Iptables działanie, konfiguracja i możliwości

kebe

16.08.2023, 06:18:27 via Wykop

113

Tylko że iptables jest już legacy i teraz się przechodzi na nftables.

WMPP

16.08.2023, 13:57:03 via Wykop

42

@kebe: miałem wykopać ale wszedłem napisać taki komentarz, a w końcu komentuje komentarz którzy chciałem napisać...

kebe

16.08.2023, 14:00:46 via Wykop

6

@WMPP: no widzę że kolega założył konto 2 msc po mnie. Myślimy podobnie ????

Bordomir

15.08.2023, 19:52:52 via Wykop

51

Iptables pozwala na wprowadzenie dodatkowego zabezpieczenia dla SSH – można wyłączyć odpowiedzi na ping, pozwalając przy tym na dostęp do danego portu hostom z sieci lokalnej. Dzięki temu dostęp do SSH będą miały jedynie hosty, które znajdują się w danej sieci – np. w naszej sieci lokalnej, dzięki czemu dostęp do SSH nie będzie możliwy z Internetu.

Jezus Maria. Nawet jeśli ktoś nie wie co to jest ssh to widzi, że to

niedopieczonyniepodatnynalek

15.08.2023, 22:34:51 via Wykop

33

@oskibosacki: pomylić SSH z ICMP? To nie błąd tylko spore braki wiedzy w podstawach dot. sieciowania.
Co do konfiguracji zapory - tak jak pół-żartem napisał @Rasteris ogólna zasada jest taka, że wszystko domyślnie Drop, a tylko te usługi które faktycznie chcemy wystawić - w dodatkowych wpisach jako Accept. Tym sposobem ciężej przeoczyć coś czego nie przewidzieliśmy.

heniekzespychowa

16.08.2023, 17:00:00 via Wykop

6

@Bordomir: I tacy goście jak autor, prowadzą w tym kraju szkolenia z "bezpieczeństwa" ¯\(ツ)/¯

2ubRYlGqXdXxRAzXwRaQQ

15.08.2023, 19:58:16 via Wykop

35

Kolejny ładny artykul pisany bez uwzględnienia tabeli innej jak filter.
0 informacji o tym ile jest tabel w iptables.
I która domyślnie modyfikujesz nie dodając parametru wskazującego na tabelę.
Potem czytasz takich artykułów 5 i nadal. Ile wiesz dlaczego ci rule dodana nie działa -,^ a ona nie może bo było nat dopisać.

Rasteris

15.08.2023, 20:48:05 via Wykop

93

@2ubRYlGqXdXxRAzXwRaQQ: prawidłowa konfiguracja iptables jest banalna

iptables -I INPUT -j DROP
iptables -I OUTPUT -j DROP
iptables -I FORWARD -j DROP

każda inna komenda jest poważnym naruszeniem bezpieczeństwa.

brokenik

16.08.2023, 14:23:52 via Wykop

5

@Rasteris: Po pierwsze nie generalizowałbym z "bezpiecznym serwerem" - serwer może być ukryty w sieci wydzielonej albo byc maszyną wirtualną z ruchem wydroppowanym na wirtualizacji. Poza tym iptables jest tylko interfejsem który komunikuje się z modułem netfilter kernel'a. Nic nie stoi na przeszkodzie, żeby złośliwe oprogramowanie otwierało sobie porty i połączenia dodając łańcuchy do netfilter'a które będą niewidoczne dla iptables.

spidero

16.08.2023, 13:52:45 via Wykop

22

20 lat jako linuksiarz i do tej pory nie moge zrozumiec tego gowna :) na szczescie od dawna pracuje w firmach gdzie nie trzeba robic wszystkiego, a od sieci jest dzial sieciowcow

spidero

16.08.2023, 19:02:32 via Wykop

6

Ale też wiele firm ma po prostu admino-sieciowca

@fervi: to troche patologia niektorych firm it, gdzie admin zajmuje sie wszystkim od poczty, przez bazy po sieci

fervi

16.08.2023, 19:18:17 via Wykop

6

@spidero: Heh, ja pracowałem w takiej firmie, gdzie admin sieci (oczywiście fatalnie opłacany) robił dosłownie wszystko. Od helpdesk po programowanie, adminowanie itd. Znalazłem coś lepszego i s----------m

brokenik

16.08.2023, 14:31:45 via Wykop

16

Iptables jest o wiele wiele bardziej skomplikowany niż to co zostało napisane w artykule. Faktem jest że w tej chwili trzeba po mału przestawiać się na nftables który ma zastąpić wszystko po kolei - bo nftables i iptables to tylko nakładki na netfilter które pozwalają na komunikację z użytkownikiem.

