คำถามติดแท็ก iptables

ฉันจะทำบนเซิร์ฟเวอร์อูบุนตูของฉันใน Iptables อนุญาตให้ใช้ที่อยู่ IP หนึ่งพอร์ตบนพอร์ตที่ระบุเท่านั้น ขอบคุณ

25 linux  ubuntu  security  iptables 

ไฟล์ jail.local ทำหน้าที่แทนที่ทับกับ jail.conf หรือแทนที่เป็น jail.conf หรือไม่? เมื่อฉันเรียนรู้เกี่ยวกับFail2Banจากบทช่วยสอนพวกเขาส่วนใหญ่มักจะพูดว่าคัดลอก jail.conf ไปที่ jail.local และทำการแก้ไขที่นั่นและบางคนบอกว่าจะสร้างไฟล์ jail.local ใหม่และให้การตั้งค่าจำนวนมากเพื่อคัดลอก และวาง แต่สิ่งที่พวกเขาไม่ได้กล่าวถึงคือ jail.local ทำงานกับ jail.conf อย่างไร นี่คือสถานการณ์ 2 อย่าง: แทนที่:หาก jail.local ทำหน้าที่เป็นไฟล์ override to jail.conf สิ่งที่ฉันต้องทำก็แค่เพิ่มการตั้งค่าที่จำเป็นที่ฉันต้องการจะแทนที่เป็นค่าเริ่มต้นที่กำหนดใน jail.conf ในกรณีนี้ฉันไม่จำเป็นต้องเพิ่ม SSH config ฯลฯ เนื่องจากรวมอยู่ใน jail.conf แล้ว การแทนที่:หาก jail.conf ไม่ถูกต้องเมื่อ jail.local มีอยู่ฉันต้องเพิ่มกฎทั้งหมดใน jail.local แล้วแก้ไขสิ่งที่ฉันต้องการแก้ไข คุณช่วยยืนยันสิ่งที่เกิดขึ้นกับ jail.conf ได้ไหมเมื่อ jail.local ปรากฎโปรด …

25 iptables  firewall  debian-wheezy  fail2ban  jail 

ฉันต้องการอนุญาตการรับส่งข้อมูลทั้งหมดไปยังไอพีที่เฉพาะเจาะจงโดยใช้ iptables ลองโดยการเพิ่มบรรทัด: /sbin/iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT ... แต่ยังคงไม่สามารถเข้าถึงรีโมตไอพี (XXX.XXX.XXX.XXX) ได้ คำแนะนำใด ๆ? ขอบคุณมาก! แก้ไข:ด้วยคำแนะนำของคุณฉันได้เปลี่ยน iptables ยังฉันไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล สถานะ iptables มีลักษณะดังนี้: [root@myserver ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination …

25 iptables 

เซิร์ฟเวอร์ภายในบ้านของฉันมีสองอินเตอร์เฟสหลักeth1(การเชื่อมต่ออินเทอร์เน็ตมาตรฐาน) และtun0(อุโมงค์ OpenVPN) ฉันต้องการที่จะใช้iptablesเพื่อบังคับให้แพ็คเก็ตทั้งหมดที่สร้างโดยกระบวนการในท้องถิ่นเป็นเจ้าของโดย UID 1002 เพื่อออกผ่านtun0และแพ็คเก็ตอื่น ๆ eth1ทั้งหมดเพื่อออกผ่าน ฉันสามารถทำเครื่องหมายแพ็คเก็ตที่ตรงกันได้อย่างง่ายดาย: iptables -A OUTPUT -m owner --uid-owner 1002 -j MARK --set-mark 11 ตอนนี้ผมต้องการที่จะนำกฎบางอย่างในห่วงโซ่ POSTROUTING (ที่อาจจะฉีกของตาราง) เพื่อให้ตรงกับแพ็คเก็ตที่มีเครื่องหมายที่ 11 และส่งพวกเขาไปตามกฎที่ตรงกับแพ็กเก็ตทั้งหมดและส่งพวกเขาไปtun0eth1 ฉันพบเป้าหมายของ ROUTE แต่ดูเหมือนว่าจะเขียนอินเทอร์เฟซต้นฉบับใหม่เท่านั้น (เว้นแต่ฉันจะอ่านผิด) iptables สามารถทำสิ่งนี้ได้หรือไม่? ฉันต้องยุ่งกับตารางเส้นทาง (ผ่านip routeหรือเพียงแค่routeคำสั่งดั้งเดิม) แทน? แก้ไข: ฉันคิดว่าบางทีฉันควรให้ข้อมูลเพิ่มเติม ฉันไม่มีกฎ iptables อื่น ๆ ในปัจจุบัน (แม้ว่าฉันอาจสร้างกฎบางอย่างเพื่อทำงานที่ไม่เกี่ยวข้องในอนาคต) นอกจากนี้ผลลัพธ์ของip routeคือ: default via 192.168.1.254 …

