Khi DesdeLinux Tôi chỉ mới được vài tháng tuổi và tôi đã viết một bài hướng dẫn cực kỳ đơn giản dễ hiểu về iptables: iptables cho người mới, tò mò, thích thú (phần 1) . Sử dụng các phép ẩn dụ như so sánh máy tính của chúng ta với ngôi nhà của chúng ta, tường lửa của chúng ta với cánh cửa của ngôi nhà, cũng như các ví dụ khác, tôi đã giải thích một cách thú vị, không có quá nhiều kỹ thuật hoặc khái niệm phức tạp, tường lửa là gì, iptables là gì và cách bắt đầu sử dụng nó và cấu hình. Đây là phần tiếp theo, phần thứ 2 của hướng dẫn iptables trước 🙂
Chuyện xảy ra là cách đây vài ngày khi sử dụng Linksys AP (Access Point) tôi có đặt Wifi tại nhà bạn gái, tuy ở địa phương không phải là người am hiểu nhất về công nghệ, tức là không có nhiều nguy cơ bị bẻ khóa, nó luôn Một ý tưởng hay để có bảo mật tuyệt vời cả trong Wifi và máy tính.
Tôi sẽ không bình luận về bảo mật Wi-Fi ở đây, vì nó không phải là mục tiêu của bài đăng, tôi sẽ tập trung vào cấu hình iptables mà tôi hiện đang sử dụng trên máy tính xách tay của mình.
Trong bài trước, tôi đã giải thích rằng cần phải có tường lửa để từ chối tất cả lưu lượng đến trước tiên, vì điều này:
sudo iptables -P INPUT DROP
Sau đó, chúng tôi phải cho phép máy tính của mình có quyền nhập dữ liệu:
sudo iptables -A INPUT -i lo -j ACCEPT
Cũng như chấp nhận các gói yêu cầu bắt nguồn từ máy tính của chúng tôi:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Cho đến nay máy tính của chúng tôi có thể điều hướng Internet mà không gặp sự cố, nhưng không ai từ bất kỳ môi trường nào khác (LAN, Internet, Wifi, v.v.) sẽ có thể truy cập máy tính của chúng tôi theo bất kỳ cách nào. Chúng tôi sẽ bắt đầu cấu hình iptables theo nhu cầu của chúng tôi.
Sử dụng ulogd để xuất nhật ký iptables sang một tệp khác:
Theo mặc định, nhật ký iptables đi trong nhật ký hạt nhân, nhật ký hệ thống, hoặc những thứ tương tự ... trong Arch theo mặc định, ngay bây giờ tôi thậm chí không nhớ chúng đi đâu, đó là lý do tại sao tôi sử dụng ulogd để các nhật ký iptables nằm trong một tệp khác.
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Cấp quyền truy cập vào máy chủ riêng của tôi:
Tôi không sử dụng VirtualBox hoặc bất kỳ thứ gì tương tự để ảo hóa, tôi đã ảo hóa máy chủ riêng của mình với Qemu + KVM mà phải có thể kết nối với máy tính xách tay của tôi, với các quy tắc iptables mà tôi vừa chỉ định ở trên, nó sẽ không thể thực hiện được, đó là lý do tại sao tôi phải cấp quyền cho IP của máy chủ ảo của mình để nó có thể truy cập máy tính xách tay của tôi:
sudo iptables -A INPUT -i virbr0 -p tcp -s 192.168.122.88 -j ACCEPT
Chúng tôi sẽ trình bày chi tiết dòng này, điều quan trọng là bạn phải hiểu ý nghĩa của từng tham số, bởi vì chúng sẽ được lặp lại rất nhiều từ bây giờ:
- ĐẦU VÀO : Tôi đang nói rằng tôi sẽ tuyên bố một quy tắc cho lưu lượng truy cập vào
-i vibr0 : Tôi tuyên bố rằng giao diện mà tôi sẽ chấp nhận lưu lượng thông qua đó không phải etho (LAN) hoặc wlan0 (Wifi), tôi đặc biệt nói rằng đó là giao diện virbr0 của tôi, nghĩa là, giao diện mạng ảo (nội bộ) mà máy tính xách tay của tôi giao tiếp với máy chủ ảo của tôi (và ngược lại)
-p tcp : Tôi chỉ định giao thức, được sử dụng nhiều nhất là UDP và TCP, ở đây thực sự là đủ để không đặt điều này nhưng ... theo thói quen là chỉ định loại giao thức để chấp nhận
-s 192.168.122.88 : Nguồn, nguồn của các gói. Đó là, quy tắc đề cập đến các gói đặc biệt đến từ IP 192.168.122.88
-j CHẤP NHẬN : Đã có ở đây tôi nói những gì tôi muốn làm với các gói phù hợp với ở trên, trong trường hợp này là chấp nhận.
