Cách khởi động quy tắc iptables tự động

Giả sử chúng ta có các quy tắc của mình về iptables đã nghĩ rồi, nhưng cho dù chúng ta viết chúng trong một thiết bị đầu cuối tốt đến đâu, bất cứ khi nào chúng ta khởi động lại máy tính, nó như thể chúng ta chưa bao giờ khai báo những quy tắc đó ... nghĩa là mỗi khi chúng ta khởi động lại máy tính, các quy tắc hoặc thay đổi mà chúng ta có sản xuất tại iptables bị mất.

Để tránh điều đó, có một số giải pháp ... Tôi sẽ nói chuyện với bạn ở đây về cách tôi đảm bảo rằng điều này không xảy ra 🙂

Biết những quy tắc nào cần sử dụng, chúng tôi đưa chúng vào một tệp (/ etc / iptables-script ví dụ) và chúng tôi cấp cho nó quyền thực thi (chmod + x /etc/iptables-script.sh), khi đã xong, chỉ còn một bước nữa thôi 😉

Tôi sẽ sử dụng làm ví dụ các quy tắc cho iptables tôi dùng làm gì máy tính xách tay của tôi, Tôi để chúng trong Dán của chúng tôi: Dán số 4411

1. Tôi có những quy tắc đó và tôi đặt chúng vào một tệp có tên: iptables-script , đó là trong /Vân vân/

2. Sau đó, tôi cấp cho nó quyền thực thi: chmod + x / etc / iptables-script

3. Và bây giờ là bước cuối cùng, chúng ta phải yêu cầu hệ thống chạy tập lệnh đó khi nó khởi động, để chúng ta đưa nó vào tệp /etc/rc.local. Bạn có thể xem rc.local của tôi tại đây: Dán số 4412

Sẵn sàng, không gì khác, khi bạn khởi động PC, các quy tắc sẽ được áp dụng (vâng họ đều ổn 100%) 😀

Và đừng lo lắng ... một hướng dẫn RẤT chi tiết sẽ đến (tôi hy vọng sẽ hoàn thành nó sớm) về iptables, hướng đến người mới, được giải thích khá vui và đơn giản 🙂

Liên quan


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

16 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố.

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   ezitoc dijo

    Cảm ơn bạn rất nhiều cho các thông tin. IPtables là một chủ đề đang chờ xử lý mà tôi luôn kéo dài thời gian khác. Đang chờ hướng dẫn! Đặc biệt, tôi muốn có thể kết nối từ bất cứ đâu với máy tính tại nhà của mình thông qua ssh, nhưng điều đó rất phức tạp đối với tôi vì ở nhà tôi có bộ định tuyến và IP mà ISP cung cấp cho tôi thường xuyên thay đổi. Thông qua no-ip.org, tôi đã có thể tạo một máy chủ lưu trữ, vấn đề là với tôi, có vẻ như tôi đã chặn các cổng (từ Bộ định tuyến và tôi không biết liệu nó có thông qua IPTables hay không). Dù sao, như tôi đã nói trước đây, chờ đợi gia sư!

    1.    KZKG ^ Gaara dijo

      Xin chào và chào mừng 😀
      Về bộ định tuyến tôi không biết, nhưng nó có thể là yep ... nó có thể bị chặn ở đó. Bây giờ, trên máy tính của bạn, nếu bạn không sử dụng bất kỳ tường lửa nào, chỉ cần cài đặt SSH và khởi động nó và thì đấy, cổng 22 mở yêu cầu mật khẩu 🙂

      Tôi đang thực hiện hướng dẫn khác, tôi thực sự đang giải thích nó rất khoa học và đơn giản haha.
      Xin chào và cảm ơn vì nhận xét của bạn 😀

  2.   khò khè dijo

    Một người khác ở đây chờ đợi những điều mới về iptables

    1.    KZKG ^ Gaara dijo

      Nó đang trên đường đi 😀
      Cảm ơn vì đã ghé qua và bình luận ^ - ^

  3.   Faustod dijo

    Chà, iptables này là một trong những thứ hấp dẫn nhất mà tôi vẫn chưa biết nhưng những gì tôi ít thấy cho thấy rằng nhiều năm trước tôi đã phải quyết định sử dụng Gnu / Linux. Tôi thích nó….

  4.   Oscar dijo

    Bạn à, tôi luôn chờ đợi để thực hiện các hướng dẫn hay mà bạn xuất bản. Iptables sẽ chờ đợi bạn.

  5.   Faustod dijo

    Anh trai,

    Nhưng máy này có hoạt động như một proxy hay nó chỉ để kết nối với internet và được bảo vệ? Có những điều mà tôi không hiểu.

    1.    KZKG ^ Gaara dijo

      Không phải là không có gì về proxy, đối với proxy, bạn cũng cần phải mở cổng của dịch vụ đó (ví dụ: 3128). Đừng lo lắng, tôi sẽ viết một hướng dẫn giải thích về iptables 😀

  6.   Hugo dijo

    Trên Debian, một cách để làm cho các quy tắc tự động tải là cài đặt gói liên tục iptables (dường như ít được biết đến)

    Tôi đã bắt đầu sử dụng biến thể này, nhưng cuối cùng tôi đã chọn đặt một tập lệnh trong /etc/network/if-pre-up.d/ để có thể thực hiện những việc nâng cao khác như đặt các chính sách hạn chế như dự phòng trong trường hợp có lỗi với các quy tắc chính.

  7.   Claudio dijo

    Bạn có thể giải thích những gì bạn thiết lập trong Dán số 4411? Tôi đọc nó nhưng tôi không biết nó là gì về heh!

