Я завжди думав, що безпека ніколи не шкодить, і її ніколи недостатньо (ось чому елав Він називає мене нав'язливим і психотичним маніяком безпеки ...), тому навіть коли я використовую GNU / Linux, я не нехтую безпекою своєї системи, своїми паролями (випадково згенерований за допомогою pwgen) тощо.
Крім того, навіть коли системи типу Юнекс є, безсумнівно, дуже безпечними, безсумнівно, рекомендується використовувати a брандмауер, налаштуйте його належним чином, щоб бути максимально захищеним 🙂
Тут я без особливого безладу, плутанини та складних деталей поясню вам, як знати основи Iptables.
Але ... Що за біса iptables?
Iptables Це частина ядра Linux (модуля), що займається фільтрацією пакетів. Це сказано по-іншому, це означає, що Iptables це частина ядра, завданням якої є знати, яку інформацію / дані / пакет ви хочете ввести на свій комп’ютер, а що ні (і робить більше речей, але зосередимося на цьому поки що, хе-хе).
Поясню це по-іншому 🙂
Багато на своїх дистрибутивах використовують брандмауери, Запалювач o Фаєрхол, але ці брандмауери насправді `` ззаду '' (у фоновому режимі) використання Iptables, тоді ... чому б не використовувати безпосередньо Iptables?
І ось що я тут коротко поясню 🙂
Поки що є якісь сумніви? 😀
Для роботи Iptables необхідно мати адміністративні дозволи, тому тут я буду користуватися Суду (але якщо ввести лайк корінь, це непотрібно).
Щоб наш комп’ютер був по-справжньому захищеним, нам потрібно лише дозволити те, що ми хочемо. Дивіться на свій комп’ютер так, ніби це ваш власний дім, у вашому домі ви за замовчуванням НЕ дозволяєте нікому входити, можуть увійти лише певні конкретні люди, яких ви раніше схвалили, так? З брандмауерами відбувається те саме, за замовчуванням ніхто не може зайти на наш комп'ютер, лише ті, хто хоче ввести entrar
Для досягнення цього я пояснюю, ось такі кроки:
1. Відкрийте термінал, помістіть у нього наступне і натисніть [Введіть]:
sudo iptables -P INPUT DROP
Цього буде достатньо, щоб ніхто, абсолютно ніхто не міг увійти до вашого комп’ютера ... і, цей "ніхто" включає і вас самих 😀
Пояснення попереднього рядка: За допомогою цього ми вказуємо iptables, що політика за замовчуванням (-P) для всього, що хоче увійти до нашого комп’ютера (INPUT) - це ігнорувати його, ігнорувати (DROP)Ніхто не є абсолютно загальним, абсолютним насправді, і ви не зможете переглядати Інтернет чи щось інше, тому ми повинні на цьому терміналі помістити наступне та натиснути [Введіть]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
... я не розумію лайна, Що роблять ці дві дивні лінії зараз? ...
Простий 🙂
Перший рядок, про який йдеться, - це те, що сам комп'ютер (-і ло ... до речі, ло = localhost) може робити все, що заманеться. Щось очевидне, що може здатися навіть абсурдним ... але повірте, це так само важливо, як повітря ха-ха.
Другий рядок я поясню, використовуючи приклад / порівняння / метафору, яку я використовував раніше, я маю на увазі порівняння комп’ютера з будинком 🙂 Наприклад, припустимо, ми живемо з більшою кількістю людей у нашому будинку (мати, батько, брати, дівчина тощо). Якщо хтось із цих людей виходить з дому, чи очевидно / логічно, що ми впустимо їх, як тільки вони повернуться, ні?
Саме це робить той другий рядок. Всі підключення, які ми ініціюємо (які виходять з нашого комп’ютера), коли через це з’єднання ви хочете ввести деякі дані, Iptables дозволить ці дані. Поклавши ще один приклад, щоб пояснити це, якщо ми використовуємо наш браузер, ми намагаємося переглядати Інтернет, без цих 2 правил ми не зможемо, ну так ... браузер підключиться до Інтернету, але коли він намагається завантажити дані ( .html, .gif тощо) на наш комп’ютер, щоб показати нам, ви не зможете Iptables Він заборонить введення пакетів (даних), тоді як з цими правилами, оскільки ми ініціюємо підключення зсередини (з нашого комп’ютера), і це саме з’єднання є тим, яке намагається ввести дані, це дозволить доступ.
