অ্যাপ্লিকেশনগুলি ডাউনলোড করার প্রোগ্রামগুলিকে অনুমতি দেওয়ার জন্য সঠিক আইপটিবল নিয়ম কী?

যখন আমি এর মতো কিছু টাইপ করি sudo apt-get install firefox, আমার জিজ্ঞাসা না করা পর্যন্ত সবকিছুই কাজ করে:

After this operation, 77 MB of additional disk space will be used.
Do you want to continue [Y/n]? Y

তারপরে ত্রুটির বার্তা প্রদর্শিত হবে: Failed to fetch: <URL>

আমার iptables নিয়মগুলি নিম্নরূপ:

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

আপডেটগুলি ডাউনলোডের জন্য অ্যাপ্ট-গেইনের অনুমতি দেওয়ার জন্য আমার কী যুক্ত করা উচিত? ধন্যবাদ

security iptables firewall

— anthony01
সূত্র

প্রায় সবসময় এইচটিটিপি-র মাধ্যমে ডাউনলোড হয় তবে এফটিপিও ব্যবহার করতে পারে, সুতরাং সংক্ষিপ্ত উত্তরটি সম্ভবত বাহ্যিক এইচটিটিপি সংযোগগুলির অনুমতি দেয় ... এবং অবশ্যই ডিএনএস, অবশ্যই।

আপনার এখন যে কনফিগারেশন রয়েছে তা সমস্ত বিদায়ী নেটওয়ার্ক ট্র্যাফিককে মঞ্জুরি দেয় ( ESTABLISHEDআপনার OUTPUTশৃঙ্খলে থাকা নিয়ম কার্যকর হয় না কারণ কোনও সেশন কখনই প্রতিষ্ঠিত হবে না)। আপনার কি এখনও সমস্ত কিছু বারণ করার সময় কেবলমাত্র অ্যাপ্লিকেশন আপডেটের অনুমতি দেওয়া দরকার ? iptablesসম্ভবত এটি সেই কাজের জন্য একটি ভুল হাতিয়ার কারণ এটি সত্যই ইউআরএল ব্যাখ্যা করে এবং নির্বাচিতভাবে এইচটিটিপি স্থানান্তর করতে দেয় না। আপনি এই কাজের জন্য একটি HTTP প্রক্সি সার্ভার ব্যবহার করতে চাই।

আপনি একটি সহজ সেটআপ ব্যবহার করতে পারেন যা এপ্টি-ডাউনলোড ডাউনলোডের অনুমতি দেবে, তবে সচেতন থাকুন যে এটি অন্যান্য বহির্গামী ডিএনএস এবং এইচটিটিপি সংযোগগুলিরও অনুমতি দেয়, যা আপনি চান তা নাও হতে পারে।

iptables -F OUTPUT  # remove your existing OUTPUT rule which becomes redundant
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

যদি আপনার এপিটি উত্সগুলিতে এইচটিটিপিএস বা এফটিপি উত্স বা ৮০ টি ব্যতীত অন্যান্য বন্দরগুলিতে এইচটিটিপি উত্স অন্তর্ভুক্ত থাকে তবে আপনাকে সেগুলি বন্দরগুলিও যুক্ত করতে হবে।

এরপরে, আপনাকে ফেরতের ট্র্যাফিকের অনুমতি দিতে হবে। যে কোনও প্রতিষ্ঠিত সংযোগের অনুমতি দেওয়ার জন্য আপনি এই একক নিয়মটি দিয়ে এটি করতে পারেন:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

(সংযোগ ট্র্যাকিং ব্যবহার করার সময় সমস্ত অভ্যন্তরীণ প্রতিষ্ঠিত সংযোগগুলি মঞ্জুরি দেওয়া নিরাপদ, কারণ আপনি যে সংযোগগুলি অন্যথায় অনুমতি দিয়েছেন কেবলমাত্র সেগুলি ESTABLISHED অবস্থায় পাবেন))

— Celada
সূত্র

হাই, আপনার প্রতিক্রিয়ার জন্য ধন্যবাদ। এটি কাজ করেছে, তবে আপনি কি মনে করেন যে এই OUTPUT বন্দরগুলি খোলার সাথে কোনও সুরক্ষা উদ্বেগ থাকতে পারে? ধন্যবাদ

— anthony01

কার্যত সমস্ত সোহো-স্টাইল বাক্স সহ বেশিরভাগ ফায়ারওয়ালগুলি সীমাহীন আউটবাউন্ড সংযোগের অনুমতি দেয়। বহির্গামী যানজট সীমাবদ্ধ করার জন্য সাধারণত লোকের কোনও প্রয়োজন হয় না। তবে এটি আপনার প্রয়োজনীয়তার উপর নির্ভর করে। আপনার বিদ্যমান সেটআপটি ওয়ার্কস্টেশনে থাকা ব্যবহারকারীদের ইন্টারনেট ব্রাউজ করা থেকে বিরত রাখে। আপনার যদি এটি করা দরকার তবে আপনি এই iptables- ভিত্তিক সমাধানটি ব্যবহার করতে পারবেন না কারণ এটি ওয়েব ব্রাউজিংয়ের অনুমতি দেয় be

— সেলেদা

এবং যদি উদ্দেশ্যটি ওয়েব ব্রাউজিংকে অবরুদ্ধ করা হয় তবে যাইহোক এটি ভুল সরঞ্জাম। স্টাফ ওয়েব ব্রাউজিং প্রতিরোধের জন্য সমস্ত আউটবাউন্ড সংযোগগুলি ব্লক করতে নেটফিল্টার / আইপিটবেলগুলি ব্যবহার করা একটি আখরোট খুলতে বাজুকা ব্যবহার করার মতো। আপনার স্বচ্ছ ওয়েব প্রক্সি দরকার যা অনুমোদিত ব্যবহারকারীদের কাজের সাথে সম্পর্কিত ব্রাউজিংয়ের অনুমতি দেওয়ার সময় অনুপযুক্ত ব্যবহারের জন্য লগ করবে log

— ম্যাগেলান

কয়েক ঘন্টা অনুসন্ধানের পরে, এই উত্তরটি আমাকে শেষ পর্যন্ত আমার নিজের স্থানীয় সার্ভারের সাথে সমস্যার সমাধান করতে সহায়তা করেছিল। আমি যাই করুক না কেন, যতক্ষণ না আমি স্পষ্টভাবে ডিএনএস সংযোগগুলি বন্দর 53 এর মাধ্যমে অনুমতি দিয়েছি ততক্ষণ সমস্ত আউটগোয়িং ট্র্যাফিক ব্লক করা হয়েছিল। যদিও এটি আমার প্যাকেজ ম্যানেজার অভিযোগ করেছে যে এটি হোস্টগুলি সমাধান করতে পারে না।

— পেঁয়াজ