Her zaman güvenliğin asla zarar vermediğini düşünmüşümdür ve asla yeterli değildir (bu yüzden ela Beni takıntılı ve psikopat bir güvenlik manyağı olarak etiketledi ...), dolayısıyla GNU / Linux kullandığım zaman bile, sistemimin güvenliğini, parolalarımı ihmal etmiyorum (ile rastgele oluşturulmuş Pwgen), vb..
Ayrıca, sistemler yazarken bile Unix kuşkusuz çok güvenlidir, şüphesiz bir güvenlik duvarı, mümkün olduğunca iyi korunacak şekilde yapılandırın 🙂
Burada size çok fazla güçlük, karışıklık veya karmaşık ayrıntılar olmadan, işin temellerini nasıl bileceğinizi açıklayacağım. iptables.
Fakat … İptables nedir?
iptables Paket filtrelemeyle ilgilenen Linux çekirdeğinin (bir modül) parçasıdır. Bu başka bir şekilde söyledi, şu anlama geliyor iptables çekirdeğin görevi, bilgisayarınıza hangi bilgileri / verileri / paketi girmek istediğinizi ve neyi girmeyeceğinizi bilmek olanve daha çok şey yapıyor, ama şimdilik buna odaklanalım hehe).
Bunu başka bir şekilde açıklayacağım 🙂
Dağıtımlarında pek çok kişi güvenlik duvarı kullanıyor, Ateşleyici o Ateş tutucu, ancak bu güvenlik duvarları aslında "arkadan" (arka planda) kullanmak iptablesöyleyse ... neden doğrudan kullanmıyorsunuz iptables?
Ve burada kısaca açıklayacağım şey bu 🙂
Şimdiye kadar herhangi bir şüphe var mı? 😀
Birlikte çalışmak iptables yönetici izinlerine sahip olmak gerekli, bu yüzden burada kullanacağım sudo (ama eğer beğenirsen kök, gerek yoktur).
Bilgisayarımızın gerçekten güvenli olması için, yalnızca istediğimiz şeye izin vermeliyiz. Bilgisayarınızı kendi evinizmiş gibi görün, evinizde varsayılan olarak kimsenin girmesine izin VERMEYİN, yalnızca daha önce onayladığınız belirli kişiler girebilir, değil mi? Güvenlik duvarlarında da aynı şekilde olur, varsayılan olarak bilgisayarımıza kimse giremez, sadece girmek isteyenler girebilir 🙂
Bunu başarmak için açıklıyorum, işte adımlar:
1. Bir terminal açın, içine aşağıdakileri koyun ve [Girmek]:
sudo iptables -P INPUT DROP
Bu yeterli olacak ki hiç kimse, kesinlikle hiç kimse bilgisayarınıza giremez ... ve bu "hiç kimse" sizleri de içerir 😀
Önceki satırın açıklaması: Bununla iptables'a, bilgisayarımıza girmek isteyen her şey (GİRİŞ) için varsayılan politikanın (-P) onu yok saymak, görmezden gelmek (DROP) olduğunu belirtiyoruz.Hiç kimse tam anlamıyla genel değildir, aslında mutlak değildir, ne siz ne de internette gezinemezsiniz, bu yüzden o terminale şunu yazmalıyız ve [Girmek]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... bir bok anlamıyorum Bu iki garip çizgi şimdi ne yapıyor? ...
Basit 🙂
İlk satır, bilgisayarın kendisinin (-i lo ... bu arada, lo = localhost) ne isterse yapabilir. Apaçık görünen bir şey, saçma görünebilir ... ama inan bana, hava haha kadar önemli.
İkinci satırda daha önce kullandığım örnek / karşılaştırma / metafor ile anlatacağım, bilgisayarı evle karşılaştırmaktan bahsediyorum 🙂 Örneğin, evimizde daha çok insanla (anne, baba, erkek kardeş, kız arkadaş vb.) Yaşadığımızı varsayalım. Bu insanlardan herhangi biri evi terk ederse, geri döndüklerinde onları içeri alacağımız açık / mantıklı, değil mi?
