Отличный урок. Сколько не пытался освоить таблицу прохождения пакетов, не получалось понять. Здесь сразу понял и принцип обработки пакетов и записи iptables.
Иван, спасибо за познавательное видео! Единственная просьба -- хронометрировать видео по тематическим главам, например: 1. Общие сведения об iptables xx:yy (где xx:yy -- временнАя метка). 2. Таблицы iptables mm:ss, и.т.д. И указывать хронометраж в описании к видео. Так будет проще навигация, особенно для новичков, которым какие-то вопросы покажутся важными для повторного просмотра. Спасибо!
Иван, не ставь такие фоновые звуки. Тема не простая, а такая.. такой набор шума только мешает. Хочешь музыку поставить, ставь ту, что поможет мозгу усвоить материал и ооочень тихо
Спасибо огромное, очень понятное и доступное объяснение. Лучше конечно посмотреть раза 2-3 с перерывами несколько дней и практикой, но материал простой и самое главное нужный. Спасибо еще раз.
Огромное тебе спасибо!!! Долго не мог въехать как этот нетфильтр настраивать. Твой мануал ответил на основные вопросы в этой теме. По остальным темам тоже самое. Понятней не куда. Успехов тебе!!!
Если кто-то не понял магии на 19:20 он фактически создает правило дропать все входящие пакеты с тэгом(состоянием) NEW. Его пинг возвращает результат, потому что это уже ответные пакеты, тэгнутые как ESTABLISHED.
Иван спасибо! Было бы круто, если бы ты оставлял еще ссылки на полезные ресурсы, книги, статьи и т.д. которые именно ты мог бы посоветовать для более детального изучения темы.
Иван респект!!! Я обычно ускоряю воспроизведение при просмотре подобных видео, но данное видео смотрел на реальной скорости. Очень сжато, информативно, доступно. Многие пишут, что музыка раздражает, мне на оборот твой подход очень понравился. Во первых, использование качественного микрофона дает хорошее звучание голоса, а музыка с использованием звучания в стиле чиптюн как раз в тему при озвучке подобной тематики. По балансу между музыкой и голосом мне кажется, что звучит гармонично.
IPTables - утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4.
Иван. добрый вечер ! один раз поднял тему fireWall на андроиде. fireWall андроид творит чудеса. а именно показывает множественные ip от одного например приложения. и я задал вопрос господам, а где найти такой для windows ? мне сказали что для windows такого нет. а вот для linux я такое смогу найти. Иван это достоверная информация ?
Доброго времени!!! Иван, а про firewalld подобный обзор будет? Интересен именно процесс миграции на firewalld. Дело всё в том что последняя версия fail2ban уже завязана на firewalld и так же завязан fail2ban на systemd (в качестве основного бекенда)
Да ладно! Хоть кто то грамотно вызывает модули conntrack. Обычно вижу как пишут -m state --state .......А это неверно. Еще ты не обьяснил самое главное! Что когда Firewal пропускаетl пакеты через цепочки правил и не найдено совпадений то исп действия по умолчанию IPTABLES -P INPUT DROP и т.д В общем ты саму концепцию не рассказал как работает.Для новичков это то что нужно было. Самое главное это понять КОНЦЕПЦИЮ работы.остальное дело принципа. И еще Любая команда IPTABLES состоит из 4 пунктов. 1-Команды(--append).2 Цепочки(INPUT). 3 Условия,критерия(--source 192.168.1.0/32) 4. Действия на это условие(-j DROP). Пример IPTABLES --append INPUT --source 192.168.1.0/32 -j DROP
разобраться бы еще что делать с udp (в плане безопасности) и с протоколом ipv6 ...я его вообще отключил, но есть же способы как с ним безопасно работать (перспектива на будущее).
Отличное видео, но не всё что писал в правилах пояснял - За это минус. Осталось чувство, что не все базовые вещи проговорил. Работа проделана хорошая - за это плюс. Качественный контент - ещё один плюс. В итоге подписька и лайкос!
Еще, не понятно на какой интерфейс правила ставить. На интерфейс смотрящий на локалку или на интерфейс выхода в интернет если я пытаюсь ограничить доступ к какому то сайту? По интерфейсам не особо понятно.
