新手的iptables,好奇,感兴趣

我一直以为安全永远不会伤害人,而且永远都不够(这就是为什么 拉夫 他称我为强迫症和精神病狂。),因此即使我使用GNU / Linux,也不会忽略系统的安全性,密码(随机生成 普根)等。

此外,即使系统类型 Unix的 无疑是非常安全的,无疑建议使用 防火墙,对其进行正确配置,使其受到尽可能好的保护🙂

在这里,我将向您解释,无需太多麻烦,纠结或复杂的细节,如何了解 iptables的.

但是... iptables到底是什么?

iptables的 它是Linux内核(模块)中处理数据包过滤的一部分。 换句话说,这意味着 iptables的 是内核的一部分,其工作是知道您要输入计算机的哪些信息/数据/软件包,而不是什么(并做更多的事情,但现在让我们专注于此).

我将以另一种方式解释this

他们发行版中的许多人都使用防火墙, 纵火 o 火霍尔,但这些防火墙实际上是“从后面”(在后台) 采用 iptables的,那么...为什么不直接使用 iptables的?

这就是我在这里简要解释的内容🙂

到目前为止,是否有任何疑问? 😀

跟...共事 iptables的 必须具有管理权限,因此在这里我将使用 须藤 (但是如果你输入像 , 没有必要).

为了使我们的计算机真正安全,我们只需要允许我们想要的即可。 看到您的计算机就像是自己的房子一样,默认情况下,在您的房子中您不允许任何人进入,只有您之前批准的特定人员可以进入,对吧? 使用防火墙的情况相同,默认情况下,没有人可以进入我们的计算机,只有想要进入的人可以进入

为此,我解释了以下步骤:

1. 打开一个终端,在其中放入以下内容,然后按 [输入]:

sudo iptables -P INPUT DROP

这将足以使没有人,绝对没有人可以进入您的计算机……而且,这个“没人”包括你们自己😀

上一行的说明:有了它,我们向iptables表示,要进入我们的计算机(INPUT)的所有内容的默认策略(-P)是忽略它,忽略它(DROP)

没有人是非常笼统的人,实际上是绝对的,您自己都无法上网或任何事情,这就是为什么我们必须在终端中输入以下内容并按 [输入]:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

...我不明白 那两条奇怪的线现在在做什么? ...

简单🙂

第一行说的是计算机本身(-i lo ...顺便说一句,lo = localhost)可以随心所欲。 显而易见的东西,看起来似乎很荒谬……但请相信我,它与空气哈哈一样重要。

我将使用之前使用的示例/比较/隐喻来解释第二行,我的意思是将计算机与房屋进行比较🙂例如,假设我们与房屋中的其他人(母亲,父亲,兄弟,女友等)住在一起。 如果这些人中有任何人离家出走,是否显然/合乎逻辑,一旦他们返回,我们便让他们进来,不是吗?

这正是第二行所做的。 我们启动的所有连接(来自我们的计算机),当您希望通过该连接输入一些数据时, iptables的 将让这些数据进入。 再举一个例子来解释一下,如果我们使用浏览器尝试上网,没有这两个规则,我们将无法运行,是的……浏览器将连接到互联网,但是当它尝试将数据(.html,.gif等)下载到我们的计算机上时告诉我们,您将无法 iptables的 它将拒绝数据包(数据)的输入,同时遵循这些规则,当我们从内部(从计算机)启动连接时,而同一连接是试图输入数据的连接,它将允许访问。

有了这个准备,我们已经声明,除了计算机本身(127.0.0.1)之外,没有人可以访问我们计算机上的任何服务,除了在计算机本身上启动的连接之外,没有人可以访问。

现在,我将快速详细解释一个细节,因为本教程的第二部分将解释并介绍有关此内容的更多信息,我不想过多介绍😀

例如,碰巧他们在计算机上发布了一个网站,并且希望每个人都可以看到该网站,就像我们之前声明的那样,默认情况下不允许所有内容,除非另有说明,否则任何人都无法看到我们的网站。网站。 现在,我们将使任何人都可以看到我们在计算机上拥有的一个或多个网站,为此,我们将其放置在:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

这很简单解释😀

我们声明您接受或允许(-j接受)到端口80(–Dport 80)设为TCP(-p tcp),并且它也是传入流量(-输入)。 我放置了端口80,因为这是Web主机的端口,即...当浏览器尝试在X计算机上打开站点时,默认情况下始终在该端口上查找。