Nói cách khác, như một bản tóm tắt, tôi sẽ chấp nhận các gói đến từ IP 192.168.122.88, nhưng trong trường hợp bạn muốn nhập các gói đến từ IP đó NHƯNG! Họ nhập từ một giao diện không phải là virbr0, tức là họ cố gắng nhập các gói từ IP 192.168.122.88 nhưng họ đến từ một máy tính trong mạng Wifi của chúng tôi, nếu đúng như vậy, các gói sẽ bị từ chối. tại sao? Bởi vì chúng tôi chỉ định rõ ràng rằng có, chúng tôi chấp nhận các gói từ 192.168.122.88 có, nhưng và chỉ nhưng, chúng cũng phải nhập từ giao diện virbr0 (nội bộ, giao diện mạng ảo), nếu các gói đến từ giao diện khác (LAN, RAS, Wifi, vv) thì chúng sẽ không được chấp nhận. Bằng cách chỉ định giao diện như bạn có thể thấy, chúng tôi có thể hạn chế nó hơn nữa, chúng tôi có thể kiểm soát tốt hơn những gì đi vào (hoặc không vào) máy tính của mình.
Chấp nhận ping từ bất kỳ IP nào của Wifi gia đình:
Từ một số máy tính khác kết nối với Wifi, nếu bạn cố gắng ping máy tính xách tay của tôi, tôi muốn cho phép. lý do? Ý tưởng cũng là trong vài tuần tới để liên kết PC của ngôi nhà bên cạnh với mạng, vì vậy việc chia sẻ thông tin sẽ ít phức tạp hơn, trôi chảy hơn, khi tôi bắt đầu thực hiện các bài kiểm tra để liên kết máy tính để bàn với Wifi, tôi sẽ cần ping của mình. máy tính xách tay để kiểm tra kết nối, nếu máy tính xách tay của tôi không ping lại tôi có thể nghĩ rằng AP bị lỗi hoặc đã xảy ra lỗi khi truy cập Wifi, đó là lý do tại sao tôi muốn cho phép ping.
sudo iptables -A INPUT -i wlo1 -p icmp -s 192.168.1.0/24 -d 192.168.1.51 -j ACCEPT
- ĐẦU VÀO : Giống như trước đây, tôi đề cập đến lưu lượng truy cập đến
-tôi wlo1 : Tương tự như trước đây. Trong trường hợp trước, tôi chỉ định giao diện ảo, trong trường hợp này, tôi chỉ định một giao diện khác, đó là wifi của tôi: wlo1
-p icmp : Giao thức Icmp, icmp = ping. Đó là, tôi không cho phép SSH hoặc bất kỳ thứ gì tương tự, tôi chỉ cho phép ping (icmp)
-s 192.168.1.0/24 : Nguồn của các gói, nghĩa là, miễn là các gói đến từ IP 192.168.1.? sẽ được chấp nhận
-d 192.168.1.51 : IP đích, tức là IP của tôi.
-j CHẤP NHẬN : Tôi cho biết phải làm gì với các gói phù hợp với trên, chấp nhận.