Autor artykułu trochę tam baboli popełnił ponieważ np. akcja REDIRECT nie jest do użycia w tabeli domyślnej a w tabeli NAT. Poza tym

Pabick

25.08.2023, 05:22:55 via Wykop

0

tam można wiele ciekawych rzeczy zrobić jak np. wewnętrznie zaznaczać ruch - przez co można dostosowywać wyjście/wejście ruchu do odpowiednich np. polityk QoS, tras routingu itd.

@brokenik: Ja pamiętam czasy kernela 2.2 i tam iptables właśnie zastępował ipchains. Pamiętam że iptables miał bardzo dużą listę modułów i już wtedy można było cuda na kiju robić.

divinitus

16.08.2023, 14:11:51 via Wykop

8

Netfilter jest przestarzały i napisano o nim już absolutnie wszystko. Sorry OPie, wpis jest spóźniony o jakieś ... 12 lat :)

divinitus

16.08.2023, 16:46:18 via Android

0

@ZeLBeT https://wiki.nftables.org/wiki-nftables/index.php/Main_Page

2ubRYlGqXdXxRAzXwRaQQ

16.08.2023, 17:57:35 via Wykop

1

@divinitus: nftables sa czescia netfiltera

Arv_

16.08.2023, 12:17:40 via Wykop

7

Ja tylko tak dla porównania pokażę, jak można pisać takie artykuły: https://randomseed.pl/pub/nftables-nowy-firewall-linuksa/

sp00_n

16.08.2023, 14:02:57 via Wykop

1

@Arv_: nie czytałem daleko, ale mam nadzieję, że artykuł lepszy niż tłumaczenie słowa "firewall" ;)

Pushsec

16.08.2023, 17:41:01 via Wykop

-1

@Arv_: Dzięki przeczytam ;) zapisuje sobie

SmacznyPies

15.08.2023, 22:34:55 via Wykop

6

niezły internet exploder jak teraz nftables przejmuje stery, ale ofc są co poniektórzy (zwłaszcza na p0lskich uczelniach) co to lubią wiedzę archaiczną

Pushsec

16.08.2023, 06:02:39 via Wykop

7

@SmacznyPies: O nftables tez napiszemy :), w kolejce gdzieś tam wisi do napisania :). Też miałem takie podejście jak ty, że wiedza prehistoryczna mi do niczego niepotrzebna i w krótkiej perspektywie tak jest ale jak spojrzysz z lotu ptaka to już jest inaczej uczysz się jak coś było robione, jakie błędy popełniali i to pozwala Ci zrozumieć jakich błędów nie popełniać nawet jeśli masz inne rozwiązanie. Choć się zgodzę, że

T_S_

16.08.2023, 21:17:08 via Wykop

5

to ipchains juz się nie używa?

T_S_

17.08.2023, 05:47:41 via Wykop

6

@Zylet: ale ja lubię jądro 2.2 nie będę chyba jeszcze robił updata

Pabick

25.08.2023, 05:06:42 via Wykop

2

@Zylet @T_S_ : Pamiętam jak 2.4 to była nowość 25 lat temu xD

czadbastian

16.08.2023, 04:49:51 via Android

3

A nie lepiej ufw zainstalować?

Pushsec

16.08.2023, 05:58:17 via Wykop

-1

@czadbastian: O UFW też napisalismy :) https://pushsec.pl/ufw-czyli-firewall-w-przyjaznym-wydaniu/ - Artykuły powstają aktualnie na podstawie ankiety na LinkedIn. Jeśli chciałbyś coś przeczytać możesz napisać u nas w ankiecie a my postaramy się napisać art dla Cb ;) - https://www.linkedin.com/feed/update/urn:li:activity:7092872476665270272

morsik

16.08.2023, 13:53:04 via Wykop

7

@czadbastian: ufw to nie firewall tylko nakładka na iptables/nftables - on tylko konfiguruje prawdziwe regułki na iptables/nftables zależnie od prostego inputu usera.

tl;dr - prawdopodobnie lepiej zainstalować ufw/firewalld do prostych regułek - ale wtedy nie wiesz co tak naprawdę realnie się dzieje pod spodem i nie masz pojęcia jak to zdebugować jak nie ogarniasz iptables/nftables.

Iptables działanie, konfiguracja i możliwości

Hity

Deweloperuch.pl ZBIÓRKA NA UJAWNIENIE DANYCH Z RCN

Ci ludzie nie mają wstydu w oczach: Gwiazda disco-polo zakłada zbiórkę na córkę

Happy end - chłopczyk odnaleziony i dostał czapkę.

Deweloper kupuje działkę, na której miał iść tramwaj. W tle "darowizna" na 3mln.

Policja Trzebnica - Wstyd! Zawieszenie sprawy po ciężkim pobiciu i pocięciu nożem

Powiązane tagi