คำถามติดแท็ก iptables

ฉันมีเซิร์ฟเวอร์ Redhat ( Red Hat Enterprise Linux Server release 7.2 (Maipo)) ที่รีเซ็ตกฎ iptable ในการเริ่มระบบใหม่ ตามเอกสารในเวอร์ชัน 6ฉันดำเนินการ: /sbin/service iptables save ซึ่งผลตอบแทน: The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. หากฉันเข้าใจข้อความอย่างถูกต้องฉันพยายามทำสิ่งต่อไปนี้: sudo systemctl iptables save ซึ่งผลตอบแทน: Unknown …

10 iptables  rhel7 

ฉันมีเซิร์ฟเวอร์ที่ไม่อนุญาตการเชื่อมต่อไปยัง mysql จากแหล่งภายนอก - ฐานข้อมูลและการเชื่อมต่อทั้งหมดของฉันเกิดขึ้นบน localhost นโยบายเริ่มต้นของ iptables คือการวางการเชื่อมต่อสำหรับพอร์ตใด ๆ ที่ฉันไม่ได้ระบุไว้ (ปัจจุบันฉันไม่มีพอร์ต 3306 ที่ระบุในกฎ iptable ของฉันดังนั้นการเชื่อมต่อทั้งหมดไปยังพอร์ตนี้จะถูกทิ้ง) ไม่เป็นไร แต่ตอนนี้ฉันต้องการเชื่อมต่อกับฐานข้อมูล mysql ซึ่งตั้งอยู่ภายนอกบน Amazon RDS พอร์ต 3306 สามารถเปิดได้ถึงโลกภายนอกดังนี้: iptables -t filter -A INPUT -p tcp --sport 3306 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT สิ่งนี้ทำให้ฉันสามารถเชื่อมต่อกับฐานข้อมูลบน Amazon RDS …

10 iptables 

ฉันใช้ Open vSwitch เพื่อสร้างเครือข่ายที่สับเปลี่ยนระหว่างเครื่องเสมือน guestBox และฉันต้องการให้โฮสต์ระบบปฏิบัติการ (Ubuntu 12.04) เข้าร่วมเครือข่ายนี้และกำหนดค่าให้เป็นเกตเวย์ของเครือข่ายเสมือนนี้: ก่อนอื่นฉันสร้าง vswitch และฉันเพิ่มพอร์ตเพื่อแตะอุปกรณ์ (เครื่องเสมือนนั้นใช้เป็นบริดจ์เชื่อมต่อ): ovs-vsctl add-br sw0 ovs-vsctl add-port sw0 tap0 หลังจากนั้นฉันตั้งค่า IP ของ Lubuntu 12.04 เครื่องเสมือน: ifconfig eth0 192.168.1.3/24 up route add -net 0.0.0.0/0 gw 192.168.1.1 ในด้านโฮสต์ระบบฉันยังตั้งที่อยู่ ip: ifconfig sw0 192.168.1.1/24 up ในเวลานี้ฉันสามารถ ping จาก Lubunut ไปยัง Ubunutu ได้ ฉันต้องการตอนนี้ในเครื่องโฮสต์เพื่อใช้ …

10 iptables  ip-forwarding  openvswitch 

แต่ละแพ็กเก็ตได้รับการประมวลผลโดยแกนที่แตกต่างกันหรือไม่? หรือเป็นกระบวนการแบบเธรดเดียว?

