我一直以為安全永遠不會受到傷害,而且永遠也不會足夠(這就是為什麼 拉夫 他稱我為強迫症和精神病狂。),因此即使我使用GNU / Linux,也不會忽略系統的安全性,密碼(隨機產生 pwgen的)等。
此外,即使系統類型 Unix的 無疑是非常安全的,建議無疑使用 火牆,對其進行正確配置,使其受到盡可能好的保護🙂
在這裡,我將向您解釋,無需太多麻煩,糾結或複雜的細節,如何了解 iptables的.
但是... iptables到底是什麼?
iptables的 它是Linux內核(模塊)的一部分,用於處理數據包過濾。 換句話說,這意味著 iptables的 是內核的一部分,其工作是知道您要輸入計算機的哪些信息/數據/軟件包,而不是什麼(並做更多的事情,但現在讓我們專注於此).
我將以另一種方式解釋this
他們發行版中的許多人都使用防火牆, 縱火 o 火霍爾,但這些防火牆實際上是“從後面”(在後台) 採用 iptables的,那麼...為什麼不直接使用 iptables的?
這就是我在這裡簡要解釋的內容🙂
到目前為止,是否有任何疑問? 😀
跟...共事 iptables的 必須具有管理權限,因此在這裡我將使用 須藤 (但是如果你輸入像 根, 沒有必要).
為了使我們的計算機真正安全,我們只需要允許我們想要的即可。 看到您的計算機就像是自己的房子一樣,默認情況下,在您的房子中,您不允許任何人進入,只有您之前批准的特定人員可以進入,對嗎? 防火牆也是如此,默認情況下,沒有人可以進入我們的計算機,只有我們當中的人可以進入
為了實現這一點,我解釋了以下步驟:
1. 打開一個終端,在其中放入以下內容,然後按 [輸入]:
sudo iptables -P INPUT DROP
這將足以使沒有人,絕對沒有人可以進入您的計算機……而且,這個“沒人”包括你們自己😀
上一行的說明:有了它,我們向iptables表示所有要進入我們的計算機(INPUT)的默認策略(-P)將忽略它,忽略它(DROP)沒有人是非常籠統的人,實際上是絕對的,您自己都無法上網或任何事情,這就是為什麼我們必須在終端中輸入以下內容並按 [輸入]:
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
...我不明白 那兩條奇怪的線現在在做什麼? ...
簡單🙂
第一行說的是計算機本身(-i lo ...順便說一句,lo = localhost)可以隨心所欲。 顯而易見的東西,甚至看起來很荒謬……但請相信我,這和空氣哈哈一樣重要。
我將使用之前使用的示例/比較/隱喻來解釋第二行,我的意思是將計算機與房屋進行比較🙂例如,假設我們與房屋中的更多人住在一起(母親,父親,兄弟,女朋友等)。 如果這些人中有任何人離開房屋,一旦他們返回,我們是否願意讓他們進來,這顯然/合乎邏輯嗎?
這正是第二行所做的。 我們啟動的所有連接(來自我們的計算機),當您希望通過該連接輸入一些數據時, iptables的 將讓這些數據進入。 再舉一個例子來解釋一下,如果我們使用瀏覽器嘗試上網,沒有這兩個規則,我們將無法運行,是的……瀏覽器將連接到互聯網,但是當它嘗試將數據(.html,.gif等)下載到我們的計算機上時告訴我們,您將無法 iptables的 它將拒絕數據包(數據)的輸入,同時遵循這些規則,當我們從內部(從計算機)啟動連接時,而同一連接是試圖輸入數據的連接,它將允許訪問。
有了這個準備,我們已經聲明,除了計算機本身(127.0.0.1)之外,沒有人可以訪問我們計算機上的任何服務,除了在計算機本身上啟動的連接之外,沒有人可以訪問。
現在,我將快速詳細解釋一個細節,因為本教程的第二部分將解釋並介紹有關此內容的更多信息,我不想過多介紹😀
例如,碰巧他們在計算機上發布了一個網站,並且希望每個人都可以看到該網站,就像我們之前聲明的那樣,默認情況下,不允許所有內容,除非另有說明,否則任何人都無法看到我們的網站。 現在,我們將使任何人都可以看到我們在計算機上擁有的一個或多個網站,為此,我們將其放置在:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
這很簡單解釋😀
我們聲明您接受或允許(-j接受)到端口80(–Dport 80)設為TCP(-p TCP),並且它也是傳入流量(-輸入)。 我放置了端口80,因為這是Web主機的端口,即...當瀏覽器嘗試在X計算機上打開站點時,默認情況下始終在該端口上查找。
現在...當您知道要設置的規則時該怎麼辦,但是當我們重新啟動計算機時,看到未保存更改嗎? ...好吧,為此,我今天已經做了另一個教程:
如何自動啟動iptables規則
在那裡我詳細解釋😀
至此結束 第一個教程 上 iptables對於新手,好奇和感興趣 😉…別擔心,這不會是最後一個呵呵,下一個將處理相同但更具體的規則,詳細介紹所有內容並提高安全性。 我不想擴展更多,因為實際上有必要使基礎(您在開始時讀到的內容)完全理解它🙂
問候和……加油,只要您知道答案,我就會澄清疑問! (我到目前為止還不是專家哈哈哈)
很好! 就一個問題? 您知道默認設置是什麼嗎? 問題是我只是個偏執狂:D.