İkinci satırın yaptığı tam olarak budur. Başlattığımız tüm bağlantılar (bilgisayarımızdan gelen), bu bağlantı üzerinden bazı verileri girmek istediğinizde, iptables bu verilerin içeri girmesine izin verecek. Açıklamak için bir örnek daha koyarsak, tarayıcımızı kullanarak internette gezinmeye çalışırsak, bu 2 kural olmadan yapamayacağız, evet ... tarayıcı internete bağlanacak, ancak veri indirmeye çalıştığında ( .html, .gif, vb.) bilgisayarımıza bize göstermek için, bunu yapamayacağını iptables Paketlerin (verilerin) girişini reddedecek, bu kurallarla bağlantıyı içeriden (bilgisayarımızdan) başlattığımızda ve aynı bağlantı veri girmeye çalışan bağlantı olduğundan erişime izin verecektir.
Bu hazır ile, bilgisayarımızdaki herhangi bir hizmete, bilgisayarın kendisi (127.0.0.1) ve ayrıca bilgisayarın kendisinde başlatılan bağlantılar dışında hiç kimsenin erişemeyeceğini zaten beyan etmiştik.
Şimdi, bir detayı daha hızlı bir şekilde açıklayacağım, çünkü bu eğitimin 2. kısmı bu hehe hakkında daha fazlasını açıklayacak ve kapsayacak, çok fazla ilerlemek istemiyorum 😀
Örneğin, bilgisayarlarında yayınlanan bir web sitesi var ve bu web sitesinin herkes tarafından görülmesini istiyorlar, daha önce olduğu gibi, varsayılan olarak her şeye izin VERİLMEDİ, aksi belirtilmedikçe, hiç kimse bizim web sitemizi göremeyecek. İnternet sitesi. Şimdi, bilgisayarımızdaki web sitesini veya web sitelerini herkesin görebilmesini sağlayacağız, bunun için koyduk:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Bunu açıklamak çok basit 😀
Bu satırla, kabul ettiğinizi veya izin verdiğinizi beyan ediyoruz (-j KABUL) 80 numaralı bağlantı noktasına giden tüm trafik (-Dport 80) TCP yap (-p tcp) ve aynı zamanda gelen trafik olduğunu (-Bir GİRİŞ). 80 numaralı bağlantı noktasını koydum, çünkü bu web sunucusunun bağlantı noktasıdır, yani ... bir tarayıcı X bilgisayarında bir siteyi açmaya çalıştığında, her zaman varsayılan olarak o bağlantı noktasında görünür.
Şimdi ... hangi kuralları koyacağınızı bildiğinizde ne yapmalı, ancak bilgisayarı yeniden başlattığımızda değişikliklerin kaydedilmediğini görüyoruz? ... iyi, bunun için bugün zaten başka bir eğitim yaptım:
İptables kuralları otomatik olarak nasıl başlatılır
Orada ayrıntılı olarak açıklıyorum 😀
Ve burada biter 1. öğretici üzerinde yeni başlayanlar için iptables, meraklı ve ilgili 😉… endişelenme, bu son hehe olmayacak, bir sonraki aynı şeyle ilgilenecek, ama daha özel kurallarla, her şeyi biraz daha detaylandırıp güvenliği artıracak. Bunu daha fazla uzatmak istemiyorum, çünkü gerçekte temellerin (başlangıçta burada okuduğunuz) onu mükemmel bir şekilde anlaması gerekiyor 🙂
Selamlar ve ... hadi, LOL cevabını bildiğiniz sürece şüpheleri açıklığa kavuştururum !! (Bu konuda uzman değilim hahaha)
Çok iyi! Sadece bir soru? Varsayılan ayarların ne olduğu hakkında bir fikriniz var mı? Soru paranoyak, ben sadece: D.
Çok teşekkür ederim.
Varsayılan olarak, varsayılan olarak her şeyi kabul eder. Başka bir deyişle, bilgisayarınıza koyduğunuz hizmet ... geri kalanı için halka açık olacak hizmet 😀
Anladın?