现在...当您知道要设置的规则时该怎么办,但是当我们重新启动计算机时,看到未保存更改吗? ...好吧,为此,我今天已经做了另一个教程:

如何自动启动iptables规则

在那里我详细解释😀

至此结束 第一个教程iptables对于新手,好奇和感兴趣 😉...不用担心,这不会是最后一个,下一个将处理相同但更具体的规则,详细介绍所有内容并提高安全性。 我不想扩展更多,因为实际上,基础(您在开始时读到的内容)有必要完全理解它🙂

问候和……加油,只要您知道答案,我就会澄清疑问! (我到目前为止还不是专家哈哈哈)


本文内容遵循我们的原则 编辑伦理。 要报告错误,请单击 信息.

40条评论,留下您的评论

发表您的评论

您的电子邮件地址将不会被发表。

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。

  1.   依齐托克

    很好! 就一个问题? 您知道默认设置是什么吗? 问题是我只是个偏执狂:D.

    非常感谢。

    1.    KZKG ^ Gaara

      默认情况下,默认情况下它接受所有内容。 换句话说,您放置在计算机上的服务...其余服务将公开使用的服务😀
      你明白?

      因此,……当您不希望X网站看到它以及您的朋友或某个IP时,就会出现防火墙,htaccess或某些拒绝访问的方法。

  2.   浮士德

    问候,

    兄弟,太好了!!! 现在,我将阅读第一篇...

    谢谢你的帮助…
    迪斯拉

  3.   摇滚乐

    感谢您的教程,它很方便。
    我唯一想知道或确定的是,如果按照这些说明进行操作,例如进行p2p传输,下载文件或进行视频通话,我将没有任何问题。 据我所读,没有,应该没有问题,但是我更喜欢在进入行前先确定一下。
    从现在开始谢谢。
    问候。

    1.    KZKG ^ Gaara

      您应该不会有问题,但是这是一个相当基本的配置,在下一个教程中,我将根据每个规则的需要,更全面地说明如何添加自己的规则,等等🙂

      但是我再说一遍,如果您有问题,只需重启计算机然后瞧,就好像您从未配置过iptables一样,就不会有问题😀

      1.   

        重新开始 ? 听起来很窗外。 在最坏的情况下,您只需要刷新iptables规则并将默认策略设置为ACCEPT即可,此事已解决,因此rockandroleo不会有问题。

        Saludos!

  4.   摇滚乐

    并且,很抱歉再次提出请求,但是由于我们是防火墙的主题,因此有可能您解释了如何在防火墙(如gufw或firestarter)的图形界面中应用这些相同的命令。
    先感谢您。
    问候。

    1.    KZKG ^ Gaara

      我将向您解释Firestarter,gufw我只是看过它而未使用它,也许我会简要地解释它,或者也许 拉夫 自己做🙂

  5.   阿苏阿托

    然后,当我想成为一名黑客时,我会阅读它,我一直想了解安全性

  6.   丹尼尔

    出色的教程,我认为它已得到很好的解释,虽然逐步说明,但对于傻瓜来说,效果会更好。

    问候。

    1.    KZKG ^ Gaara

      哈哈哈哈谢谢你you

  7.   碎石523

    大。
    非常清楚地解释。
    我们将不得不阅读并重新阅读它,直到掌握了知识为止,然后继续以下教程。
    感谢您的文章。

    1.    KZKG ^ Gaara

      谢谢😀
      我试图解释它,因为我希望它是第一次向我解释,哈哈!

      问候🙂

  8.   奥斯卡

    很好,我正在测试并且可以正常工作,这与在开始时自动启动规则相对应,在您发布第二部分时我会保留它,直到那时我每次重新启动命令时都会有更多的工作来键入命令PC,感谢朋友给您介绍了兔兔以及您发布它的速度。

  9.   XoséM.

    感谢您的建议和解释。

    您可以通过以下方式查看适用于iptables的内容:

    sudo iptables -L

    1.    KZKG ^ Gaara

      act
      我添加 n 其实:
      iptables -nL

  10.   亚历克斯

    感谢您的教程,我期待第二部分的问候。

  11.   威廉

    第二部分什么时候出来

  12.   乔尼萨尔

    我在Machine1上有一个使用squid的代理,它将使Internet浏览到该局域网上的其他计算机192.168.137.0/24,并且它正在从Machine192.168.137.22上监听3128:3128(我为有firestarter的任何人打开端口1)如果我把Firefox使用代理192.168.137.22:3128可以工作。 如果从另一台具有IP 192.168.137.10的计算机(例如Machine2),我将其设置为使用代理192.168.137.22:3128,则它不起作用,除非在Machine1上我将firestarter与lan共享Internet,如果代理有效,则在那里数据是通过代理进行的,但是如果在Machine2上,它们将删除代理的使用并正确指向网关,则它们将能够自由导航。
    这是什么意思
    使用iptables的规则是什么?