Привет, давно подписан на твой канал. Есть вопрос. Как под debian или ubuntu сделать атоматическую смену ip (в торе) после подключения к сайту? Заранее спасибо
Для чего использовать ключ -m с аргументом tcp, разве нельзя обойтись без неё ? просто я добавил правило разрешающее icmp для моего ip компа и без ключа -m всё поднялось, объясните, возможно я не понимаю для чего ключ -m, понимаю что нужно при коннтрек соединениях использовать, но там есть модули типа new, est, rel, но tcp то там откуда я понять не могу
-m tcp можно не указывать явно, потому что мы уже указали протокол (-p tcp), явное указание избыточно. -p tcp указывает, что правило должно применяться только к TCP пакетам и iptables автоматически знает что работаем с TCP-пакетами и загружает соответствующий модуль tcp для фильтрации по этому протоколу. Скорее всего в этом случае используют -m tcp, чтобы повысить читаемость правила
Иван, привет. Хорошо объясняешь, но все равно не могу решить проблему. Имеем один комп и vpn connect. При соединении с vpn cisco any connection у компа выключается интернет, так как в сети vpn его нет. Все логично. Но мне нужен интернет хотя бы в браузере. Могу приложить фото route с до соединения и после при необходимости. Как сделать настройку? Где посмотреть пример?
все вполне доходчиво, единственное не понял как сделать переадресацию на разные порты внутренней сети, чтобы порт назначения был 33891 для 192.168.1.2, 33892 был для 192.168.1.3 и.т.д а порт переназначения был у всех 3389, заранее спасибо за ответ
![nftables [ ЧАСТЬ 1 ] | межсетевой экран a.k.a. firewall (ссылка на док в описании)](/img/n.gif)
0:00 - что такое, зачем нужно
2:40 - как работает
4:38 - - принципиальная схема работы файрвола
7:00 - Цепочки правил: INPUT, OUTPUT, PREROUTING и POSTROUTING, FORWARD
9:25 - Таблицы
9:30 - - raw
9:52 - - conntrack
10:30 - - таблица mangle; TTL, TOS, MARK
12:37 - - таблица filter
13:06 - - таблица nat
13:51 - Практика, ключи команды
17:23 - - политика по умолчанию
20:41 - локальный интерфейс 127.0.0.1
22:52 - указание конкретного порта
24:20 - диапазон портов
25:31 - указание адреса сети
27:17 - настройка nat; dnat, snat, masquerate
28:00 - включение ip4 forwarding в сценарии загрузки /etc/sysctl.conf
28:36 - включение ip4 forwarding в работающей системе
35:28 - сохранение настроек файрвола iptables в файл
38:08 - как сделать, чтобы правила iptables восстанавливались при загрузке системы (не работает начиная с Ubuntu 18.04, для этого его пакеты: apt install iptables-persistent netfilter-persistent)
Спасибо за тайминги!
Отличный урок. Сколько не пытался освоить таблицу прохождения пакетов, не получалось понять. Здесь сразу понял и принцип обработки пакетов и записи iptables.
Иван, спасибо за познавательное видео! Единственная просьба -- хронометрировать видео по тематическим главам, например: 1. Общие сведения об iptables xx:yy (где xx:yy -- временнАя метка). 2. Таблицы iptables mm:ss, и.т.д. И указывать хронометраж в описании к видео. Так будет проще навигация, особенно для новичков, которым какие-то вопросы покажутся важными для повторного просмотра. Спасибо!
Иван, не ставь такие фоновые звуки. Тема не простая, а такая.. такой набор шума только мешает. Хочешь музыку поставить, ставь ту, что поможет мозгу усвоить материал и ооочень тихо
музыка реально отвлекает ( а в целом очень отлично!
Я музыку вообще не замечал. Хотя и слушал не очень внимательно, он говорит для новичков, а у меня уже есть некоторый опыт работы с iptables.
@@ivansk222 задонать на новый )
@@ivansk222 )))
музыка реально мешает, так как при просмотре на скорости 1.5 это просто разрыв мозга)))
Одно из самых толковых туториалов по iptables, что я видел! Спасибо
Спасибо огромное, очень понятное и доступное объяснение. Лучше конечно посмотреть раза 2-3 с перерывами несколько дней и практикой, но материал простой и самое главное нужный. Спасибо еще раз.
Автору респект! Подобныхх роликов не так уж и много в сети. Всё круто, единственное фоновая музыка отвлекает.
Все доходчиво и легко усваивается информация
Огромное тебе спасибо!!! Долго не мог въехать как этот нетфильтр настраивать. Твой мануал ответил на основные вопросы в этой теме. По остальным темам тоже самое. Понятней не куда.
Успехов тебе!!!
Если кто-то не понял магии на 19:20
он фактически создает правило дропать все входящие пакеты с тэгом(состоянием) NEW.