Yani ... X web sitesinin onu VE arkadaşınızın veya belirli bir IP'yi görmesini istemediğinizde, güvenlik duvarı, htaccess veya erişimi reddetmek için bir yöntem gelir.
Saygılarımızla,
Kardeş, Mükemmel !!!! Şimdi ilkini okuyacağım ...
Yardımınız için teşekkürler…
disla
Eğitim için teşekkürler, benim için kullanışlı oluyor.
Bilmek veya emin olmak istediğim tek şey, bu talimatlarla örneğin p2p aktarımları yapmak, dosya indirmek veya video görüşmeleri yapmak için herhangi bir sorun yaşamayacağım. Hayır okuduğum kadarıyla sorun olmamalı ama satırlara girmeden önce emin olmayı tercih ediyorum.
Şu andan beri teşekkürler.
Selamlar.
Sorun yaşamamalısınız, ancak bu oldukça basit bir konfigürasyondur, sonraki eğitimde her birinin ihtiyacına bağlı olarak kendi kurallarınızı nasıl ekleyeceğinizi daha ayrıntılı olarak açıklayacağım, vb 🙂
Ama tekrar ediyorum, eğer iptables'ı hiç yapılandırmamışsınız gibi, sadece bilgisayarı yeniden başlatırsanız ve işte sorun yaşamazsınız 😀
Tekrar başlat ? Kulağa çok pencereli geliyor. En kötü durumda, iptables kurallarını temizlemeniz ve varsayılan politikaları KABUL ET olarak ayarlamanız yeterlidir ve sorun çözülür, bu nedenle rockandroleo, sorun yaşamazsınız.
Saludos!
Ve başka bir istekte bulunduğum için üzgünüz, ancak güvenlik duvarı konusuna geldiğimiz için, bu aynı komutların gufw veya firestarter gibi güvenlik duvarlarının grafik arayüzlerinde nasıl uygulanacağını açıklamanız mümkündür.
Her şeyden önce teşekkürler.
Selamlar.
Firestarter'ı açıklayacağım, sanki ben sadece gördüm ve kullanmadım, belki kısaca açıklayayım belki ela kendim yap 🙂
Sonra bir bilgisayar korsanı gibi hissetmek istediğimde onu okuyacağım, her zaman güvenlik hakkında bilgi edinmek istedim
Mükemmel öğretici, bana iyi açıklanmış gibi görünüyor ve adım adım daha iyi, söyledikleri gibi, aptallar için.
Selamlar.
hahahaha teşekkürler 😀
Harika.
Açıkça açıklandı.
Bilgi yerleşene kadar okuyup tekrar okumanız ve ardından aşağıdaki öğreticilerle devam etmeniz gerekecektir.
Yazı için teşekkürler.
Teşekkürler 😀
Bana ilk defa anlatılmasını istediğim gibi anlatmaya çalıştım, LOL !!
Selamlar 🙂
Çok iyi, test ediyorum ve doğru çalışıyor, bu da kuralların başlangıçta otomatik olarak başlatılmasına karşılık geliyor, onu ikinci bölümü yayınladığınızda bırakacağım, o zamana kadar her yeniden başlattığımda komutları yazarak biraz daha işim olacak PC, eğitim için ve ne kadar çabuk yayınladığınız için teşekkürler arkadaşım.
tavsiye ve açıklamalar için teşekkürler.
İptables ile nelerin geçerli olduğunu görebilirsiniz:
sudo iptables -L
Kesin 😉
Eklerim n aslında:
iptables -nLEğitim için teşekkürler, selamlar olan ikinci bölümü sabırsızlıkla bekliyorum.
ikinci bölüm ne zaman çıkacak
Machine1'de kalamar içeren bir proxy'im var, o lan 192.168.137.0/24'teki diğer makinelere internet taraması sağlayacak ve 192.168.137.22:3128'de (firestarter olan herkes için 3128 numaralı bağlantı noktasını açıyorum), eğer Makine1'den dinliyor firefox'u proxy kullanmak için koydum 192.168.137.22:3128 çalışıyor. IP 192.168.137.10 gibi başka bir bilgisayardan, örneğin Makine2'den, proxy'yi 192.168.137.22:3128 kullanacak şekilde ayarlıyorum, Makine1'de lan ile interneti paylaşmak için firestarter koymam dışında çalışmıyor, orada ise proxy çalışır, akış verileri proxy üzerinden olur, ancak Makine2'de proxy kullanımını kaldırır ve ağ geçidini doğru bir şekilde gösterirse, serbestçe gezinebilirler.
