakakamit ang layunin. Gusto kong pahalagahan ang ilang tulong sa bagay na ito.
iptables para diyan? Hindi ba tapos iyon nang direkta sa mga ACL sa Squid?
"Marami akong ibang mga patakaran tulad ng .."
Ito ang tinatawag kong paranoia, boy
Kaunti pa at naglalagay ka ng isang pakete ng Rotwailer sa bawat bukas na port sa iyong modem / router
HAHAHAHAHAHAHAHAHA Namamatay ako sa tawa kasama ang mga rottwailer hahahaha
Pagbati kaibigan, nangyari na kailangan ko ng tulong upang mai-configure ang mga IPTable sa paraang tinatanggihan nito ang pag-access lamang para sa port 80 kapag nai-type ko ang address sa browser ng aking pasadyang nameservers, iyon ay kapag halimbawa ay nagta-type ako ng ns1.mydomain.com at ns2.mydomain. com (na aking mga nameserver) Tinanggihan ng mga IPtable ang pag-access sa port 80 upang subukang i-load ng browser ang pahina ngunit pagkatapos ng ilang sandali ay mawawalan ng bisa at hindi kailanman naglo-load, nangyari na sinubukan ko na ang mga utos na tulad nito:
iptables -A INPUT -d ns1.midomini.com -p tcp –dport 80 -j DROP
iptables -A INPUT -d ns2.midomini.com -p tcp –dport 80 -j DROP
Ngunit ang tanging bagay lamang na ginagawa nito ay tanggihan ang pagpasok sa port 80 sa lahat ng aking mga domain (dahil nagbabahagi sila ng parehong IP bilang Virtual Host), nais kong mapunta lamang ito sa url ng aking mga nameserver at IP kung saan itinuturo ng aking nameservers, iyon ay, tinanggihan ng mga talahanayan ng IP ang pag-access sa port 80 sa:
ns1.midomini.com (Pagturo A) -> 102.887.23.33
ns2.midomini.com (Pagturo A) -> 102.887.23.34
at ang mga IP na tinuturo ng mga nameservers
102.887.23.33
102.887.23.34
Ang isang halimbawa ng isang kumpanya na mayroong sistemang ito ay: Dreamhost
Ang kanilang nameservers: ns1.dreamhost.com at ns2.dreamhost.com at ang mga IP na itinuro nila upang hindi tumugon kapag na-type sa address bar ng browser
Maraming salamat nang maaga para sa iyong pansin, nais kong bigyan mo ako ng isang kamay kasama nito, kailangan ko talaga ito at mapilit !!
Magandang araw !!
Hello Ivan,
Makipag-ugnayan sa akin sa pamamagitan ng email (kzkggaara[at]desdelinux[dot]net) para pag-usapan ito nang mas mahinahon at maipaliwanag nang mas mabuti, bukas walang sablay sasagutin kita (ngayon dumaan ako)
Ang nais mong gawin ay simple, hindi ko alam kung bakit ang mga linya na sinabi mo sa akin ay hindi gumagana para sa iyo, dapat sila, ngunit kailangan mong suriin ang mga troso at iba pang mga bagay na masyadong mahaba sa paligid dito.
Pagbati at hinihintay ko ang iyong email
teoretikal sa mga iptable mapipigilan ko ang mga kahilingan sa pag-disconnect mula sa mga programa tulad ng aircrack. Tama ako??? Kaya't susubukan ko ang mga pagsubok ngunit kung sasabihin mo sa akin na napapasaya mo ako XDDD
Sa teorya sa palagay ko, ngayon, hindi ko alam kung paano ito magagawa, hindi ko pa nagagawa ito ... ngunit inuulit ko, sa teorya, sa palagay ko magagawa ito.
Matapos mailapat ang mga panuntunang iptable, imposible para sa akin na ma-access ang mga nakabahaging folder ng windows sa lokal na network. Anong patakaran ang dapat kong ilapat upang ayusin ito?
Salamat sa inyo.
Anong mga patakaran sa iptables ang inilapat mo?
Ito ang ika-2 bahagi ng "iptables for newbies", nabasa mo ba ang una? Itinanong ko ito upang malaman kung inilapat mo ang mga patakaran na nasa nakaraang post
Oo, nabasa ko ang parehong bahagi. Para sa script na ibinase ko ang aking sarili sa isa pang post na nai-post tungkol sa pagsisimula ng mga panuntunan sa systemd.
