আইপিটিবলগুলি কেবল লোকালহোস্ট অ্যাক্সেসের অনুমতি দেয়

আমি iptables সম্পর্কে দৃ understanding় ধারণা পেতে বছরের পর বছর ধরে সংগ্রাম করেছি। যেকোন সময় আমি চেষ্টা করতে এবং মেন পৃষ্ঠাগুলির মাধ্যমে পড়তে আমার চোখগুলি জ্বলতে শুরু করে।

আমার একটি পরিষেবা রয়েছে যা আমি কেবলমাত্র লোকালহোস্টের অ্যাক্সেসের অনুমতি দিতে চাই।

কোনও লোকাল হোস্ট হোস্টকে প্রদত্ত বন্দরটিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য কী শর্তাদি (বা কনফিগারেশন, যদি কেউ উদার বোধ করছেন) আমার গুগল থাকা উচিত?

iptables

— iptablessuck
সূত্র

এই পরিষেবাটি কোন বন্দরে চলছে?

— বার্ট ডি ভোস

44344, এটি ঘরে বসে লিখিত একটি পরিষেবা

— iptablessuck

আমি 'iptablesrules' এর জন্য সাময়িকভাবে আমার

— নিকটি

@ আর্ট, তারা কেবল স্তন্যপান করছে কারণ আমি তাদের বুঝতে পারি না :)

— iptablessuck

@ iPtablessuck আসলে মনে হচ্ছে আমি পারছি। তবে আমি কারণটি করব না যে আমি এটি আবার পরিবর্তন করতে সক্ষম হব তা নিশ্চিত নয় :)

— আর্ট শায়দারভ

উত্তর:

যদি পরিষেবা দ্বারা আপনি একটি নির্দিষ্ট বন্দর বোঝাতে চান, তবে নিম্নলিখিত দুটি লাইনটি কাজ করা উচিত। আপনি সীমাবদ্ধ করার চেষ্টা করছেন যে কোনও বন্দরটিতে "25" পরিবর্তন করুন।

iptables -A INPUT -p tcp -s localhost --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j DROP

— Hyppy
সূত্র

"লোকালহোস্ট থেকে 25 বন্দরটিতে যে কোনও কিছু আসবে, গ্রহণ করুন" এবং দ্বিতীয় নিয়মে বলা হয়েছে "25 বন্দরটিতে আসা যে কোনও কিছু ফেলে দিন"। প্রথম লাইনটি প্রথমে প্রক্রিয়াজাত করা হয়, লোকালহোস্টের অনুমতি দেয় এবং অন্য যে কোনও কিছু দ্বিতীয় লাইনে ফেলে দেওয়া হবে। হ্যাঁ?

— iptablessuck

এটাই সঠিক!

— হিপ্পি

@ হিপ্পি, আপনি কীভাবে এটিকে "পূর্বাবস্থাপন" করবেন?

— পরীক্ষক

@tester ঐ কমান্ড আবার টাইপ করুন, কিন্তু প্রতিস্থাপন -Aসঙ্গে-D

— pepoluan

পরিবর্তনগুলি সংরক্ষণ করতে অস্ট্রোনআউট টাইপ করুন 'সুডো পরিষেবা iptables সংরক্ষণ করুন'। তারপরে পুনরায় বুট করুন। 'sudo iptables -L' টাইপ করে পরিবর্তনগুলি সংরক্ষণ করা হয়েছিল কিনা তা আপনি পরীক্ষা করতে পারেন

— বিনয়াক

আমি সুপারিশ করব:

iptables -A INPUT -i lo -p tcp --dport $APP_PORT -j ACCEPT
iptables -A INPUT -p tcp --dport $APP_PORT -j DROP

কারণ, স্ব-সম্বোধিত প্যাকেটের অগত্যা 127.0.0.1 এর উত্স হিসাবে নেই, তবে তারা সমস্ত loইন্টারফেস থেকে 'প্রবেশ' করে ।