Bu ne hakkında?
İptables ile kurallar ne olurdu?
"Kuvvetin karanlık tarafında kalmaya çalışıyorum, çünkü hayatın eğlencesi burada." ve hahahahaha jedi hezeyanıyla
Çok iyi! Biraz geç kaldım değil mi? haha gönderi yaklaşık 2 yaşında ama faydalı olmaktan çok daha fazlasını yaptım .. Anlayabildiğim kadar basit anlattığın için teşekkür ederim haha diğer bölümlerle devam ediyorum ..
Okuduğunuz için teşekkürler 🙂
Evet, gönderi tamamen yeni değil ama yine de çok kullanışlı, son on yılda güvenlik duvarlarının çalışma biçiminde neredeyse hiçbir şey değişmedi bence creo
Selamlar ve yorum yaptığınız için teşekkürler
Çiçeklerle ve her şeyle ne bir açıklama. Ben "acemi" bir kullanıcıyım, ancak Linux öğrenmeyi çok arzuluyorum, son zamanlarda ağıma kimin bağlı olduğunu görmek ve sizi fazla uzatmamak için bir nmap betiği hakkında bir yazıyı okuyordum. iptables'dan koyduğunuz meşhur ilk satırı uygulayacağız ve bu yeterliydi ve ben müthiş bir çaylak olduğum için uyguladım ama tam burada yazdığınız gibi internete girmedi 🙁
İptables'ın kullanımını açıklayan bu gönderi için teşekkür ederim, umarım onu uzatır ve tüm işleyişini tam olarak açıklarsın. Şerefe!
Okuduğunuz ve yorum yaptığınız için teşekkürler 🙂
iptables olağanüstü, kapatma işini yapıyor, o kadar iyi ki ... kendimiz bile çıkamıyoruz, bu kesin, nasıl yapılandıracağımızı bilmediğimiz sürece. Bu yüzden iptables'ı olabildiğince basit bir şekilde açıklamaya çalıştım, çünkü bazen herkes bir şeyi ilk seferinde anlayamıyor.
Yorumunuz için teşekkürler, saygılarımla ^ _ ^
Not: Gönderiyi genişletmekle ilgili olarak, işte 2. kısım: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Pekala, çok teşekkür ederim, eğer ikinci bölümü okursam ve muazzam rehberinizle hemen konsolda oynamaya başlarsam. Çok teşekkür ederim, bu arada umarım biraz şüphem olduğu için bana yardımcı olabilirsiniz ve bu harika özgür yazılım hakkında bilgi edinmeye çalışan bir acemi olduğumu da bildiğiniz gibi, kısa süre önce farklı bir dağıtım yükledim dhcp.config dosyasını bir satır değiştirip şöyle bıraktım:
#send ana bilgisayar-adı ""; Bu dağıtımda benim için çalıştı ve her şey yolundaydı, bilgisayar adım yönlendiricimin dhcp sunucusunda görünmüyor, yalnızca bilgisayarın simgesi, ancak bu yeni dağıtımda aynı satırı değiştirerek aynı bıraktım ama işe yaramadı. Bana biraz rehberlik edebilir misin? 🙁 Lütfen ...
Bu daha karmaşık veya kapsamlı bir şey olabileceğinden forumumuzda (forum.xml) bir konu oluşturun.desdelinux.net) ve orada birlikte size yardımcı olacağız 🙂
Okuduğunuz ve yorum yaptığınız için teşekkürler
Hazır, cevap için teşekkürler. Yarın sabah konuyu yapıyorum ve umarım bana yardım edebilirsin, selamlar ve tabii ki kucaklaşırsın.
