Настраиваем iptables с нуля 

Лучшая из тех коротких обучалок , которые я до сих пор видел....Стиль изложения логичный , лаконичный и системный.

*Автор - один из немногих людей, которые объясняют доступно и понятно. Спасибо!*

Николай как ваш ученик на платформе Geekbrains,могу сказать что вы большой молодец,доступно рассказываете👏

Супер!!! Жалко только не сказали как командой удилить правило . Но это мелочь. Ну и небольшой конспект от меня. Посмотреть информацию о фильтрах iptables -L -nv Посмотреть информацию о NAT iptables -t nat -L -nv Список адресов:портов которые слушают ss -ntulp Посмотреть какие подключены интерфейсы ip a Разрешили подключение по SSH iptables -A INPUT -p tcp --dport=22 -j ACCEPT Разрешили входящий трафик по loopback iptables -A INPUT -i lo -j ACCEPT Разрешили ping iptables -A INPUT -p icmp -j ACCEPT Разрешили подключение по http iptables -A INPUT -p tcp --dport=80 -j ACCEPT Разрешили подключение по https iptables -A INPUT -p tcp --dport=443 -j ACCEPT Разрешаем все пакеты которые приходят в качестве ответа iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Всё остальное запретить. Политика. iptables -p INPUT DROP Сохранить(м.б. выгрузить) все настройки в файл iptables-save > ./iptables.rules Восстановить настройки из файла iptables-restore < ./iptables.rules Заблокировать по IP iptables -I INPUT -s 209.175.153.23 -j DROP Пакеты для сохранения, автоматической загрузки правил фаервола apt install iptables-persistent netfilter-persistent Сохранение правил netfilter-persistent save Запуск правил netfilter-persistent start Разрешить ssh по конкретному интерфейсу iptables -A INPUT -i enp0s3 -p tcp --dport 22 -j ACCEPT

Спасибо за столь лаконичный ликбез! Четко и без воды

Господи, это крайне прекрасно поданный и изложенный материал. Самое то освежить в памяти основные концепции или подготовиться к интервью) Спасибо большое! P.S. Подписался в надежде послушать когда-нибудь в подобном изложении про nftables и ipvs.

Грамотная, приятная речь. Способ подачи материала - отличный! Спасибо Вам!

Большое спасибо за обучалку. Было интересно и полезно!

В целом всё знал, но для начинающего очень хороший выпуск. Хотелось бы серию выпусков, и про нат и про форвард. Как пробрасывать порты, как перенаправлять порты. Сложного тут тоже ничего нет, но в стиле изложения автором - будет доходчиво.

Рассказано легко и просто для освоения. Спасибо за проделанную работу.

Для новичков самое то, очень чётко изложено и без лишней воды. Спасибо!

Спасибо Вам за проделанную работу. Просто отличное видео. Все доходчиво объяснено.

Очень доходчиво, спасибо.

Очень хорошее объяснение, спасибо автору)

Отличное видео, все понятно, смотреть и слушать одно удовольствие! Спасибо)

Спасибо, благодаря тебе только и понял как работать с iptables

Просто и понятно, спасибо. Давайте ещё про iptables, особенно про forward и nat

Всё чётко и по делу, никакой воды.

Очень доступно и понятно, большое спасибо за ролик. Нашел для себя много интересного на канале, буду смотреть.

Спасибо друг! Некоторые моменты сложные, но интересно и полезно! Больше тем по безопасности =)

Спасибо, крайне полезно провел 39 минут! Прям зашло видео для меня!

Спасибо! Очень понятно, слушается приятно, и СИСТЕМНО! ОДнозначно ЛАЙК!)

Спасибо, все очень подробно и понятно. В из этого видео я унал все что хотел знать.

Добрый. PING не проходил на сервер. привел команду к такому виду. iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT. Всё заработало. Спасибо за видео.

Спасибо большое, начал больше понимать. Еще бы видео где рассказывается про таблицу mangle как её использовать

Легче, чем кажется при первом гуглении, спасибо

Классный дядька! объясняет очень понятно

Отличное видео по iptables, спасибо!

Спасибо ты лучший, очень помог!

Насчёт включения правил - можно подстраховатся и выполнить две команды через sleep, первая команда добавляет правило, вторая отменяет его. Пример >> echo "one" && sleep 20 && echo "two" Если всё впорядке, то тогда применяем правило уже окончательно.

Отличное вводное видео, просто, чётко и понятно. Только на 27:23 некорректно про DROP и REJECT. Как раз DROP пакета показывает наличие файрвола. В общем случае, при отсутствии iptables или другого файрвола, при получении пакета на порт на котором ничего нет, ответ должен / будет отправлен в любом случае, и на другом уровне (пакет с reset на уровне TCP, см. RFC 793) DROP же это поведение меняет и пакет не отправит, так что REJECT (с --reject-with tcp-reset) как раз эмулирует поведение незащищённого порта без файрвола и без какого-либо сервиса, слушающего на этом порту, а вот DROP показывает наличие файрвола, блокирующего порт. В целом, насчёт DROP vs REJECT есть разные мнения для разных ситуаций, просто по видео может сложиться однобокое мнение по этому вопросу, поэтому уточнил. А так супер, как и вообще канал.

очень круто, лучшее объяснение по iptables

Спасибо.

спасибо! отлично обьясняете!