10 iptables 

TL: DR ฉันทำการเปลี่ยนแปลง iptables config ของฉันและตอนนี้ SSH ปฏิเสธการเชื่อมต่อทั้งหมด ฉันสามารถแก้ไขได้โดยไม่ต้องติดต่อ บริษัท ที่ให้บริการพื้นที่ของฉันหรือไม่ รุ่นยาว ตกลงนี่น่าจะเป็นความผิดของตัวเองมากที่สุด 100% ... ในการเตรียมการย้ายเว็บไซต์ไปยังเซิร์ฟเวอร์เฉพาะเรามีเครื่องโฮสต์ใหม่ที่ใช้งาน CentOS 5.6 เครื่องมี iptables ค่อนข้างล็อคลงอนุญาตเฉพาะ ssh (22) และ http (80) แต่เรายังต้องการให้ยอมรับ FTP ผ่านพอร์ต 20 และ 21 บ่ายนี้ฉันเพิ่มสายลงใน iptables ของฉันเพื่อยอมรับการเชื่อมต่อขาเข้ากับพอร์ต 20 และ 21 ตอนแรกที่ใช้งานไม่ได้เพราะมีreject allบรรทัดด้านบนบรรทัดที่ฉันเพิ่มสำหรับ ftp ดังนั้นฉันจึงย้ายบรรทัดนั้นลงไปด้านล่างบันทึกและรีสตาร์ท iptables และ ftp ทำงานได้ 2 ชั่วโมงต่อมาเมื่อฉันพยายามเชื่อมต่ออีกครั้งport 22: Connection …

10 centos  ssh  iptables 

ใน/procฉันมีสองรายการสำหรับ nf_conntrack_max: proc / sys / / net / netfilter / nf_conntrack_max proc / sys / / net / nf_conntrack_max ดูเหมือนว่าจะชี้ไปที่ค่าเดียวกับการเปลี่ยนหนึ่งยังเปลี่ยนอีก ด้วยชุดทั้งสองนี้ใน/etc/sysctl.conf: net.netfilter.nf_conntrack_max = 65528 net.ipv4.netfilter.ip_conntrack_max = 65535 ค่าจะยังคงอยู่ 32764 หลังจากรีบูตเพื่อให้การเปลี่ยนแปลงไม่ทำงาน มีใครเคยใช้มาก่อนหรือไม่ ฉันเดาว่าค่าเหล่านี้จะถูกนำไปใช้ก่อนที่จะโหลดโมดูลที่เกี่ยวข้อง แต่หวังว่าอาจมีคนรู้วิธีแก้ปัญหาอยู่แล้ว

10 linux  iptables  ubuntu-9.10  sysctl 

(ย้ายจาก SO) ฉันมี iptables ปกป้องเซิร์ฟเวอร์ sip มันปิดกั้น IP ทั้งหมดยกเว้นที่ฉันเปิดขึ้นเป็นพิเศษและดูเหมือนจะใช้ได้กับทุกคน ฉันได้ทดสอบจากที่อยู่ IP จำนวนมากที่ไม่ได้อยู่ในรายการสีขาวและพวกเขาทั้งหมดได้ลดลงตามที่ควร แต่ฉันได้เลือก "แฮ็กเกอร์" ที่ดูเหมือนจะสามารถข้ามกฎ iptables ได้ INVITEs พิสูจน์ของเขาทำให้มันผ่านและฉันไม่มีความคิดอย่างไรหรือว่ามันเป็นไปได้ ใน 10 ปีฉันไม่เคยเห็นสิ่งนี้มาก่อน ฉันคิดว่ามันต้องเป็นสิ่งที่ฉันทำไปแล้ว แต่ฉันมองไม่เห็น iptables ที่สร้างเช่นนี้ (MYIP ที่กำหนดไว้ที่ด้านบน - redacted): iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables …

9 linux  iptables  firewall  voip  sip 

ฉันต้องการหยุดไม่ให้ผู้อื่นเห็นพอร์ตของฉันเป็นตัวกรองในการสแกนมาตรฐาน nmap (ไม่ได้รับสิทธิพิเศษ) สมมติว่าฉันเปิดพอร์ตต่อไปนี้แล้ว: 22, 3306, 995 และไฟร์วอลล์ที่ตั้งค่าไว้เช่นนี้: -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -p tcp -m tcp --dport 3306 -j DROP -A INPUT -p tcp -m tcp --dport 995 -j DROP นี่คือผลลัพธ์ของการสแกน nmap: [+] Nmap scan report for X.X.X.X Host is up (0.040s …

9 linux  security  iptables  tcp  tcpip 

ฉันต้องการปิดกั้น IP ทั้งหมดในเซิร์ฟเวอร์: iptables -A INPUT -s 77.0.0.0/8 -j DROP แม้ว่าเมื่อฉันวิ่ง iptables -L ในบันทึกนั้นฉันได้รับโดเมนแปลก ๆ แทนที่จะเป็น IP DROP tcp -- x4d000000.dyn.telefonica.de/8 anywhere