Harika makale.
Bununla evimde iptables kullanarak bir güvenlik duvarı uygulayabilir miyim yoksa başka bir şey bilmeme gerek var mı? Herhangi bir yapılandırma eğitiminiz var mı yoksa bu makalelerle birlikte kalıyor mu?
Saygılarımızla
Aslında bu temel bilgilerdi ve daha gelişmiş bir şey istiyorsanız (bağlantı limiti gibi) burada iptables hakkında konuşan tüm gönderileri kontrol edebilirsiniz - » https://blog.desdelinux.net/tag/iptables
Ancak bununla neredeyse tüm yerel güvenlik duvarım var 🙂
Başlangıçta hiç de kötü görünmüyorlar.
Ama bir şeyi değiştirirdi.
Bir girdiyi bırakıp iletir ve bir çıktıyı kabul ederdim
-P GİRİŞ -m durum -devlet KURULU, İLGİLİ -j KABUL
Bu, iptables'taki bir yeninin "oldukça güvenli" olması için yeterli olacaktır.
Ardından ihtiyacımız olan bağlantı noktalarını açın.
Sayfayı gerçekten beğendim, çok güzel şeyleri var. Paylaşım için teşekkürler!
Selamlar!
Yorum yapan herkese iyi geceler, ama neden lağımda bir kurttan daha fazla kaybolduğumu açıklığa kavuşturacak mısınız, ben Kübalıyım ve her zaman mümkün olan her konuda daha ileri gittiğimize ve iyi olduğuna inanıyorum: konuyla alakası yok !!!
Bir UBUNTU Sunucusu 15 sunucum var ve TV akışı olan başka bir program tarafından sağlanan içinde barındırılan bir hizmetim olduğu ortaya çıktı, ancak onu MAC Adresi aracılığıyla kontrol etmeye çalışıyorum, böylece bağlantı noktasının kontrolü, örneğin 6500 onu seçiyor rasgele iptables'da belirtilen MAC Adresiyle birlikte olmadıkça, hiç kimse bu bağlantı noktasından giriş yapamaz. Bu makalenin konfigürasyonlarını bir numaralı yaptım ve çokyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy iyi, istediğimden daha iyi ama todooooooooooooo'da bilgi aradım ve bir mac adresinin yalnızca belirli bir bağlantı noktasını kullanmasına izin verecek mutlu yapılandırmayı bulamadım, başka hiçbir şey.
şimdiden teşekkür ederim!
Merhaba, nasılsın, yeni başlayanlar için iptables yazısını okudum, çok iyi, seni tebrik ediyorum, linux hakkında pek bir şey bilmiyorum, bu yüzden sana bir soru sormak istiyorum, bir sorunum var, eğer yapabilirsen bana yardım et teşekkür ederim, birkaç IP'ye sahip bir sunucum var ve birkaç günde bir, sunucu sunucudaki IP'ler aracılığıyla e-posta gönderirken, e-posta göndermeyi durdurur, bu yüzden tekrar e-posta göndermesi için şunu koymam gerekir:
/etc/init.d/iptables durdur
Bunu koyduğumda tekrar e-posta göndermeye başlıyor, ancak birkaç gün sonra tekrar bloke oluyor, sunucunun IP'leri engellememesi için hangi komutları koymam gerektiğini bana söyleyebilir misiniz? Okuyordum ve söylediklerinizden sayfada, Bu 2 satırın çözülmesi gerekirdi:
sudo iptables -Bir GİRİŞ -i lo -j KABUL
sudo iptables -Bir GİRİŞ -m durum –devlet KURULU, İLGİLİ -j KABUL
ancak bunun ne olduğunu bilmediğim için, bu komutları koymadan önce, sunucunun IP'lerinin artık engellenip engellenmeyeceğini görmek istedim, anında yanıtınızı bekliyorum. Saygılarımızla. Nicholas.