З цим готовим, ми вже заявили, що ніхто не може отримати доступ до будь-якої служби на нашому комп'ютері, ніхто, крім самого комп'ютера (127.0.0.1), а також, крім з'єднань, які запущені на самому комп'ютері.
Тепер я швидко розтлумачу ще одну деталь, тому що у другій частині цього посібника буде роз’яснено та висвітлено більше про це хе-хе, я не хочу занадто сильно просуватися вперед 😀
Буває, що, наприклад, у них є веб-сайт, опублікований на їх комп'ютері, і вони хочуть, щоб цей веб-сайт бачили всі, оскільки ми раніше заявляли, що все за замовчуванням НЕ дозволяється, якщо не вказано інше, ніхто не зможе побачити наш веб-сайт. Тепер ми зробимо так, щоб кожен міг бачити веб-сайт або веб-сайти, які ми маємо на своєму комп’ютері, для цього ми ставимо:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Пояснити це дуже просто 😀
Цим рядком ми заявляємо, що ви приймаєте або дозволяєте (-j ПРИЙМІТЬ) весь трафік до порту 80 (–Доклад 80) зробіть це TCP (-p tcp), і що це також вхідний трафік (-ВХІД). Я ставлю порт 80, тому що це порт веб-хоста, тобто ... коли браузер намагається відкрити сайт на комп'ютері X, він завжди виглядає за замовчуванням на цьому порту.
Тепер ... що робити, коли ви знаєте, які правила встановлювати, але коли ми перезавантажуємо комп’ютер, бачимо, що зміни не були збережені? ... ну, для цього я вже зробив ще один підручник сьогодні:
Як автоматично запустити правила iptables
Там я детально це пояснюю 😀
І тут закінчується 1-й підручник на iptables для новачків, цікавих та зацікавлених 😉 ... не хвилюйся, це буде не останній хе-хе, наступний буде мати справу з тими ж, але більш конкретними правилами, деталізуючи все трохи більше та підвищуючи безпеку. Я не хочу продовжувати це набагато більше, тому що насправді необхідно, щоб основи (те, що ви читали тут на початку) чудово це розуміли 🙂
Привіт і ... давай, я прояснюю сумніви, поки ти знаєш відповідь LOL !! (Я далеко не фахівець у цьому ха-ха-ха)
Дуже добре! Лише питання? Ви уявляєте, які налаштування за замовчуванням? Питання параноїчно, що я просто: Д.
Велике спасибі.
За замовчуванням, а за замовчуванням він приймає все. Іншими словами, послуга, яку ви розміщуєте на своєму комп'ютері ... послуга, яка буде загальнодоступною 😀
Ти розумієш?
Отже ... коли ви не хочете, щоб веб-сайт X бачив його І вашого друга, або певний IP, з’являється брандмауер, htaccess або якийсь спосіб, який забороняє доступ.
З повагою,
Брат, відмінно !!!! Зараз я збираюся прочитати перше ...
Спасибі за вашу допомогу…
Дісла
Дякую за підручник, він стане в нагоді.
Єдине, що я хотів би знати або переконатись, це те, що якщо з цими інструкціями у мене не виникне жодних проблем, наприклад, для здійснення передачі p2p, завантаження файлів або здійснення відеодзвінків. З того, що я прочитав ні, проблем бути не повинно, але я волію переконатися перед тим, як входити в рядки.
З цього часу дякую.
Привіт.
У вас не повинно виникнути проблем, однак це досить базова конфігурація, у наступному підручнику я детальніше поясню, як додати свої власні правила, залежно від потреби кожного з них 🙂
Але повторюю, у вас не повинно виникнути проблем, якщо вони у вас просто перезавантажте комп'ютер і вуаля, як ніби ви ніколи не налаштовували iptables 😀
Перезапустити? Це звучить дуже віконно. У найгіршому випадку, вам просто потрібно змити правила iptables і встановити за замовчуванням політики ACCEPT, і справа виправлена, тому rockandroleo, у вас не буде проблем.
Saludos!