Его пинг возвращает результат, потому что это уже ответные пакеты, тэгнутые как ESTABLISHED.
Ура, вернулся !!!
Спасибо за видос. Не хватило инфы о статусе пакетов RELATED, ESTABLISHED, INVALID, NEW, UNTRACKED - где когда какой и как применяются.
Спасибо, 40 минут смотрел, интересно, когда начал смотреть в торой раз чтобы на практике у себя все это применить заметил надпись на футболке )))
да, музыку еще тише или убрать желательно. а так круто, спасибо!
Норм музыка.
Спасибо, Иван. Замечательная инструкция.
Наконец вернулся
Спасибо за подробное видео!
Спасибо что живой :)
Ванечек , заскучали без тебя! спс за видос!
Спасибо, Ваня. По учебе тема нужная
С возвращением, спасибо, футболка - супер =-))
Чел, ты мега мощный, спасибо тебе огромное
Очень классное видео!
Объяснили всё что нужно, спасибо!
Ты когда пропадаешь на месяцы, я прям переживать начинаю )
Будет время - засмотрим! Лайк авансом!
Прекрасное видео. Спасибо тебе за твои стариня)
Блин, мужик! Ты где был? Тут все соскучились!
КАК МЫ ТУТ БЕЗ ТЕБЯ ТО ВЫЖИВЕМ:)
Иван спасибо тебе огромное!!!
Отличное видео! Спасибо! Наконец-то разобрался.
Ванька красавчег ! Лайк автоматом.
Иван спасибо! Было бы круто, если бы ты оставлял еще ссылки на полезные ресурсы, книги, статьи и т.д. которые именно ты мог бы посоветовать для более детального изучения темы.
Спасибо что вернулся!!!))))
У меня тоже такой палас висел на стене, только красного цвета. Респект всем тем, у кого палас был на стене)
Иван респект!!! Я обычно ускоряю воспроизведение при просмотре подобных видео, но данное видео смотрел на реальной скорости. Очень сжато, информативно, доступно. Многие пишут, что музыка раздражает, мне на оборот твой подход очень понравился. Во первых, использование качественного микрофона дает хорошее звучание голоса, а музыка с использованием звучания в стиле чиптюн как раз в тему при озвучке подобной тематики. По балансу между музыкой и голосом мне кажется, что звучит гармонично.
С возвращением непроподай!
Он живой, спасибо.
Спасибо, стало попонятнее чуть но еще разбираться и разбираться ...
Это. Просто. Нечто. Спасибо Вам большое! Только музыка и вправду немного мешает(
Спасибо большое, посмотрела пару видео и только ты доступно объяснил
спасибо, что объяснил, дружище. Кстати музычка прикольная, но если что у меня своя была ) это так, к слову )
Лайк за видео и Mass Effect. :D
Должен отметить ламповую обстановку в комнате)
IPTables - утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4.
Есть интересное на канале,подписываюсь однозначно.
Иван, спасибо огромное за просвещение. Лайк и подписка. Еще вопрос: подскажите, какие треки играют фоном?
Вааа вернулся, скок видосов небыло:(
Отлично, многое стало ясно, я бы сказал даже все!)
Отличное видео! Ждём ещё )))
очень полезные видно 👍
Супер!!! Спасибо, очень полезно и понятно
29:00 sysctl -p
Молодца. многое прояснилось.
он вернулся! война с машинами закончена!
Очень познавательно, спасибо
*полезный контент*
Капец, если бы не видео, то препод бы меня завалил) Спасибо!
40 минут аудиомук. Воспринимать сложно, перезалей без музона лучше.
Иван, спасибо!
Ковер самолет на стене в стиле 90-х. У нас тоже было так, лет 20 назад
Прям чувствую как извилины растут..... лойс!
Иван. добрый вечер ! один раз поднял тему fireWall на андроиде. fireWall андроид творит чудеса. а именно показывает множественные ip от одного например приложения. и я задал вопрос господам, а где найти такой для windows ? мне сказали что для windows такого нет. а вот для linux я такое смогу найти. Иван это достоверная информация ?
Доброго времени!!!