Merhaba günaydın, küçük öğreticinizi okudum ve çok iyi göründü ve bu nedenle size bir soru sormak istiyorum:
Lo arabiriminden (localhost) giren istekleri aynı bağlantı noktasıyla başka bir bilgisayara (başka bir IP) nasıl yönlendirebilirim, böyle bir şey kullanıyorum
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT – ile 148.204.38.105:3306
ancak beni yönlendirmiyor, 3306 numaralı bağlantı noktasını tcpdump ile izliyorum ve paketleri alıyor ancak yeni IP'ye göndermiyorsa, ancak başka bir bilgisayardan istekte bulunursam onları yeniden yönlendiriyor. Kısacası, -i eth0 ile gelenleri yönlendiriyor, ama -i lo ile gelenleri değil.
Bana verebileceğiniz çok veya az yardımı şimdiden takdir ediyorum. salu2.
Merhaba nasılsın, sayfa çok iyi, çok fazla bilgi var.
Bir sorunum var ve bana yardım edip edemeyeceğinizi görmek istedim, PowerMta'yı Cpanel ile Centos 6'ya kurdum, sorun şu ki birkaç gün sonra PowerMta dışarıya e-posta göndermeyi durduruyor, sanki IP'ler bloke olmuş gibi ve her gün /etc/init.d/iptables stop komutunu vermem gerekiyor, bununla birlikte PowerMta yurtdışına tekrar e-posta göndermeye başlıyor, bununla birlikte sorun birkaç gün çözülüyor, ama sonra tekrar oluyor.
Sorunu çözmek için nasıl yapabileceğimi biliyor musunuz? Sunucuda veya güvenlik duvarında bunun bir daha olmaması için yapılandırabileceğim bir şey var mı? Bunun neden olduğunu bilmediğim için, bana yardım edebilirseniz ben teşekkür ederim, umarım kısa sürede cevap verirsiniz.
Selamlar.
Nicolas.
Mükemmel ve çok net bir açıklama, kitapları aradım ama çok kapsamlılar ve İngilizcem çok iyi değil.
İspanyolca tavsiye ettiğin herhangi bir kitap biliyor musun?
Günaydın, çok iyi açıklanmış ama yine de internetten bir girişim yok, açıklayacağım, Ubuntu'lu bir sunucum var, iki ağ kartı var, biri bu konfigürasyonda Link encap: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet adres: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 ve bu diğer Bağlantı enkapsıyla ikinci: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet adres : 192.168.1.64 Bcast: 192.168.1.255 Mask: 255.255.255.0, ikincisi ağ geçidimin sahip olduğu 192.168.1.64'dür, ancak ilk kart kameralarımı kontrol eden karttır ve onları buradan görmek istiyorum internetten sabit ipimden ,,, onları lan üzerinden görebiliyorum ama internetten göremiyorum, bana yardım edebilir misin? veya yönlendiricim yanlış yapılandırılmışsa, bir tp-link okçu c2 ,,, teşekkürler
Merhaba, bunu az önce sunucumda yaptım ve biliyorsunuz, onu nasıl kurtarabilirim?
iptables -P GİRİŞ DROP
Sana e-postamı bırakıyorum ing.lcr.21@gmail.com
Bu içerikle ilgili yüksek kaliteli gönderiler veya blog gönderileri arıyordum. Googling sonunda bu web sitesini buldum. Bu makaleyi okuyarak, aradığımı bulduğuma ya da en azından o garip duyguya sahip olduğuma, tam olarak ihtiyacım olanı keşfettiğime ikna oldum. Elbette bu siteyi unutmamanızı sağlayacağım ve tavsiye edeceğim, düzenli olarak ziyaret etmeyi planlıyorum.
selamlar
Seni gerçekten tebrik ediyorum! Birçok iptables sayfası okudum ama hiçbiri sizinki kadar basit bir şekilde açıklanmadı; mükemmel açıklama !!
Bu açıklamalarla hayatımı kolaylaştırdığınız için teşekkürler!
Bir an için kendimi Arap gibi hissediyorum xD
Öğretmenim bunu öğretmek için kullanıyor, teşekkürler ve selamlar. çete