Đó là, và để giải thích điều này một cách dễ hiểu, tôi chấp nhận rằng họ ping tôi (giao thức icmp) có đích cụ thể là IP của tôi, miễn là chúng đến từ một IP chẳng hạn như 192.168.1 .__ nhưng ngoài ra, chúng không thể đến từ bất kỳ giao diện mạng nào , họ phải nhập cụ thể từ giao diện mạng Wifi của tôi (wlo1)
Chỉ chấp nhận SSH cho một IP:
Đôi khi tôi cần kết nối bằng SSH từ điện thoại thông minh của tôi để điều khiển máy tính xách tay, đó là lý do tại sao tôi phải cho phép truy cập SSH vào máy tính xách tay của mình từ các IP của Wi-Fi, vì điều này:
sudo iptables -A INPUT -i wlo1 -p tcp -s 192.168.1.0/24 -d 192.168.1.51 --dport 22 -j ACCEPT
Từ dòng này, điều duy nhất khác biệt hoặc đáng được đánh dấu là: – Cổng 22 (Cổng SSH tôi sử dụng)
Đó là, tôi chấp nhận các nỗ lực kết nối với máy tính xách tay của mình thông qua cổng 22, miễn là chúng đến từ bất kỳ IP nào của wifi của tôi, chúng cũng phải có IP của tôi làm điểm đến cụ thể và cũng đến qua giao diện wlo1, tức là wifi của tôi. (không phải lan, v.v.)
Cho phép họ xem trang web của bạn:
Đó không phải là trường hợp của tôi, nhưng nếu bất kỳ ai trong số các bạn có một trang web được lưu trữ và không muốn từ chối quyền truy cập vào bất kỳ ai, tức là mọi người từ bất kỳ đâu đều có thể truy cập trang web đó, thì điều đó đơn giản hơn nhiều so với bạn nghĩ:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Nói cách khác, ở đây họ đang cho phép tất cả lưu lượng đến (tcp) thông qua cổng 80. Như bạn thấy, tôi không chỉ định IP hoặc mạng nào mà tôi cho phép truy cập, bằng cách không chỉ định dải IP để cho phép, iptables giả định rằng tôi muốn cho phép truy cập tất cả các dải IP hiện có, nghĩa là trên toàn thế giới 🙂
Các kết hợp khác:
Tôi có nhiều quy tắc khác, chẳng hạn như chấp nhận ping cho các IP từ mạng LAN gia đình của tôi (về cơ bản nó giống như dòng ở trên, thay đổi dải IP), giống như tôi vừa giải thích ở trên ... trong máy tính xách tay như vậy tôi không sử dụng những thứ thực sự phức tạp, đó là giới hạn kết nối, chống DDoS, tôi để đó cho máy chủ, trên máy tính xách tay của tôi, tôi không cần nó lo
Dù sao, cho đến nay bài báo.
Như bạn có thể thấy, làm việc với iptables không quá phức tạp, một khi bạn xây dựng một tập lệnh mà bạn viết các quy tắc của mình thì rất đơn giản, sau đó sửa đổi nó, thêm hoặc xóa các quy tắc cho tường lửa của bạn.
Tôi không coi mình là một chuyên gia về chủ đề này, mặc dù bạn có bất kỳ nghi ngờ nào, họ có thể bình luận ở đây, tôi sẽ cố gắng giúp bạn nhiều nhất có thể.
Liên quan
Rất tốt, rất tốt giải thích, tuyệt vời.
Tôi thích loại bài này.
Cảm ơn bạn rất nhiều vì đã bình luận 🙂
Bài này là món nợ mà mình đã mắc phải từ rất lâu rồi, cuối cùng cũng dễ chịu và dễ chịu lắm ^ _ ^
Liên quan
một câu hỏi bạn có ở Cuba không?
… Chuyện xảy ra là cách đây vài ngày khi sử dụng Linksys AP (Access Point), tôi đặt một Wifi tại nhà bạn gái của mình
Tất nhiên là có, tôi sinh ra và sống ở Cuba. tại sao câu hỏi?