非常感謝。
默認情況下,默認情況下它接受所有內容。 換句話說,您放置在計算機上的服務...其餘服務將公開使用的服務😀
你明白?
所以……當您不希望X網站看到它以及您的朋友或某個IP時,就會出現防火牆,htaccess或某些拒絕訪問的方法。
問候,
兄弟,太好了!!! 現在,我將閱讀第一篇...
謝謝你的幫助…
迪斯拉
感謝您的教程,它對我很方便。
我唯一想知道或確定的是,如果使用這些說明,例如進行p2p傳輸,下載文件或進行視頻通話是否沒有問題。 據我所讀,沒有,應該沒有問題,但是我更喜歡在進入行前先確定一下。
謝謝你們。
問候。
您應該沒有問題,但是這是一個相當基本的配置,在下一個教程中,我將更全面地說明如何根據每個規則的需要添加自己的規則,等等🙂
但是我再說一遍,如果您有問題,只需重啟計算機然後瞧,就好像您從未配置過iptables一樣,就不會有問題😀
重新開始 ? 聽起來很窗外。 在最壞的情況下,您只需要刷新iptables規則並將默認策略設置為ACCEPT即可,此事已解決,因此rockandroleo不會有問題。
您好!
並且,很抱歉再次提出請求,但是由於我們是防火牆的主題,因此有可能您解釋瞭如何在防火牆(如gufw或firestarter)的圖形界面中應用這些相同的命令。
de antemano,格拉西亞斯。
問候。
我將向您解釋Firestarter,gufw我只是看過它而未使用它,也許我會簡要解釋一下,或者也許 拉夫 自己做🙂
然後,當我想成為一名黑客時,我會閱讀它,我一直想了解安全性
出色的教程,對我來說似乎很好地解釋了,雖然一步一步地做起來比傻瓜更好,但正如他們所說。
問候。
哈哈哈哈謝謝你😀
大。
清楚地說明。
有必要閱讀並重新閱讀它,直到掌握了知識為止,然後繼續以下教程。
感謝您的文章。
謝謝😀
我試圖解釋它,就像我希望第一次向我解釋它一樣,哈哈!
問候🙂
很好,我正在測試並且可以正常運行,這與在開始時自動啟動規則相對應,在您發布第二部分時將保留它,直到那時我每次重新啟動PC時都會有更多的工作來鍵入命令,謝謝tuto的朋友,以及發布它的速度。
感謝您的建議和解釋。
您可以通過以下方式查看適用於iptables的內容:
sudo iptables -L
act
我添加 n 其實:
iptables -nL感謝您的教程,我期待第二部分的問候。
第二部分什麼時候出來
我在Machine1上有一個使用squid的代理,它將使Internet瀏覽到該局域網上的其他計算機192.168.137.0/24,並且它正在從Machine192.168.137.22上監聽3128:3128(我為有firestarter的任何人打開端口1)如果我放入firefox以使用代理192.168.137.22:3128,它將起作用。 如果從另一台具有IP 192.168.137.10的計算機(例如Machine2),我將其設置為使用代理192.168.137.22:3128,則它不起作用,除非在Machine1上我將firestarter與lan共享互聯網,如果代理有效,則在那裡數據是通過代理進行的,但是如果在Machine2上,它們將刪除代理的使用並正確指向網關,則它們將能夠自由導航。
這是什麼意思
使用iptables的規則是什麼?