І, вибачте, я зробив ще один запит, але оскільки ми вже розглядаємо тему брандмауера, можливо, ви пояснили, як застосовувати ці самі команди в графічних інтерфейсах брандмауера, таких як gufw або firestarter.
Перш за все, спасибі.
Привіт.
Я поясню Firestarter, gufw, я його лише бачив і не використовував як такий, можливо, коротко поясню, а може елав зроби сам 🙂
Потім, коли я відчуваю себе хакером, я прочитаю це, я завжди хотів дізнатись про безпеку
Відмінний підручник, мені здається, це добре пояснено, і хоча це поетапно, тим краще, як би сказали, для чайників.
Привіт.
ха-ха-ха-ха дякую 😀
Чудово.
Дуже чітко пояснили.
Потрібно буде прочитати та перечитати, поки знання не врегулюються, а потім продовжити наступні навчальні посібники.
Дякую за статтю.
Дякую 😀
Я намагався пояснити це так, як би мені хотілося, щоб це мені пояснили вперше, LOL !!
Вітаю 🙂
Дуже добре, я тестую, і він працює коректно, що відповідає автоматичному запуску правил на початку. Я залишу це, коли ви опублікуєте другу частину, до того часу у мене буде трохи більше роботи з набором команд кожного разу, коли я перезапускаю ПК, дякую, товаришу за все і за те, як швидко ти його опублікував.
дякую за рекомендації та пояснення.
Ви можете побачити, що стосується iptables з:
sudo iptables -L
Точний 😉
Додаю n насправді:
iptables -nLДякую за підручник, з нетерпінням чекаю другої частини, вітаю.
коли вийде друга частина
У мене є проксі-сервер з кальмаром на Machine1, він надаватиме доступ до Інтернету іншим машинам на цій мережі 192.168.137.0/24, і він прослуховує 192.168.137.22:3128 (я відкриваю порт 3128 для всіх, хто має firestarter), від Machine1, якщо Я поклав у firefox, щоб використовувати проксі 192.168.137.22:3128 це працює. Якщо з іншого комп'ютера з ip 192.168.137.10, наприклад, Machine2, я налаштував його на використання проксі 192.168.137.22:3128, це не працює, за винятком випадку, якщо на Machine1 я поклав у firestarter, щоб ділитися Інтернетом з LAN, там якщо проксі працює, дані потоку передаються через проксі-сервер, але якщо на Machine2 вони скасують використання проксі-сервера і правильно вкажуть шлюз, вони зможуть вільно орієнтуватися.
Про що це?
Якими б були правила з iptables?
"Я намагаюся залишатися на темному боці сили, бо саме в цьому веселість життя". і з маренням джеді-ха-ха-ха-ха-ха
Дуже добре! Я трохи запізнився, так? ха-ха пошту приблизно 2 роки, але я був більш ніж корисним .. Я дякую вам за пояснення цього так просто, що я міг це зрозуміти ха-ха я продовжую з іншими частинами ..
Дякуємо за читання 🙂
Так, пост не зовсім новий, але все ще дуже корисний, я майже нічого не змінив щодо роботи брандмауерів за останнє десятиліття I
Вітаю та дякую вам за коментар
Яке пояснення з квітами і усім. Я "початківець" користувач, але з великим бажанням вивчати Linux, нещодавно я читав пост про скрипт nmap, щоб побачити, хто підключився до моєї мережі, і не робити вас довгим, у коментарі до цього повідомлення, який сказав користувач що Ми застосуємо знаменитий перший рядок, який ви поставили з iptables, і цього було достатньо, а оскільки я надзвичайний нубстер, я застосував його, але, як ви вже писали тут, він не потрапив в Інтернет 🙁
Дякую за цей допис, що пояснює використання iptables, сподіваюся, ви розширите його та повністю поясніть мені його повну роботу. З повагою!
Дякую вам за читання та коментування 🙂
iptables феноменальний, він робить свою роботу, вимикаючи так, настільки добре, що ... ми навіть самі не можемо вийти, це точно, якщо ми не знаємо, як це налаштувати. Ось чому я намагався пояснити iptables якомога простіше, оскільки іноді не кожен може щось зрозуміти з першого разу.