এখন, আপনি যদি সত্যিইiptables প্রথম জিনিসটি বুঝতে চান তবে তা হ'ল netfilterটেবিলগুলির সম্পর্কগুলি ব্যাখ্যা করার জন্য ভাল চিত্রগুলি ডাউনলোড এবং মুদ্রণ করা । এখানে দুটি দুর্দান্ত ব্যক্তি রয়েছে:

http://en.m.wikedia.org/wiki?search=iptables - খুব জটিল, তবে রেফারেন্স
http://vinojdavis.blogspot.com/2010/04/packet-flow-diagrams.html - উপরের চিত্রটি সম্পূর্ণ হিসাবে না হলেও অনেক বেশি বোধগম্য

অবশেষে, অনেকগুলি iptablesহাওটো পড়ুন। ব্যবহারিক উদাহরণগুলি আপনাকে দ্রুত গতিতে দ্রুত আসার জন্য সহায়তা করবে :)

— pepoluan
সূত্র

TY! loআমার জন্য দেখায় এই লিঙ্ক থেকে গত কমান্ড সঙ্গে এই কমান্ড ব্যবহার করে পরে cyberciti.biz/faq/howto-display-linux-iptables-loaded-rules iptables -L -v -n --line-numbers

@Gracchus আমি এটা অনেক সহজ ব্যবহার করতে এটি iptables-save, একটি ফাইল আউটপুট সংরক্ষণ করুন, সাথে এর সম্পাদনা vimবা emacs, এবং সম্পাদিত ফাইল ব্যবহার করে পুনরায় ইম্পোর্ট করার পরিবর্তেiptables-apply

— pepoluan

আমি মনে করি ব্যবহারের ক্ষেত্রে নির্ভর করে, দ্বিতীয় নিয়মটি নিঃশব্দে নামার পরিবর্তে স্পষ্টতই প্রত্যাখ্যান করা উচিত। এটি কি সেরা অনুশীলন হিসাবে নীরবে বাদ পড়েছে? প্রত্যাখ্যান কি নিরাপদ?

— মিঃ ডুমসবাস্টার

@ টেক-প্রো হ্যাঁ, প্রত্যাশা ব্যবহার করা নিরাপদ। আপনি কী অর্জন করতে চাইছেন এবং বন্দরটি ব্যবহার করার চেষ্টা করছেন এমন লোকদের প্রতি আপনি সৌম্য হতে চান কিনা তার উপর এটি নির্ভর করে। প্রত্যাখ্যান ক্লায়েন্টকে বলছে যে মেশিনটি শেষ হয়েছে তবে বন্দরটি বন্ধ রয়েছে বলে একটি টিসিপি আরএসটি প্যাকেট ফেরত পাঠাবে। যদি আপনি এমন কোনও বন্দর বন্ধ করে দিচ্ছেন যা লোকেরা আইনত ব্যবহারের জন্য আশা করতে পারে, তবে প্রত্যাখ্যান ভাল is আপনি যদি কেবল পোর্ট স্ক্যানার আশা করেন তবে ডিআরপি আরও ভাল।

— Law29

@ এক্স-ইউরি উদাহরণস্বরূপ, আমি unboundসামনে ডিএনএস ক্যাশে হিসাবে চালাচ্ছি dnscrypt-proxy। unboundআবদ্ধ হয় 127.0.53.1:53, এবং dnscrypt-proxyআবদ্ধ হয় 127.0.53.2:53। যখন কোনও অ্যাপ্লিকেশন কোনও এফকিউডিএন সমাধানের জন্য আনবাউন্ড বা ডান্সক্রিপট-প্রক্সি অনুরোধ করে, অনুমান করুন কী উত্সের ঠিকানাটি আনবাউন্ড / ডেনসক্রিপ্ট-প্রক্সি থেকে প্রতিক্রিয়া জানাবে?

— পেপলুয়ান