    (Trong trường hợp bạn đã đăng một hướng dẫn khác, xin miễn cho câu hỏi nhưng tôi đã tìm kiếm iptables và tìm thấy một vài hướng dẫn)
    Và mặt khác, những gì họ đề cập đến gói liên tục iptables đóng vai trò thay thế cho những gì bạn đề cập?

    Hiện tại, tôi đang triển khai những gì bạn trình bày chi tiết https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

    1.    KZKG ^ Gaara dijo

      Xin chào 😀
      Vâng, nó thực sự không phức tạp.

      - Đầu tiên, tôi thiết lập các biến, để tiết kiệm việc viết một số ký tự thừa, điều này từ dòng 4 đến dòng 18.
      - Sau 23 đến 25, tôi xóa sạch mọi thứ tôi đã viết trong iptables, trống hoặc sạch 100% sau đó tôi viết các quy tắc.
      - Trong 29 và 30, tôi thiết lập rằng theo mặc định, tôi sẽ KHÔNG cho phép bất kỳ lưu lượng đến (đầu vào) nào trên máy tính xách tay của mình và bất kỳ lưu lượng nào đi qua đó (chuyển tiếp)
      - Trong 34 tôi nói rằng lo (lo = localhost, chính là máy tính xách tay) có thể sử dụng mạng.
      - Trong 38, tôi chỉ định rằng các kết nối mà tôi khởi tạo, nếu những kết nối đó tạo ra các gói sẽ cố gắng đi vào máy tính, vì tôi là người bắt đầu các gói đó (vì chúng được tạo ra bởi một cái gì đó tôi đã làm) thì chúng sẽ có thể vào.
      - Bây giờ từ 42 tôi bắt đầu cho phép kết nối các loại khác nhau hoặc thông qua các cổng khác nhau. Đó là, ở số 42, tôi cho phép ping đến, từ mạng gia đình của tôi (biến casa_network) đến IP mà máy tính xách tay của tôi có ở nhà (biến geass_casa_lan).
      - Ở 43 cũng vậy, nhưng trường hợp này mình ghi rõ đó là IP của laptop mình ở nhà thì phải, nhưng thay vì mạng LAN thì sẽ qua Wifi.
      - Và từ đó trở đi, nó là cùng một loại quy tắc ... cho phép truy cập vào một số cổng hoặc dịch vụ nhất định mà tôi có trên máy tính xách tay của mình, tới các IP hoặc mạng nhất định 🙂

      Tôi thực sự khuyên bạn nên đọc cái này: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/

      Nếu sau đó bạn vẫn còn nghi ngờ với các quy tắc nhất định, vui lòng hỏi tôi tại đây hoặc thông qua diễn đàn (http://foro.desdelinux.net) và tôi thực sự làm rõ những gì nó cần 🙂

      Về iptables-dai dẳng, tôi chưa thực sự sử dụng nó, tôi không thể đảm bảo với bạn ... nó xảy ra rằng việc lọc các gói, cụ thể là iptables là một vấn đề rất tế nhị, vì một phần lớn tính bảo mật của hệ thống của chúng tôi phụ thuộc vào điều này, và vì lý do này, nếu tôi không chắc chắn điều gì đó, sau đó tôi không đảm bảo hoạt động chính xác của nó.

      Xin chào 😀

      1.    claudio dijo

        Cảm ơn vi đa trả lơi. Vâng, tôi đã đọc liên kết mà bạn cung cấp cho tôi! Trên thực tế, cho đến khi tôi tắt / khởi động lại, chúng đang được áp dụng sudo iptables -A INPUT -i lo -j CHẤP NHẬN
        sudo iptables -A INPUT -m state –state ĐƯỢC LẬP, LIÊN QUAN -j CHẤP NHẬN (cộng với cái trước được đề cập trong bài đăng đó)
        .
        Sau một vài bài đọc về tường lửa và cách tôi buộc phải giữ liên lạc và nhận các tệp đến từ PC có M $, việc triển khai iptables có vẻ đúng.
        Nếu tôi sao chép nội dung của Dán số 4411 vào sổ ghi chép của mình, tôi có phải thay đổi thứ gì đó không hay nó chỉ hoạt động?

        1.    KZKG ^ Gaara dijo

          Mỗi máy tính đều khác nhau, bởi vì mọi người dùng đều như vậy. Trước tiên, bạn phải xác định những dịch vụ bạn có trên máy tính của mình (web, v.v.) và biết những dịch vụ nào bạn muốn ở chế độ công khai (người khác có thể truy cập) và những dịch vụ nào không.

          Trong tập lệnh của tôi (mà tôi phải sửa đổi ngay bây giờ hehe) tôi xác định rằng máy chủ web (HTTP) sẽ hiển thị cho một số IP nhất định, ping sẽ cho phép mọi người trong một số mạng nhất định, v.v.

          Nếu bạn cần trợ giúp, hãy viết thư cho tôi vào email cá nhân của tôi, tôi sẽ sẵn lòng giúp bạn: kzkggaara [@] desdelinux [.] Net

          Hoặc, để lại một bài đăng trong diễn đàn của chúng tôi và nhiều người dùng hơn sẽ giúp bạn: http://foro.desdelinux.net

          1.    Claudio dijo

            Tôi đang đặt một chủ đề cùng nhau trong diễn đàn, cảm ơn vì câu trả lời. Và hãy sẵn sàng cho một vài nghi ngờ nữa heh! Dù sao tôi cũng đang đọc một chút về chủ đề để không lạm dụng

  8.   Adriana delmonte dijo

    đang test ... để xem bạn có nhận được không, mình có rất nhiều câu hỏi muốn hỏi bạn ...!

  9.   seanns dijo

    Xin chào người anh em, tôi muốn xem có nhiều hướng dẫn hơn ngoài bài đăng này mà tôi bắt đầu trong iptables và tôi muốn ghi lại