Як автоматично запустити правила iptables

Припустимо, у нас є свої правила Iptables вже думали, але незалежно від того, наскільки добре ми пишемо їх у терміналі, щоразу, коли ми перезавантажуємо комп'ютер, це ніби ніколи не оголошували ці правила ... тобто, кожного разу, коли ми перезавантажуємо комп'ютер, правила або зміни, які ми вносили в Iptables губляться.

Щоб цього уникнути, є кілька рішень ... Я поговорю з вами тут про те, як я переконуюсь, що цього не відбувається 🙂

Знаючи, якими правилами користуватися, ми поміщаємо їх у файл (/ etc / iptables-script наприклад) і ми надаємо йому дозволи на виконання (chmod + x /etc/iptables-script.sh), як тільки це буде зроблено, залишиться ще один крок 😉

Я буду використовувати як приклад правила для Iptables що я використовую в мій ноутбук, Я залишаю їх у Паста наш: Паста No 4411

1. У мене є ці правила, і я поміщаю їх у файл із назвою: iptables-скрипт , що в / тощо /

2. Потім я даю дозволи на виконання: chmod + x / etc / iptables-script

3. І ось останній крок, ми повинні сказати системі запустити цей сценарій, коли він запускається, для цього ми помістили його у файл /etc/rc.local. Ви можете побачити мій rc.local тут: Паста No 4412

Готовий, більше нічого, при запуску ПК застосовуватимуться правила (так, вони всі на 100% добре) 😀

І не хвилюйтесь ... ДУЖЕ детальний підручник з’явиться (я сподіваюся незабаром закінчити його) Iptables, орієнтований на новачків, пояснюється досить смішно і просто 🙂

привіт


16 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   езіток - сказав він

    Щиро дякую за інформацію. IPtables - це тема, яка очікує на розгляд, і я завжди розтягую її на інший час. Чекаємо на підручник! Зокрема, я хотів би мати можливість з будь-якого місця підключитися до домашнього комп’ютера через ssh, але це складно, оскільки вдома у мене є маршрутизатор та IP-адреса, які мій постачальник послуг Інтернету часто змінює. Через no-ip.org я зміг створити хост, проблема полягає в тому, що мені здається, що я заблокував порти (з маршрутизатора, і я не знаю, чи це також через IPTables). У всякому разі, як я вже казав раніше, чекаю вихователя!

    1.    KZKG ^ Гаара - сказав він

      Привіт і ласкаво просимо 😀
      Про маршрутизатор я не знаю, але це може бути так ... його там можуть заблокувати. Тепер на вашому комп’ютері, якщо ви не використовуєте жодного брандмауера, було б достатньо встановити SSH і запустити його і вуаля, порт 22 відкритий із запитом пароля 🙂

      Я працюю над іншим підручником, я дійсно пояснюю це дуже дидактично і просто ха-ха.
      Вітаю та дякую за ваш коментар 😀

  2.   хрипкий - сказав він

    Ще один тут чекає нових речей про iptables

    1.    KZKG ^ Гаара - сказав він

      Це на шляху 😀
      Дякуємо, що завітали та прокоментували ^ - ^

  3.   фаустод - сказав він

    Ну, це iptables - одна з найбільш захоплюючих речей, яких я досі не знаю, але те, що я мало бачив, свідчить про те, що багато років тому мені довелося вирішити використовувати Gnu / Linux. Мені це подобається….

  4.   Оскар - сказав він

    Ну друже, я завжди чекаю на практиці корисних підручників, які ти публікуєш. Iptables чекатимуть на вас.

  5.   фаустод - сказав він

    Брат,

    Але чи працює ця машина як проксі-сервер, чи це просто для підключення до Інтернету та захисту? Є речі, яких я не розумію.

    1.    KZKG ^ Гаара - сказав він

      Немає про проксі, для проксі вам також потрібно буде відкрити порт цієї служби (наприклад, 3128). Не хвилюйся, я покладу підручник з поясненням iptables 😀

  6.   Хьюго - сказав він

    На Debian одним із способів автоматичного завантаження правил є встановлення стійкого пакета iptables (здається, маловідомого)

    Я почав використовувати цей варіант, але, нарешті, я вирішив розмістити скрипт у /etc/network/if-pre-up.d/, щоб мати змогу робити інші більш просунуті речі, такі як встановлення обмежувальних політик, таких як резервні, на випадок помилки з основними правилами .

  7.   Claudio - сказав він

    Не могли б ви пояснити, що ви встановлюєте в пасті No 4411? Я прочитав, але не знаю, про що йдеться!