Дякуємо за коментар, вітаю ^ _ ^
PS: Про продовження посади, ось друга частина: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
Ну, велике спасибі, якщо я прочитав другу частину і одразу почав грати на консолі з вашим приголомшливим гідом. Щиро дякую, привіт, до речі, я сподіваюся, ви можете мені допомогти, оскільки я трохи сумніваюся, і, як ви добре знаєте, я новачок, який намагається дізнатись про це чудове безкоштовне програмне забезпечення, до того, що нещодавно у мене був інший дистрибутив до якого я змінив файл dhcp.config рядок і залишив його таким:
#send ім'я хоста ""; Ну, це працювало для мене в цьому дистрибутиві, і все було добре, ім'я мого комп'ютера не відображається на сервері dhcp мого маршрутизатора, лише піктограма комп'ютера, але в цьому новому дистрибутиві я змінив той самий рядок, залишивши той самий, але це не спрацювало. Не могли б ви мене трохи попросити? 🙁 Будь ласка ...
Оскільки це може бути щось складніше або обширніше, створіть тему на нашому форумі (форум.desdelinux.net) і там ми разом вам допоможемо 🙂
Дякуємо за читання та коментарі
Готовий, дякую за відповідь. Завтра вранці я розгляну тему, і я сподіваюся, ви можете мені допомогти, привітання і звичайно обійми.
Відмінна стаття.
Ви думаєте, що за допомогою цього я можу застосувати брандмауер, використовуючи iptables у своєму будинку, чи мені потрібно знати більше? У вас є якийсь підручник з конфігурації, чи з цими статтями він залишається?
що стосується
Насправді це були основи та засоби, якщо ви хочете чогось більш просунутого (наприклад, обмеження підключення тощо), ви можете перевірити всі повідомлення, які говорять про iptables тут - » https://blog.desdelinux.net/tag/iptables
Однак з цим я маю майже весь свій локальний брандмауер 🙂
Для початку вони здаються зовсім не поганими.
Але це щось змінило б.
Я б скинув вхід, переслав і прийняв вихід
-P ВХІД -m стан –держава ВСТАНОВЛЕНО, ПОВ'ЯЗАНО -j ПРИЙНЯТО
Цього було б достатньо, щоб newbi в iptables був "досить безпечним"
Потім відкрийте потрібні нам порти.
Мені дуже подобається сторінка, у них дуже хороші речі. Дякую, що поділились!
Привіт!
На добраніч усім тим, хто коментував, але давайте подивимось, чи можете ви пояснити, чому я більше загублений, ніж вовк у каналізації, я кубинець, і я думаю, що ми завжди йдемо далі на всі можливі теми і добре: Вибачте мене заздалегідь, якщо це не стосується теми !!!
У мене є сервер UBUNTU Server 15, і виявляється, що у мене є послуга, розміщена всередині, яка надається іншою програмою, яка передає потокове телебачення, але я намагаюся керувати нею через MAC-адресу, щоб контроль порту, наприклад, 6500, який її вибирав випадковим чином Ніхто не може ввійти через цей порт, якщо він не має MAC-адреси, зазначеної в iptables. Я зробив конфігурації цієї статті номер один, і вона працює дуже важко, краще, ніж хотілося, але я шукав інформацію в todooooooooooooooo, і я не знайшов щасливої конфігурації, щоб дозволити мак-адресі використовувати лише певний порт і нічого іншого.
наперед дякую!
Привіт, як справи, я прочитав статтю iptables для новачків, це дуже добре, вітаю вас, я не дуже багато знаю про linux, тому я хочу задати вам питання, у мене проблема, якщо ви можете допоможіть, дякую, у мене є сервер з декількома IP-адресами, і кожні кілька днів, коли сервер надсилає електронні листи через ті IP-адреси, які знаходяться на сервері, він перестає надсилати електронні листи, тому для його повторної відправки я повинен поставити:
/etc/init.d/iptables зупиняється
Коли я ставлю це, він знову починає надсилати електронні листи, але через кілька днів він знову блокується, чи можете ви сказати мені, які команди я повинен поставити, щоб сервер не блокував ip? Я читав і з того, що ви говорите на сторінці, за допомогою цих 2 рядків потрібно було б вирішити:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state –state ВСТАНОВЛЕНО, ПОВ'ЯЗАНО -j ACCEPT
Але оскільки я не знаю, чи це саме так, перед тим, як вводити ці команди, я хотів переконатися, що з цим IP-адреси сервера більше не будуть заблоковані, я чекаю вашої оперативної відповіді. Привітання. Миколая.