@FIXOCONN: Xin chào bạn và tha thứ cho người ngoài cuộc của câu hỏi, nhưng làm cách nào để bạn xác định Cinnamon xuất hiện như một môi trường máy tính để bàn trong tác nhân người dùng? Tôi sử dụng Mint 13 với Cinnamon, nhưng không có cách nào để biểu tượng Cinnamon xuất hiện trong tác nhân người dùng của tôi mỗi khi tôi nhận xét trên trang web này
Bạn có vui lòng chuyển cho tôi thông tin chi tiết về tác nhân người dùng của bạn nếu nó không quá rắc rối không? Mình muốn biết dữ liệu đó để tự đặt =)
Mình để lại trang cho bạn để bạn xem lại và cung cấp thông tin cho mình. Cảm ơn và quản trị viên, hãy tha thứ cho sự "trolling" (nếu bạn có thể gọi nó như vậy) về phía tôi với thông tin này -> http://user-agent-string.info/
Thêm "Cinnamon" (không có dấu ngoặc kép) vào bất kỳ phần nào của UserAgent, sau đó biểu trưng sẽ xuất hiện trong các nhận xét trong tương lai 🙂
Rất tốt bài viết! rất rõ ràng 😀
Cảm ơn vì đã đọc và cảm ơn vì nhận xét của bạn 🙂
Cảm ơn! Nó thực sự giúp tôi rất nhiều!
Xin chào, trước hết rất nhiều lời chúc mừng cho blog, tôi nghĩ nó thật tuyệt.
Một cái gì đó có thể tốt để đề cập là tùy chọn đăng nhập bằng ULOG không hoạt động trong hệ điều hành có ulogd2, đối với trường hợp này quy tắc phải là:
sudo iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j NFLOG
Trước hết, cảm ơn bạn rất nhiều vì những gì bạn nói về blog 🙂
Trong Arch, tôi đã cài đặt ulogd v2.0.2-2 và dòng mà tôi đặt hoạt động mà không có vấn đề gì (tôi phải đặt loglevel = 1 trong /etc/ulogd.conf, nhưng nó đưa các bản ghi sang tệp khác mà không gặp vấn đề gì.
Bạn đang sử dụng ulogd v2 hoặc cao hơn, dòng mà tôi để lại hoạt động sai đối với bạn?
Trân trọng và cảm ơn đã bình luận.
Tôi luôn chờ đợi phần thứ hai, tôi nhớ khi đọc phần đầu tiên (đó là bước khởi đầu của tôi trong tường lửa). Cảm ơn @ KZKG ^ Gaara, trân trọng 🙂
Cảm ơn vì đã đọc tôi 😀
Và hehe vâng, tôi đã nói ... bài này là duyên nợ mà tôi đã mắc phải từ rất lâu rồi ^ _ ^
Trân trọng. Rất tốt bài viết. Tôi đang cố gắng định cấu hình các quy tắc iptables để chuyển hướng lưu lượng truy cập từ mực sang dansguardian và nó vẫn không đạt được mục tiêu. Tôi sẽ đánh giá cao một số giúp đỡ trong vấn đề này.
iptables cho điều đó? Điều đó không được thực hiện trực tiếp với ACL trong Squid?
"Tôi có nhiều quy tắc khác như..."
