আইপিটিবলগুলি কেবল লোকালহোস্ট অ্যাক্সেসের অনুমতি দেয়


58

আমি iptables সম্পর্কে দৃ understanding় ধারণা পেতে বছরের পর বছর ধরে সংগ্রাম করেছি। যেকোন সময় আমি চেষ্টা করতে এবং মেন পৃষ্ঠাগুলির মাধ্যমে পড়তে আমার চোখগুলি জ্বলতে শুরু করে।

আমার একটি পরিষেবা রয়েছে যা আমি কেবলমাত্র লোকালহোস্টের অ্যাক্সেসের অনুমতি দিতে চাই।

কোনও লোকাল হোস্ট হোস্টকে প্রদত্ত বন্দরটিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য কী শর্তাদি (বা কনফিগারেশন, যদি কেউ উদার বোধ করছেন) আমার গুগল থাকা উচিত?


2
এই পরিষেবাটি কোন বন্দরে চলছে?
বার্ট ডি ভোস

44344, এটি ঘরে বসে লিখিত একটি পরিষেবা
iptablessuck

1
আমি 'iptablesrules' এর জন্য সাময়িকভাবে আমার
নিকটি

@ আর্ট, তারা কেবল স্তন্যপান করছে কারণ আমি তাদের বুঝতে পারি না :)
iptablessuck

@ iPtablessuck আসলে মনে হচ্ছে আমি পারছি। তবে আমি কারণটি করব না যে আমি এটি আবার পরিবর্তন করতে সক্ষম হব তা নিশ্চিত নয় :)
আর্ট শায়দারভ

উত্তর:


65

যদি পরিষেবা দ্বারা আপনি একটি নির্দিষ্ট বন্দর বোঝাতে চান, তবে নিম্নলিখিত দুটি লাইনটি কাজ করা উচিত। আপনি সীমাবদ্ধ করার চেষ্টা করছেন যে কোনও বন্দরটিতে "25" পরিবর্তন করুন।

iptables -A INPUT -p tcp -s localhost --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j DROP

1
"লোকালহোস্ট থেকে 25 বন্দরটিতে যে কোনও কিছু আসবে, গ্রহণ করুন" এবং দ্বিতীয় নিয়মে বলা হয়েছে "25 বন্দরটিতে আসা যে কোনও কিছু ফেলে দিন"। প্রথম লাইনটি প্রথমে প্রক্রিয়াজাত করা হয়, লোকালহোস্টের অনুমতি দেয় এবং অন্য যে কোনও কিছু দ্বিতীয় লাইনে ফেলে দেওয়া হবে। হ্যাঁ?
iptablessuck

এটাই সঠিক!
হিপ্পি

4
@ হিপ্পি, আপনি কীভাবে এটিকে "পূর্বাবস্থাপন" করবেন?
পরীক্ষক

10
@tester ঐ কমান্ড আবার টাইপ করুন, কিন্তু প্রতিস্থাপন -Aসঙ্গে-D
pepoluan

1
পরিবর্তনগুলি সংরক্ষণ করতে অস্ট্রোনআউট টাইপ করুন 'সুডো পরিষেবা iptables সংরক্ষণ করুন'। তারপরে পুনরায় বুট করুন। 'sudo iptables -L' টাইপ করে পরিবর্তনগুলি সংরক্ষণ করা হয়েছিল কিনা তা আপনি পরীক্ষা করতে পারেন
বিনয়াক

30

আমি সুপারিশ করব:

iptables -A INPUT -i lo -p tcp --dport $APP_PORT -j ACCEPT
iptables -A INPUT -p tcp --dport $APP_PORT -j DROP

কারণ, স্ব-সম্বোধিত প্যাকেটের অগত্যা 127.0.0.1 এর উত্স হিসাবে নেই, তবে তারা সমস্ত loইন্টারফেস থেকে 'প্রবেশ' করে ।

এখন, আপনি যদি সত্যিইiptables প্রথম জিনিসটি বুঝতে চান তবে তা হ'ল netfilterটেবিলগুলির সম্পর্কগুলি ব্যাখ্যা করার জন্য ভাল চিত্রগুলি ডাউনলোড এবং মুদ্রণ করা । এখানে দুটি দুর্দান্ত ব্যক্তি রয়েছে:

অবশেষে, অনেকগুলি iptablesহাওটো পড়ুন। ব্যবহারিক উদাহরণগুলি আপনাকে দ্রুত গতিতে দ্রুত আসার জন্য সহায়তা করবে :)


TY! loআমার জন্য দেখায় এই লিঙ্ক থেকে গত কমান্ড সঙ্গে এই কমান্ড ব্যবহার করে পরে cyberciti.biz/faq/howto-display-linux-iptables-loaded-rules iptables -L -v -n --line-numbers

2
@Gracchus আমি এটা অনেক সহজ ব্যবহার করতে এটি iptables-save, একটি ফাইল আউটপুট সংরক্ষণ করুন, সাথে এর সম্পাদনা vimবা emacs, এবং সম্পাদিত ফাইল ব্যবহার করে পুনরায় ইম্পোর্ট করার পরিবর্তেiptables-apply
pepoluan

আমি মনে করি ব্যবহারের ক্ষেত্রে নির্ভর করে, দ্বিতীয় নিয়মটি নিঃশব্দে নামার পরিবর্তে স্পষ্টতই প্রত্যাখ্যান করা উচিত। এটি কি সেরা অনুশীলন হিসাবে নীরবে বাদ পড়েছে? প্রত্যাখ্যান কি নিরাপদ?
মিঃ ডুমসবাস্টার

1
@ টেক-প্রো হ্যাঁ, প্রত্যাশা ব্যবহার করা নিরাপদ। আপনি কী অর্জন করতে চাইছেন এবং বন্দরটি ব্যবহার করার চেষ্টা করছেন এমন লোকদের প্রতি আপনি সৌম্য হতে চান কিনা তার উপর এটি নির্ভর করে। প্রত্যাখ্যান ক্লায়েন্টকে বলছে যে মেশিনটি শেষ হয়েছে তবে বন্দরটি বন্ধ রয়েছে বলে একটি টিসিপি আরএসটি প্যাকেট ফেরত পাঠাবে। যদি আপনি এমন কোনও বন্দর বন্ধ করে দিচ্ছেন যা লোকেরা আইনত ব্যবহারের জন্য আশা করতে পারে, তবে প্রত্যাখ্যান ভাল is আপনি যদি কেবল পোর্ট স্ক্যানার আশা করেন তবে ডিআরপি আরও ভাল।
Law29

1
@ এক্স-ইউরি উদাহরণস্বরূপ, আমি unboundসামনে ডিএনএস ক্যাশে হিসাবে চালাচ্ছি dnscrypt-proxyunboundআবদ্ধ হয় 127.0.53.1:53, এবং dnscrypt-proxyআবদ্ধ হয় 127.0.53.2:53। যখন কোনও অ্যাপ্লিকেশন কোনও এফকিউডিএন সমাধানের জন্য আনবাউন্ড বা ডান্সক্রিপট-প্রক্সি অনুরোধ করে, অনুমান করুন কী উত্সের ঠিকানাটি আনবাউন্ড / ডেনসক্রিপ্ট-প্রক্সি থেকে প্রতিক্রিয়া জানাবে?
পেপলুয়ান
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.