Привіт, доброго ранку, я прочитав ваш маленький підручник, і він видався дуже хорошим, і з цієї причини я хотів би задати вам запитання:
Як я можу перенаправити запити, які надходять через інтерфейс lo (localhost), на інший комп'ютер (інший IP) з тим самим портом, я використовую щось подібне
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –до 148.204.38.105:3306
але це не переспрямовує мене, я контролюю порт 3306 за допомогою tcpdump, і якщо він отримує пакети, але не надсилає їх на новий IP, але якщо я роблю запити з іншого комп'ютера, він переспрямовує їх. Коротше кажучи, це перенаправляє мене на те, що входить через -i eth0, але не те, що входить через -i lo.
Заздалегідь я ціную велику або незначну допомогу, яку ви можете мені надати. салю2.
Привіт, як справи, сторінка дуже гарна, на ній багато інформації.
У мене проблема, і я хотів дізнатись, чи можете ви мені допомогти, у мене PowerMta встановлена в Centos 6 за допомогою Cpanel, проблема полягає в тому, що через кілька днів PowerMta припиняє надсилати електронні листи назовні, це наче IP-адреси заблоковані, і кожні дні мені доводиться розміщувати команду /etc/init.d/iptables stop, при цьому PowerMta знову починає надсилати електронні листи за кордон, при цьому проблема вирішується на кілька днів, але потім це трапляється знову.
Чи знаєте ви, як я можу вирішити проблему? Чи можу я щось налаштувати на сервері або в брандмауері, щоб це не повторювалось? Оскільки я не знаю, чому це відбувається, якщо ви можете мені допомогти, я спасибі, сподіваюсь на вашу швидку відповідь.
Привіт.
Ніколас.
Відмінне і дуже чітке пояснення, я шукав книги, але вони дуже обширні, і моя англійська мова не дуже хороша.
Чи знаєте ви якісь книги, які ви рекомендуєте іспанською?
Як щодо доброго ранку, дуже добре пояснили, але я все ще не маю входу з Інтернету, поясню, у мене є сервер з Ubuntu, який має дві мережеві карти, одна з такою конфігурацією Encap посилання: Ethernet HWaddr a0 : f3: c1: 10: 05: 93 inet addr: 192.168.3.64 Bcast: 192.168.3.255 Mask: 255.255.255.0 і другий з цим іншим посиланням: Ethernet HWaddr a0: f3: c1: 03: 73: 7b inet addr : 192.168.1.64 Bcast: 192.168.1.255 Маска: 255.255.255.0, де другим є той, який є у мого шлюзу, а це 192.168.1.64, але перша картка - це та, яка контролює мої камери, і я хочу бачити їх із Інтернет з мого фіксованого ip ,,, я бачу їх з мережі, але не з Інтернету, ви могли б мені допомогти в цьому? , або якщо мій маршрутизатор неправильно налаштований, це tp-link archer c2 ,, спасибі
Привіт, я щойно зробив це на своєму сервері, і ти знаєш, як я міг це відновити?
iptables -P INPUT DROP
Я залишаю вам свою електронну пошту ing.lcr.21@gmail.com
Я досить довго шукав високоякісних дописів чи публікацій у блозі цього вмісту. Погугливши, я нарешті знайшов цей веб-сайт. Читаючи цю статтю, я переконуюсь, що знайшов те, що шукав, або принаймні маю це дивне почуття, я виявив саме те, що мені потрібно. Звичайно, я подбаю про те, щоб ви не забули цей веб-сайт і рекомендую його, я планую регулярно відвідувати вас.
привіт
Я вас щиро вітаю! Я прочитав багато сторінок iptables, але жодної з таких простих пояснень, як ваша; відмінне пояснення !!
Дякуємо, що полегшили мені життя завдяки цим поясненням!
На мить я відчуваю себе арабським xD
Мій учитель використовує це для навчання, подяки та привітання. банда