Đây là cái mà tôi gọi là hoang tưởng, cậu bé
Thêm một chút nữa và bạn đặt một gói Rotwailer vào mỗi cổng đang mở trên modem / bộ định tuyến của mình 🙂
HAHAHAHAHAHAHAHAHA Tôi chết vì cười với bọn bán lẻ hahahaha
Xin chào bạn, có điều là tôi cần trợ giúp để định cấu hình IPTables theo cách mà nó chỉ từ chối quyền truy cập đối với cổng 80 khi tôi nhập địa chỉ vào trình duyệt của máy chủ định danh tùy chỉnh của mình, đó là khi tôi nhập ns1.mydomain.com và ns2.mydomain chẳng hạn. com (là máy chủ định danh của tôi) Các bảng IP từ chối quyền truy cập vào cổng 80 để trình duyệt cố gắng tải trang nhưng sau một thời gian, nó hết hạn và không bao giờ tải, điều xảy ra là tôi đã thử với các lệnh như sau:
iptables -A INPUT -d ns1.midomini.com -p tcp –dport 80 -j DROP
iptables -A INPUT -d ns2.midomini.com -p tcp –dport 80 -j DROP
Nhưng điều duy nhất nó làm là từ chối quyền truy cập vào cổng 80 trong tất cả các miền của tôi (vì chúng đang chia sẻ cùng một IP với Máy chủ ảo), tôi muốn nó chỉ nằm trong url của máy chủ định danh của tôi và IP mà máy chủ định danh của tôi trỏ đến nghĩa là các bảng IP từ chối quyền truy cập vào cổng 80 trong:
ns1.midomini.com (Trỏ A) -> 102.887.23.33
ns2.midomini.com (Trỏ A) -> 102.887.23.34
và các IP mà máy chủ định danh trỏ tới
102.887.23.33
102.887.23.34
Ví dụ về một công ty có hệ thống này là: Dreamhost
Máy chủ định danh của họ: ns1.dreamhost.com và ns2.dreamhost.com và các IP mà họ trỏ đến không phản hồi khi được nhập vào thanh địa chỉ của trình duyệt
Xin chân thành cảm ơn trước sự quan tâm của các bạn, rất mong các bạn giúp một tay với cái này, mình đang rất cần và gấp !!
Ngày tốt !!
Xin chào Ivan,
Liên hệ với tôi qua email (kzkggaara[at]desdelinux[dot]net) để nói chuyện một cách bình tĩnh hơn và giải thích rõ ràng hơn, ngày mai chắc chắn tôi sẽ trả lời bạn (hôm nay tôi đi ngang qua)
Những gì bạn muốn làm rất đơn giản, tôi không biết tại sao những dòng bạn nói với tôi không phù hợp với bạn, đúng vậy, nhưng bạn phải kiểm tra nhật ký và những thứ khác sẽ quá dài ở đây.
Xin chào và tôi chờ email của bạn
về mặt lý thuyết với iptables, tôi có thể ngăn chặn các yêu cầu ngắt kết nối từ các chương trình như aircrack. Tôi đúng??? Vâng, tôi sẽ làm các bài kiểm tra nhưng nếu bạn nói với tôi rằng bạn sẽ làm cho tôi rất hạnh phúc XDDD
Về lý thuyết, tôi nghĩ như vậy, bây giờ, tôi không biết làm thế nào nó có thể được thực hiện, tôi chưa bao giờ làm nó ... nhưng tôi nhắc lại, về lý thuyết, tôi nghĩ nó có thể.
Sau khi áp dụng các quy tắc iptables, tôi không thể truy cập các thư mục windows được chia sẻ trên mạng cục bộ. Tôi nên áp dụng quy tắc nào để sửa nó?
Cảm ơn bạn.
Bạn đã áp dụng quy tắc iptables nào?
Đây là phần thứ 2 của "iptables for newbies", bạn đã đọc phần đầu tiên chưa? Tôi hỏi điều này để biết bạn có áp dụng các quy tắc trong bài viết trước hay không
Vâng, tôi đã đọc cả hai phần. Đối với kịch bản, tôi dựa trên một bài đăng khác mà bạn đã đăng về các quy tắc bắt đầu với systemd.