  13.   Geronimo中

    “我试图保持力量的阴暗面,因为那是生活乐趣所在。” 和绝地的del妄hahahahaha

  14.   卡洛斯

    很好! 我来晚了吧? 哈哈这个职位大约2岁了,但我还是有用的..感谢您这么简单地解释,以至于我能理解它。哈哈我继续其他部分。

    1.    KZKG ^ Gaara

      感谢您阅读🙂

      是的,该帖子并不完全是新文章,但仍然非常有用,在过去十年中,防火墙的工作方式几乎没有任何变化

      问候和感谢您的评论

  15.   狮子

    用鲜花和一切来解释。 我是一个“新手”用户,但是非常渴望学习Linux,最近我在阅读有关nmap脚本的帖子,以查看谁连接到我的网络而不是让您冗长,该用户在评论中说:我们将应用您从iptables放置的著名的第一行,这行就足够了,由于我是一个巨大的菜鸟,因此我应用了它,但正如您在此处所写,它没有进入Internet Internet
    感谢您的这篇帖子解释了iptables的用法,希望您扩展它并充分解释其完整的操作。 干杯!

    1.    KZKG ^ Gaara

      感谢您的阅读和评论🙂
      iptables非常出色,它的关闭功能是如此之好,以至于……我们什至无法摆脱困境,这是肯定的,除非我们知道如何配置它。 这就是为什么我试图尽可能简单地解释iptables的原因,因为有时并非每个人都能在第一时间理解某些内容。

      感谢您的评论,问候^ _ ^

      PS:关于扩展职位,这是第二部分: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/

      1.    狮子

        好吧,非常感谢,如果我阅读了第二部分并立即开始使用您的大量指导在控制台上播放。 非常感谢,嘿,我希望您能有所帮助,因为我有一点疑问,并且您很清楚我是一个新手,试图了解这个出色的免费软件,以至于我最近安装了另一个发行版,并对dhcp.config文件进行了修改。一行,并像这样保留它:
        #发送主机名“”; 好了,它在那个发行版中对我有用,一切都很好,我的电脑名称没有出现在路由器的dhcp服务器中,只有电脑的图标出现了,但是在这个新发行版中,我修改了同一行,但保持不变那没起效。 你能指导我一点吗? 🙁请...

        1.    KZKG ^ Gaara

          现在这可能变得更复杂或更广泛,请在我们的论坛(forum.fromlinux.net)中创建一个主题,我们将在那里为您提供帮助🙂

          感谢您阅读和评论

          1.    狮子

            准备好了,谢谢你的回答。 明天早上我会讲这个主题,希望您能帮助我,打招呼,当然还有一个拥抱。

  16.   迭戈

    优秀的文章。
    您是否认为我可以在家里使用iptables来实现防火墙,还是我需要了解其他内容? 您是否有任何配置教程或这些文章仍然存在?
    问候

    1.    KZKG ^ Gaara

      实际上,这是基础知识,如果您需要更高级的知识(例如连接限制等),可以在此处查看有关iptables的所有文章-» https://blog.desdelinux.net/tag/iptables

      但是,有了这个,我几乎有了所有本地防火墙local

  17.   乌鸦

    首先,它们似乎一点也不差。
    但这会修改​​某些内容。

    我将放弃输入并转发并接受输出
    -P输入-m状态-状态已建立,相关-j接受
    对于iptables中的newbi来说,“足够安全”就足够了
    然后,打开我们需要的端口。
    我真的很喜欢这个页面,他们有很好的东西。 感谢分享!
    的问候!

  18.   FGZ

    祝所有发表评论的人晚上好,但让我们看看是否可以弄清为什么我比下水道中的狼更迷路了,我是古巴人,我想我们在所有可能的话题上都会走得更远,而且好:如果与我无关,请事先打扰话题!!!

    我有一台UBUNTU Server 15服务器,结果是我托管了一项服务,该服务由流电视的另一个程序提供,但我尝试通过MAC地址进行控制,以便控制端口(例如6500)以随机选择它除非该端口具有iptables中指示的MAC地址,否则任何人都无法通过该端口进入。 我已经完成了本文第一篇的配置,并且效果很好,比我想要的要好,但是我在todooooooooooooo中寻找了信息,但我没有找到满意的配置来允许mac地址仅使用某个端口而没有其他设置。

    先感谢您!