Иван, а про firewalld подобный обзор будет? Интересен именно процесс миграции на firewalld. Дело всё в том что последняя версия fail2ban уже завязана на firewalld и так же завязан fail2ban на systemd (в качестве основного бекенда)
Да ладно! Хоть кто то грамотно вызывает модули conntrack. Обычно вижу как пишут -m state --state .......А это неверно. Еще ты не обьяснил самое главное! Что когда Firewal пропускаетl пакеты через цепочки правил и не найдено совпадений то исп действия по умолчанию IPTABLES -P INPUT DROP и т.д В общем ты саму концепцию не рассказал как работает.Для новичков это то что нужно было. Самое главное это понять КОНЦЕПЦИЮ работы.остальное дело принципа. И еще Любая команда IPTABLES состоит из 4 пунктов. 1-Команды(--append).2 Цепочки(INPUT). 3 Условия,критерия(--source 192.168.1.0/32) 4. Действия на это условие(-j DROP). Пример IPTABLES --append INPUT --source 192.168.1.0/32 -j DROP
это же не ACL там не правила deny any если ты сам его не поставишь командой iptables -p "направление" DROP
Красавчик👍 что снаружи то внутри? 😂
разобраться бы еще что делать с udp (в плане безопасности) и с протоколом ipv6 ...я его вообще отключил, но есть же способы как с ним безопасно работать (перспектива на будущее).
Отличное видео, но не всё что писал в правилах пояснял - За это минус. Осталось чувство, что не все базовые вещи проговорил. Работа проделана хорошая - за это плюс. Качественный контент - ещё один плюс. В итоге подписька и лайкос!
Еще, не понятно на какой интерфейс правила ставить. На интерфейс смотрящий на локалку или на интерфейс выхода в интернет если я пытаюсь ограничить доступ к какому то сайту? По интерфейсам не особо понятно.
Отличное видеоурок. Только громадная просьба, убери фоновую музыку, мешает страшно.
о ты жив еще. где пропадал
forwarding до перезагрузки применяется командой sysctl --system
Иван, не могли бы вы сделать подробное видео о статической и динамической маршрутизации между разными сетями?
Здраствуй Иван, ту недавно появился новый "Жизнь вия- пермский хакер" Клэй. Не мог бы ты высказать свое мнение о его взломах, та уже вроде 3 взлома
Вау, видео)))
Спасибо. Музыка слишком громко.
Иван, что за дич с sysctl.conf до перезагрузки? sysctl -p не судьба юзануть?
Иван, куда ты пропал?) очеень полезный канал и не хватает тебя
Привет, давно подписан на твой канал. Есть вопрос. Как под debian или ubuntu сделать атоматическую смену ip (в торе) после подключения к сайту? Заранее спасибо
Для чего использовать ключ -m с аргументом tcp, разве нельзя обойтись без неё ? просто я добавил правило разрешающее icmp для моего ip компа и без ключа -m всё поднялось, объясните, возможно я не понимаю для чего ключ -m, понимаю что нужно при коннтрек соединениях использовать, но там есть модули типа new, est, rel, но tcp то там откуда я понять не могу
-m tcp можно не указывать явно, потому что мы уже указали протокол (-p tcp), явное указание избыточно.
-p tcp указывает, что правило должно применяться только к TCP пакетам и iptables автоматически знает что работаем с TCP-пакетами и загружает соответствующий модуль tcp для фильтрации по этому протоколу. Скорее всего в этом случае используют -m tcp, чтобы повысить читаемость правила
Лойз за ковер!
Как и обещал, лайк и репост. Готово.
Лайк за ковер на стене!!
Иван, привет. Хорошо объясняешь, но все равно не могу решить проблему. Имеем один комп и vpn connect. При соединении с vpn cisco any connection у компа выключается интернет, так как в сети vpn его нет. Все логично. Но мне нужен интернет хотя бы в браузере. Могу приложить фото route с до соединения и после при необходимости. Как сделать настройку? Где посмотреть пример?
офигел когда на фоне заиграла тема из toho
что за трек играет на 19 минуте кст? прикольный )
Приветствую! Можешь снять видео на аналог iptables в windows?
полезно. спасибо
Good luck my friend
На политиках по умолчанию внезапно ост из тохи заиграл, найс!
все вполне доходчиво, единственное не понял как сделать переадресацию на разные порты внутренней сети, чтобы порт назначения был 33891 для 192.168.1.2, 33892 был для 192.168.1.3 и.т.д а порт переназначения был у всех 3389, заранее спасибо за ответ
Ты зачем говоришь во время музыки?
Спасибо!
крут!
Привет Иван как можно стабой свезаться через соц сети есть вапрос
Если в правиле не указать явно тип протокола (tcp/udp), оно подразумевает оба типа? Или нужно явно указывать два правила (один с tcp, другой udp)?
если не указать, то все протоколы
Thank You, Bro!
ураа!
sysctl -p нет?
НЕ отлько ограничения может давать, а наоборот давать дополнительный доступ, например проброс портов
красава