не заметил как пролетело 40 мин. отличное видео!

Спасибо, всё по делу.

Спасибо огромное, 10/10

Отличное видео. Спасибо. Хотелось бы еще увидеть как дебажить запросы. Что происходит с конкретным запросом пока он попадет к службе.

Хорошо объяснено, хотелось бы увидеть продолжение для локальных сетей и другой тонкой настройки

Шикарный гайд!

Отличный материал. Было бы замечательно, если рассмотрите возможность сделать что-то похожее, но про nftables.

Спасибо, доходчиво. Хотелось бы примеры использования iptables для ограничения доступа vpn клиентов к конкретным сетям/айпишникам

спасибо

Освежил утерянные в рутине потока времени знания) щас пойду применять на "боевой" сервер 😅

Про мангл и "прыжки" расскажите, пожалуйста с примерами, как всегда, было бы очень интересно

Отличный контетн, спасибо! Я то по должности разработчик, так что я мамкин администратор. Но тема захватывает. Возник такой вопрос. Сталкивался с руководствами, в который нежелательный траффик отсекали при помощи UFW. Предполагаю что проблему они решают на несколько разных уровнях. Нужно ли эти инструменты использовать совместно? Или вы посоветуете остановиться на чем то одном?

Жаль что в этом видео не рассказали про удаление и как нужно двигать правило вверх вниз. Спасибо за ваше полезное видео

27:17 Тут присутствует небольшое когнитивное искажение. REJECT, отвечая, эмулирует закрытый (т.е. неиспользуемый) порт, скрывая, таким образом, наличие сервиса и файрвола, а DROP (на фоне ping-ов и других отвечающих портов) подчеркивает, что мы блокируем данный порт, и на нем, вероятно, запущен какой-то сервис. Это можно проиллюстрировать с помощью nmap(8). Для REJECT он покажет, что порт закрыт ("closed", то есть не используется), так же, как если бы сервис не был запущен, а для DROP - что заблокирован ("filtered").

Присоединюсь к остальным - отличный урок для начинающих! Вопрос: есть ли у вас уроки по настройке QoS с помощью iptables+iproute2 на Debian/Ubuntu? Сколько не рыл - ничего не могу найти.

Народная примета. Играешь с фаерволом на сервере в ЦОДе, это к дороге.

Спасибо за объяснение по iptables. А можете подсказать как блокировать пул ip c помощью ipset. Например если есть списки CIDR

Спасибо самое понятное обьяснение на канале, простите за вопрос - можно сделать видео ИМЕННО для простого ПК (НЕ СЕРВЕРНОГО) и как пример сделайте настройку iptables по максимуму что бы DROP БЫЛ ДЛЯ входящих и ИМЕННО для исходящих - то есть по глобальным правилам все закрыть ,но что бы работали программы которые уже стоят - поскольку в сети нет нормальной настройки именно для (простого ПК (НЕ СЕРВЕРНОГО) - для дилетанта не понятно то что есть в сети - скрипты и тд - ПОЖАЛУЙСТА сделайте такое видео

Спасибо, упорядочилось. А по nftables будет? Не пора ли на него переходить?

Приветствую, вопрос как мне настроить приоритет интерфейсов, например есть два рабочих интерфейса с выходом в интернет, мне надо чтобы трафик ходил всегда по первому интерфейсу, но если первый интерфейс отваливается, то мне надо чтобы трафик ходил по второму. Спасибо

И можете сделать какие нибудь сложные примеры с редиректом, nat и т.д.

Эх еще бы логирование событий iptables добавить и совсем бы огонь было.

31:28 про -I

День добрый коллеги , вопрос такой , вот мы тут прописываем эти правила , но при ребуте не слетят эти правила т к они добавлены но не записаны в конфигах , кто то это разбирал ? или же они сразу же прописавыються в конфигах и почему их сразу в файл не записать ???

про ipset у вас есть?

33:20 можно было ставить только iptables-persistent, так как второй пакет идет зависимостью

+

А это все на CPU обрабатывается или сетевая карта может делать часть работы?

продолжение про фаерволлы

А можете сделать гайд по настройке nat

сохранил после перезагрузки правило сбрасывается

Всем привет, для чего нужен, -A INPUT -i lo -j ACCEPT ?

а кто и когда решает, куда пойдет пакет - в приложения или в интерфейс? И по каким признакам принимается решение

У меня дедик (на debian 9) падал после команды iptables -F Ни у кого такого не случалось?

не проще ввести один раз sudo -i?

хм... Перестали резолвиться днс-запросы. Чего не зватает?

Почему Вы считаете что iptables не может работать самостоятельно?

Не корректная картинка, postrouting работает и для пакетов которые приходят самому серверу и для пакетов не для него. На картинке показано как будто postrouting только для пакетов предназначенных не для сервера

почему бы сразу не объяснять что такое -L -nv и так далее

root@box:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables: No chain/target/match by that name. в чём проюлема? сервер VPS ubuntu 22.04 соответсвенно сервер не может устанавливать соединения с другими

/sbin/iptables-save?

а можешь подсказать как поставить защиту на сервер чтобы к примеру можно было зайти на него только с определенных ip. Ну например 21 и 22 порт закріть для всех кто не всписке исключений. но при 80 и 443 что бы не затрагивать так как там сайты для клиетов )