  19.   尼古拉斯冈萨雷斯

    你好,你好吗,我为新手阅读了iptables文章,非常好,我向你表示祝贺,我对linux不太了解,这就是为什么我想问你一个问题,我有问题,如果你能帮助我,谢谢你,我有一台服务器数个IP,每隔几天,当服务器通过服务器上的IP发送电子邮件时,它将停止发送电子邮件,因此要再次发送电子邮件,我必须输入:

    /etc/init.d/iptables停止

    当我说完该命令后,它将再次开始发送电子邮件,但是几天后又再次阻止了,您能告诉我必须输入哪些命令以便服务器不阻止ip吗?这两条线必须解决:

    sudo iptables -A输入-i lo -j接受
    sudo iptables -A输入-m状态-状态已建立,相关-j接受

    但是由于我不知道那是什么,因此在输入这些命令之前,我想查看服务器的IP是否将不再被阻塞,我等待您的及时响应。 问候。 尼古拉斯

  20.   晚礼服MH

    您好,早上好,我阅读了您的小教程,它看起来非常好,因此,我想问一个问题:

    我如何将通过lo接口(localhost)发出的请求重定向到具有相同端口的另一台计算机(另一个IP),我正在使用类似的东西

    iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –至148.204.38.105:3306

    但是它没有重定向我,我正在用tcpdump监视端口3306,并且它是否接收到数据包但没有将它们发送到新IP,但是如果我从另一台计算机发出请求,它会重定向它们。 简而言之,它重定向通过-i eth0传入的内容,而不重定向通过-i lo传入的内容。

    预先感谢您能给我的帮助。 salu2。

  21.   萨科

    您好,您好,页面非常好,其中包含很多信息。

    我有一个问题,我想看看您是否可以帮助我,我在Centos 6中使用Cpanel安装了PowerMta,问题是几天后PowerMta停止向外部发送电子邮件,就像IP被阻止了,每一个我必须放置命令/etc/init.d/iptables stop几天,因为PowerMta开始再次向国外发送电子邮件,问题解决了几天,但随后又发生了。

    您知道我该怎么做才能解决该问题吗?我可以在服务器上或防火墙中进行一些配置以使这种情况不再发生吗?由于我不知道为什么会发生这种情况,如果您能帮助我,谢谢,我希望您早日回复。

    问候。

    尼古拉斯

  22.   路易斯·德尔加多

    很好而且很清楚的解释,我一直在找书,但是书很广泛,英语也不是很好。
    您知道您推荐的西班牙语书籍吗?

  23.   贝贝

    早上好,很好的解释,但是我仍然没有互联网入口,我要解释一下,我有一台装有Ubuntu的服务器,它有两块网卡,一个具有这种配置。链接封套:以太网HWaddr a0:f3:c1:10 :05:93 inet地址:192.168.3.64广播:192.168.3.255掩码:255.255.255.0,第二个与另一个Link encap:以太网HWaddr a0:f3:c1:03:73:7b inet地址:192.168.1.64广播: 192.168.1.255掩码:255.255.255.0,其中第二个是我的网关所拥有的,即192.168.1.64,但是第一个卡是控制我的相机的卡,我想从我的固定ip从互联网上看到它们, lan,但不是来自互联网,您能帮我吗? ,或者如果我的路由器配置错误,那是tp-link弓箭手c2 ,,,谢谢

  24.   路易斯·卡斯特罗

    您好,我只是在服务器上执行此操作,您知道如何恢复它吗?
    iptables -P输入滴
    我给你留我的电子邮件 ing.lcr.21@gmail.com

  25.   电气装置

    我一直在寻找有关此内容的高质量文章或博客文章。 谷歌搜索,我终于找到了这个网站。 通过阅读这篇文章,我相信我已经找到了自己想要的东西,或者至少我有一种奇怪的感觉,我已经确切地找到了我所需要的东西。 当然,我会让您不要忘记该网站并推荐它,我计划定期访问您。

    问候

  26.   na

    我真的很祝贺你! 我读过许多iptables页面,但没有一个像您一样简单地解释过; 极好的解释!
    感谢您通过这些解释使我的生活更轻松!

  27.   匿名

    有那么一刻我觉得阿拉伯 xD

布尔值(true)