9 iptables 

มีข้อดีในการปิดพอร์ตที่ไม่มีบริการใดทำงานอยู่หรือไม่? ฉันจะได้อะไรในการยุติการเชื่อมต่อที่ระดับ iptables แทนที่จะทำอะไรต่อไป (ฉันเดาว่า OS)

9 linux  networking  iptables  firewall  port 

ฉันพยายามตั้งค่ากฎ iptables เพื่ออนุญาตเพียง 3 ครั้งต่อนาทีเพื่อเชื่อมต่อกับ servir ผ่าน SSH และปล่อยการเชื่อมต่อทั้งหมดหลังจากเพื่อป้องกันการโจมตีของ SSH แต่ดูเหมือนว่าฉันกำลังทำอะไรผิดพลาด! -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT …

9 ssh  iptables  brute-force-attacks 

ฉันมีปัญหาบางอย่างกับพอร์ตของฉันไปข้างหน้า NAT ดูเหมือนว่าจะทำงานได้ดีและดูเหมือนว่าหนึ่งในพอร์ตข้างหน้าจะทำงาน (udp พอร์ต 7887 ไปยังเครื่อง 192.168.1.100) แต่ไม่ใช่คนอื่น ฉันสงสัยว่ามันสำคัญ แต่ eth1 & eth2 ตั้งอยู่บน dualport NIC การเข้าถึงอินเทอร์เน็ต WAN มีให้กับ dhcp ดังนั้นการแก้ปัญหาควรเป็นอิสระ WAN_IP ถ้าเป็นไปได้ /opt/firewall.sh #!/bin/sh WAN="eth1" LAN="eth2" #ifconfig $LAN up #ifconfig $LAN 192.168.1.1 netmask 255.255.255.0 echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 iptables -F iptables -t nat -F iptables …

9 iptables  nat  port-forwarding 

เมื่อใดที่ iptables ตัวนับไบต์รีเซ็ต รีบูตเครื่องหรือหมุนอื่น ๆ

9 linux  ubuntu  iptables 

ฉันต้องทำการปรับเปลี่ยนเล็กน้อยเพื่อทราฟฟิกขาเข้าจากโฮสต์ tcp ที่รู้จัก: พอร์ตก่อนกระบวนการที่จัดการการเชื่อมต่อจะได้รับกระแสข้อมูล ตัวอย่างเช่นให้ 192.168.1.88 เป็นรีโมตโฮสต์ที่รันเว็บเซิร์ฟเวอร์ ฉันต้องการสิ่งนั้นเมื่อกระบวนการในโลคัลโฮสต์ของฉันรับข้อมูลจาก 192.168.1.88:80 (เช่นเบราว์เซอร์) ข้อมูลจะถูกเปลี่ยนก่อนแทนที่text-Aด้วยtext-Bเช่นนี้ 127.0.0.1: ... เชื่อมต่อกับ 192.168.1.88:80 127.0.0.1: ... ส่งไปที่ 192.168.1.88:80: GET / 192.168.1.88:80 ส่งไปที่ 127.0.0.1: ... : HTTP/1.0 200 OK Content-Type: text/plain Some text-A, some other text ข้อมูลนั้นถูกดักโดยระบบและส่งไปยังโปรแกรมที่มีเอาต์พุต: HTTP/1.0 200 OK Content-Type: text/plain Some text-B, some other text ระบบจะให้ข้อมูลที่เปลี่ยนแปลงดังนั้นกับการจัดการกระบวนการ 127.0.0.1: ... …

9 iptables  tcp  transparent-proxy 

ฉันคิดผิดพลาดว่าโมดูล จำกัด เป็นไอพีต่อแหล่ง แต่ดูเหมือนว่าจะเป็นไปตามคำขอทั้งหมด: 577 36987 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 3/sec burst 5 46 3478 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 46 3478 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp …

9 linux  networking  iptables  router