    (Якщо ви вже опублікували черговий підручник, вибачте за запитання, але я шукав iptables і знайшов кілька підручників)
    А з іншого боку, те, що вони згадують про пакет iptables-persistent, служить заміною тому, що ви згадали?

    Наразі я вже впроваджую те, про що ви докладно https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

    1.    KZKG ^ Гаара - сказав він

      Привіт 😀
      Так, насправді це не так складно.

      - Спочатку я встановив змінні, щоб зберегти запис декількох зайвих символів, це з рядків 4 до 18.
      - Після 23-25 ​​я очищаю все, що написав iptables, що є порожнім або 100% чистим, тоді я пишу правила.
      - У 29 і 30 я встановлюю, що за замовчуванням НЕ дозволяю вхідний трафік (вхід) на своєму ноутбуці та будь-який трафік, який проходить через нього (вперед)
      - У 34 році я кажу, що lo (lo = localhost, який є самим ноутбуком) може використовувати мережу.
      - У 38 я вказую, що з'єднання, які я ініціюю, якщо ці з'єднання генерують пакети, які намагатимуться увійти в комп'ютер, як я був початком цих пакетів (оскільки вони були згенеровані чимось, що я зробив), тоді вони зможуть ввести .
      - Зараз з 42 я починаю дозволяти підключення різних типів або через різні порти. Тобто в No42 я дозволяю вхідний пінг з моєї домашньої мережі (змінної casa_network) до IP-адреси, яку мій ноутбук має вдома (змінної geass_casa_lan).
      - У 43 те саме, але в даному випадку я вказую, що це IP мого ноутбука вдома, так, але замість LAN це буде через Wi-Fi.
      - І з цього часу це однакові правила ... дозволяють доступ до певних портів або служб, які я маю на своєму ноутбуці, до певних IP-адрес або мереж 🙂

      Я дуже рекомендую вам прочитати це: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

      Якщо після цього у вас все ще виникають сумніви щодо певних правил, будь ласка, запитайте мене тут або через форум (http://foro.desdelinux.net), і я справді уточнюю, що для цього потрібно 🙂

      Про iptables-persistent я фактично не користувався ним, я не міг вас запевнити ... трапляється, що фільтрація пакетів, зокрема iptables, є дуже делікатною справою, оскільки від цього залежить велика частина безпеки нашої системи, і для цього причина полягає в тому, що якщо я в чомусь не впевнений, то я не забезпечую його правильну роботу.

      Вітаю 😀

      1.    Клаудіа - сказав він

        Дякую за відповідь. Так, я прочитав посилання, яке ви мені даєте! Насправді, поки я не вимкнув / перезапустив, вони застосовуються sudo iptables -A INPUT -i lo -j ACCEPT
        sudo iptables -A INPUT -m state –state ВСТАНОВЛЕНО, ПОВ'ЯЗАНО -j ACCEPT (плюс попередній, згаданий у цій публікації)
        .
        Після декількох прочитань про брандмауери та про те, як я змушений підтримувати контакт і отримувати файли, що надходять з ПК з M $, здавалося правильним впровадити iptables.
        Якщо я скопіюю вміст вставки № 4411 у свій блокнот, чи доведеться щось змінювати, чи це просто спрацює?

        1.    KZKG ^ Гаара - сказав він

          Кожен комп’ютер відрізняється, тому що кожен користувач є. Спочатку потрібно визначити, які послуги ви маєте на своєму комп’ютері (Інтернет тощо), і знати, які саме ви хочете бути загальнодоступними (до яких інші можуть отримати доступ), а які - ні.

          У своєму скрипті (який я повинен змінити зараз, хе-хе) я визначаю, що веб-сервер (HTTP) буде видимим для певних IP-адрес, ping дозволить це для всіх у певних мережах і т.д.

          Si necesitas ayuda escríbeme a mi email personal, con mucho gusto te ayudo: kzkggaara[@]desdelinux[.]чистий

          Або залиште допис на нашому форумі, і більше користувачів допоможуть вам: http://foro.desdelinux.net

          1.    Claudio - сказав він

            Я збираю тему на форумі, дякую за відповіді. І приготуйтеся до ще кількох сумнівів хе! У будь-якому разі я трохи читаю цю тему, щоб не зловживати

  8.   Адріана Дельмонте - сказав він

    тестування ... щоб побачити, чи отримуєте ви мене, у мене є багато запитань до вас ...!

  9.   Шоннс - сказав він

    Привіт, брате, я хотів подивитися, чи є ще підручники, крім цієї публікації, які я починаю в iptables, і я хочу задокументувати себе