#! / bin / bash
# - UTF 8 -
# Iptables binary
iptables = »/ usr / bin / iptables»
itinapon ""
## Malinis na mga talahanayan ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo »- Ginawang FLUS sa mga iptable» && echo »»
## Ang pagtaguyod ng mga tala na may ULOGD ##
$ iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j ULOG
## Tukuyin ang default na patakaran sa DROP ##
$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
#echo »- Patakarang patak na tinukoy bilang default» && echo »»
## Payagan ang lahat sa localhost ##
$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A OUTPUT -o lo -j ACCEPT
#echo »- Lahat ng pinapayagan para sa localhost» && echo »»
## Payagan na magpasok ng mga packet ng koneksyon na aking pinasimulan ##
$ iptables -A INPUT -m state –state Naitaguyod, KAUGNAYAN -j TANGGAPIN
#echo »- Pinapayagan ang mga packet ng koneksyon na pinasimulan ng aking» && echo »»
itinapon ang "####
echo »## IPTABLES CONFIGURED OK! ## »
itinapon ang "####
Nabasa ko sa internet na para sa samba dapat kang magkaroon ng mga sumusunod na alituntunin sa script:
$ iptables -A INPUT -p tcp –dport 139 -j ACCEPT
$ iptables -A INPUT -p tcp –dport 445 -j ACCEPT
$ iptables -A INPUT -p udp –sport 137 -j ACCEPT
$ iptables -A INPUT -p udp –dport 137 -j ACCEPT
$ iptables -A INPUT -p udp –dport 138 -j ACCEPT
Gayunpaman, hindi kahit sa kanila nakikita ko ang mga workgroup ng windows. : S
Nalutas ang problema. Baguhin ang workgroup at pinapayagan ng mga host ang mga parameter sa file ng pagsasaayos ng samba.
Mahusay na artikulo, mahusay lamang !!!!
Nabasa ko lang ito at gustung-gusto ko ang parehong paraan ng pagpapaliwanag mo dito at ang talagang kapaki-pakinabang na paggamit ng mga iptable, nais kong malaman kung paano ito gamitin nang mas malalim.
Pagbati at mahusay na artikulo, sana ay mag-publish ka pa tungkol sa Iptables! ^^
Mahal na;
Mayroon akong isang proxy na may mga iptable at ang isa sa aking mga network ay hindi maaaring mag-ping http://www.google.cl sa kadahilanang ito mayroon akong mga port na hinarangan at sumusubok ng isang libong mga paraan upang buksan ang mga port at walang nangyari. Kung hindi ko ma-ping hindi ko makakonekta ang pananaw
Binabati kita sa post! Napakahusay Pero may tanong ako. Minsan ang IP address na nakatalaga sa iyo sa network ay maaaring magbago (kung totoo na maaari kaming magtalaga ng isang IP sa aming MAC Addres), ngunit may posibilidad ba sa Iptables na payagan ang pag-access sa aming server sa pamamagitan ng SSH ng MAC Address?
Sana ipinaliwanag ko nang mabuti ang aking sarili.
Regards, at maraming salamat po!
Kumusta, alam mo na mayroon akong isang linux server na na-configure at pagkatapos mailagay ang mga utos na ito ay hinarangan ko ang lahat at nawala ang pag-access, mababawi ko ang halos lahat ngunit nawawala ang 2 bagay ko. * Hindi ko na ma-access mula sa isang web browser sa pamamagitan ng cname «server» kung sa pamamagitan ng ip, 10.10.10.5 at sa kabilang banda ay hindi ko nakikita ang nakabahaging mga mapagkukunan mula sa windows explorer sa network, bago ko ilagay ang \\ server at nakita ang lahat ng ibinahaging mga mapagkukunan. Sana matulungan mo ako, alam kong maloko ito ngunit hindi ko ito malulutas, salamat
Sinipi ko ang verbatim:
'
Icmp protocol, icmp = ping. Iyon ay, hindi ko pinapayagan ang SSH o anumang katulad, pinapayagan ko lamang ang ping (icmp)
'
Ang ICMP at PING ay hindi pareho. Ang Ping ay bahagi ng ICMP protocol, ngunit hindi lahat. Ang ICMP (Internet Control Message Protocol) na protocol ay marami pang gamit, ang ilan sa mga ito ay may ilang mga panganib. At tinatanggap mo ang lahat ng trapiko ng ICMP. Dapat mong paghigpitan lamang sa ping.
Pagbati!
Kailangan kong gumawa ng isang internship ngunit hindi ko masyadong maintindihan ang tungkol sa iptables, maaari mo bang tulungan ako….
salamat !!!!!!!