#! / bin / bash
# - UTF 8 -
# Iptables nhị phân
iptables = »/ usr / bin / iptables»
quăng đi ""
## Làm sạch bàn ##
$ iptables -F
$ iptables -X
$ iptables -Z
#echo »- Đã tạo FLUS thành iptables» && echo »»
## Thiết lập nhật ký với ULOGD ##
$ iptables -A INPUT -p tcp -m tcp –tcp-flags FIN, SYN, RST, ACK SYN -j ULOG
## Xác định chính sách DROP mặc định ##
$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
#echo »- Chính sách DROP được xác định theo mặc định» && echo »»
## Cho phép mọi thứ vào localhost ##
$ iptables -A INPUT -i lo -j CHẤP NHẬN
$ iptables -A OUTPUT -o lo -j CHẤP NHẬN
#echo »- Tất cả đều được phép đối với máy chủ cục bộ» && echo »»
## Cho phép nhập các gói kết nối mà tôi khởi tạo ##
$ iptables -A INPUT -m state –state ĐƯỢC LẬP, LIÊN QUAN -j CHẤP NHẬN
#echo »- Các gói kết nối được phép do tôi khởi tạo» && echo »»
quăng đi " ##############################"
echo »## CẤU HÌNH IPTABLES OK! ## »
quăng đi " ##############################"
Tôi đã đọc trên internet rằng đối với samba, bạn nên có các quy tắc sau trong kịch bản:
$ iptables -A INPUT -p tcp –dport 139 -j CHẤP NHẬN
$ iptables -A INPUT -p tcp –dport 445 -j CHẤP NHẬN
$ iptables -A INPUT -p udp –sport 137 -j CHẤP NHẬN
$ iptables -A INPUT -p udp –dport 137 -j CHẤP NHẬN
$ iptables -A INPUT -p udp –dport 138 -j CHẤP NHẬN
Tuy nhiên, ngay cả với chúng tôi cũng không thể thấy các nhóm làm việc trên windows. : S
Vấn đề đã được giải quyết. Sửa đổi nhóm làm việc và các máy chủ cho phép tham số trong tệp cấu hình samba.
Bài báo xuất sắc, chỉ tuyệt vời !!!!
Tôi vừa đọc nó và tôi thích cả cách bạn giải thích nó và cách sử dụng thực sự hữu ích của iptables, tôi thực sự muốn tìm hiểu cách sử dụng nó một cách chuyên sâu hơn.
Lời chào và bài viết xuất sắc, tôi hy vọng bạn xuất bản thêm về Iptables! ^^
Kính thưa;
Tôi có một proxy với iptables và một trong các mạng của tôi không thể ping http://www.google.cl vì lý do này, tôi đã chặn các cổng và thử hàng nghìn cách để mở các cổng và không có gì xảy ra. Nếu tôi không thể ping, tôi không thể kết nối triển vọng
Xin chúc mừng về bài viết! Rất tốt. Nhưng tôi có một câu hỏi. Đôi khi địa chỉ IP được chỉ định cho bạn trong mạng có thể thay đổi (nếu đúng là chúng tôi có thể gán IP cho Địa chỉ MAC của mình), nhưng liệu Iptables có khả năng cho phép truy cập vào máy chủ của chúng tôi qua SSH bằng Địa chỉ MAC không?
Tôi hy vọng tôi đã giải thích tốt cho bản thân.
Trân trọng và cảm ơn rất nhiều!
Xin chào, bạn biết rằng tôi đã cấu hình một máy chủ linux và sau khi nhập các lệnh này, tôi đã chặn mọi thứ và mất quyền truy cập, tôi có thể khôi phục hầu hết mọi thứ nhưng tôi thiếu 2 thứ. * Tôi không còn có thể truy cập từ trình duyệt web thông qua cname «server» nếu bằng ip, 10.10.10.5 và mặt khác, tôi không thấy tài nguyên được chia sẻ từ windows explorer trên mạng, trước khi đặt \\ server và thấy tất cả tài nguyên được chia sẻ. Mong các bạn giúp đỡ, mình biết là hơi ngớ ngẩn nhưng mình không giải quyết được, cảm ơn
Tôi trích dẫn nguyên văn:
'
Giao thức Icmp, icmp = ping. Đó là, tôi không cho phép SSH hoặc bất kỳ thứ gì tương tự, tôi chỉ cho phép ping (icmp)
'
ICMP và PING không giống nhau. Pinging là một phần của giao thức ICMP, nhưng nó không phải là tất cả. Giao thức ICMP (Internet Control Message Protocol) có nhiều cách sử dụng hơn, một số trong đó có những nguy hiểm nhất định. Và bạn đang chấp nhận tất cả lưu lượng ICMP. Bạn sẽ phải giới hạn chỉ ping.
Saludos!
Em phải thực tập nhưng em chưa hiểu lắm về iptables, mong các anh chị giúp đỡ….
cảm ơn!!!!!!!