“我試圖保持力量的陰暗面,因為那是生活樂趣所在。” 和絕地的ha妄hahahahaha
很好! 我來晚了吧? 哈哈這個職位大約2歲了,但是我還是有用的..感謝您這麼簡單地解釋,以至我能理解哈哈。我繼續其他部分。
感謝您閱讀🙂
是的,該帖子並不完全是新文章,但它仍然非常有用,我認為在過去十年中,它幾乎沒有改變有關防火牆操作的任何內容。
問候和感謝您的評論
用鮮花和一切來解釋。 我是一個“新手”用戶,但是非常渴望學習Linux,最近我在閱讀有關nmap腳本的帖子,以查看誰連接到我的網絡而不是讓您冗長,該用戶在評論中說:我們將應用您從iptables放置的著名的第一行,這行就足夠了,由於我是一個巨大的菜鳥,因此我應用了它,但正如您在此處所寫,它沒有進入Internet Internet
感謝您的這篇帖子解釋了iptables的用法,希望您擴展它並充分解釋其完整的操作。 乾杯!
感謝您的閱讀和評論🙂
iptables非常出色,它的關閉功能是如此之好,以至於……我們什至無法擺脫困境,這是可以肯定的,除非我們知道如何配置它。 這就是為什麼我試圖盡可能簡單地解釋iptables的原因,因為有時並非每個人都能在第一時間理解某些內容。
感謝您的評論,問候^ _ ^
PS:關於擴展職位,這是第二部分: https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados-2da-parte/
好吧,非常感謝,如果我閱讀了第二部分並立即開始使用您的大量指南在控制台上播放。 非常感謝,嘿,我希望您能有所幫助,因為我有一點疑問,並且您很清楚我是一個新手,試圖了解這個出色的免費軟件,以至於我最近安裝了另一個發行版,並對dhcp.config文件進行了修改。一行,並像這樣保留它:
#發送主機名“”; 很好,它在那個發行版中對我有用,一切都很好,我的電腦名稱沒有出現在路由器的dhcp服務器中,只有電腦的圖標出現了,但是在這個新發行版中,我修改了同一行,使其保持不變,但是沒有用。 你能指導我一點嗎? 🙁請...
Ya esto puede ser algo más complejo o extenso, crea un tema en nuestro foro (foro.desdelinux.net) y ahí entre todos te ayudamos 🙂
感謝您閱讀和評論
準備好了,謝謝你的回答。 明天早上我會講這個主題,希望您能幫我,打招呼,當然還有一個擁抱。
優秀的文章。
您是否認為我可以在家裡使用iptables來實現防火牆,還是我需要了解其他內容? 您是否有任何配置教程或這些文章仍然存在?
問候
實際上,這已經是基礎知識和手段,如果您需要更高級的內容(例如連接限制等),可以在此處查看所有有關iptables的帖子-» https://blog.desdelinux.net/tag/iptables
但是,有了這個,我幾乎有了所有本地防火牆firewall
首先,它們似乎一點也不差。
但這會修改某些內容。
我將放棄輸入並轉發並接受輸出
-P輸入-m狀態-狀態已建立,相關-j接受
對於iptables中的newbi來說,“足夠安全”就足夠了
然後,打開我們需要的端口。
我真的很喜歡這個頁面,他們有很好的東西。 感謝分享!
的問候!
祝所有發表評論的人晚上好,但讓我們看看是否可以弄清為什麼我比下水道中的狼更迷路了,我是古巴人,我想我們在所有可能的話題上都會走得更遠,而且好:如果與我無關,請事先打擾話題!!!
我有一個UBUNTU Server 15服務器,事實證明我有一個託管在內部的服務,該服務由流電視的另一個程序提供,但我嘗試通過MAC地址控制它,以便控制端口(例如6500)以隨機選擇它除非該端口具有iptables中指示的MAC地址,否則任何人都無法通過該端口進入。 我完成了本文第一篇的配置,並且效果很好,比我想要的要好,但我在todooooooooooooo中尋找了信息,但我沒有找到允許Mac地址僅使用特定端口的理想配置。
先感謝您!
你好,你好嗎,我為新手閱讀了iptables文章,非常好,我向你表示祝賀,我對linux不太了解,這就是為什麼我想問你一個問題,我有問題,如果你能幫助我,謝謝你,我有一台服務器數個IP,每隔幾天,當服務器通過服務器上的IP發送電子郵件時,它將停止發送電子郵件,因此要再次發送電子郵件,我必須輸入:
/etc/init.d/iptables停止
當我說完該命令後,它將再次開始發送電子郵件,但是幾天后又再次阻止了,您能告訴我必須輸入哪些命令以便服務器不阻止ip嗎?這兩條線必須解決:
sudo iptables -A輸入-i lo -j接受
sudo iptables -A輸入-m狀態-狀態已建立,相關-j接受
但是由於我不知道那是什麼,因此在輸入這些命令之前,我想查看服務器的IP是否將不再被阻塞,我等待您的及時響應。 問候。 尼古拉斯
您好,早上好,我閱讀了您的小指南,它看起來非常好,因此,我想問一個問題:
我如何將通過lo接口(localhost)發出的請求重定向到具有相同端口的另一台計算機(另一個IP),我正在使用類似的東西
iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –至148.204.38.105:3306
但是它沒有重定向我,我正在用tcpdump監視端口3306,並且它是否接收到數據包但沒有將它們發送到新IP,但是如果我從另一台計算機發出請求,它將對其進行重定向。 簡而言之,它重定向了通過-i eth0傳入的內容,但沒有重定向通過-i lo傳入的內容。
預先感謝您能給我的幫助或多或少。 salu2。
您好,您好,頁面非常好,其中包含很多信息。
我有一個問題,我想看看您是否可以幫助我,我在Centos 6中使用Cpanel安裝了PowerMta,問題是幾天后PowerMta停止向外部發送電子郵件,就像IP被阻止一樣,每一個我必須放置命令/etc/init.d/iptables stop幾天,因為PowerMta開始再次向國外發送電子郵件,問題解決了幾天,但隨後又發生了。
您知道我該怎麼做才能解決該問題嗎?我可以在服務器上或防火牆中進行一些配置以使這種情況不再發生嗎?由於我不知道為什麼會發生這種情況,如果您能幫助我,謝謝您,我希望您早日康復。回复。
問候。
尼古拉斯。
很好而且很清晰的解釋,我一直在尋找書籍,但是書籍非常廣泛,英語也不是很好。
您知道您推薦的西班牙語書籍嗎?
早上好,很好的解釋,但是我仍然沒有互聯網入口,我要解釋一下,我有一台裝有Ubuntu的服務器,它有兩塊網卡,一個具有這種配置。鏈接封套:以太網HWaddr a0:f3:c1:10 :05:93 inet地址:192.168.3.64廣播:192.168.3.255掩碼:255.255.255.0,第二個與另一個Link encap:以太網HWaddr a0:f3:c1:03:73:7b inet地址:192.168.1.64廣播: 192.168.1.255掩碼:255.255.255.0,其中第二個是我的網關所擁有的,即192.168.1.64,但是第一個卡是控制我的相機的卡,我想從我的固定ip從互聯網上看到它們, lan,但不是來自互聯網,您能幫我嗎? ,或者如果我的路由器配置錯誤,那是tp-link弓箭手c2 ,,,謝謝
您好,我只是在服務器上執行此操作,您知道如何恢復它嗎?
iptables -P INPUT DROP
我給你留我的電子郵件 ing.lcr.21@gmail.com
我一直在尋找有關此內容的高質量文章或博客文章。 谷歌搜索,我終於找到了這個網站。 通過閱讀這篇文章,我確信我已經找到了自己想要的東西,或者至少我有一種奇怪的感覺,我已經確切地找到了我所需要的東西。 當然,我會讓您不要忘記該網站並推薦它,我計劃定期訪問您。
問候
我真的很祝賀你! 我讀過許多iptables頁面,但沒有一個像您一樣簡單地解釋過; 極好的解釋!
感謝您通過這些解釋使我的生活更輕鬆!
有那麼一刻我覺得阿拉伯 xD
我的老師用這個來教導、感謝和問候。 團伙