25 iptables  routing 

ฉันมีปัญหากับ MySQL ที่ทำงานอยู่ในคอนเทนเนอร์ Docker ภาพทดสอบของฉันสร้างขึ้นจาก Dockerfile ต่อไปนี้: # See: https://index.docker.io/u/brice/mysql/ FROM ubuntu:12.10 MAINTAINER Joni Kahara <joni.kahara@async.fi> # Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024 RUN dpkg-divert --local --rename --add /sbin/initctl RUN ln -s /bin/true /sbin/initctl RUN apt-get update RUN apt-get upgrade -y RUN apt-get -y install mysql-server RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = …

24 iptables  docker 

(เซิร์ฟเวอร์ Ubuntu) กำลังทำงานอยู่ sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 4/sec -j ACCEPT แล้ว sudo iptables-save เพื่อให้ได้ฟังก์ชั่นของกฎ iptables มันเพียงพอหรือไม่ที่จะทำเฉพาะคำสั่งข้างต้น (โดยไม่ต้องรีสตาร์ท iptables)?

24 iptables 

เมื่อฉันติดตามโดเมน www.google.com จากแล็ปท็อปของฉันฉันใช้ icmp หรือ udp หรือไม่ ฉันคิดว่ามันเป็น icmp ชนิดที่ 11 แต่ในขณะที่ค้นหาอย่างอื่นฉันเจอกฎที่ใช้ icmp ประเภท 30 และฉันเห็นกฎที่ใช้ udp มีใครช่วยอธิบายให้ฉันฟังได้ไหม ฉันกำลังทำงานกับไฟร์วอลล์ (iptables) สำหรับเซิร์ฟเวอร์เฉพาะเสมือน

24 iptables  udp  networking  icmp 

ฉันมักจะเห็น iptables ที่กำหนดค่าให้อนุญาตการเชื่อมต่อที่เกี่ยวข้องทั้งหมด pakets และพอร์ตบริการเฉพาะไปยังการเชื่อมต่อใหม่ เหตุผลในการระบุใหม่คืออะไร หากการเชื่อมต่อไม่ใช่ของใหม่มันเกี่ยวข้องกับการเดาดังนั้นกฎพอร์ตเฉพาะจะไม่ทำงาน เหตุใดจึงต้องกำหนดพอร์ตบริการด้วย NEW อย่างชัดเจนไม่ใช่เฉพาะ protocoll และหมายเลขพอร์ต

23 iptables 

เมื่อทำงานservice iptables statusบนเซิร์ฟเวอร์ 2 CentOS เซิร์ฟเวอร์หนึ่งที่มีpolicy ACCEPTใน Chain INPUT, Chain FORWARDและ Chain OUTPUT เซิร์ฟเวอร์อื่นมีpolicy DROPใน Chain INPUTและChain FORWARD; ในขณะที่ policy ACCEPTในChain OUTPUT ความหมายของอะไรpolicy ACCEPTและpolicy DROP? ... และวิธีการเปลี่ยนจากpolicy ACCEPTเป็นpolicy DROPและจากpolicy DROPเป็นpolicy ACCEPT?

23 security  iptables 

ฉันจะบล็อกพอร์ตทั้งหมดยกเว้นปี 1962, 999, 12020 ได้อย่างไร หนึ่งพอร์ตสำหรับ SSH และอีกสองพอร์ตสำหรับสคริปต์ชนิดหนึ่ง ดังนั้นจำเป็นต้องอนุญาตให้ใช้พอร์ตเหล่านี้ใช่ไหม iptables ของฉัน: # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *mangle :PREROUTING ACCEPT [643521:136954367] :INPUT ACCEPT [643521:136954367] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [645723:99904505] :POSTROUTING ACCEPT [645723:99904505] COMMIT # Completed on Sat Feb 25 17:25:21 2012 # Generated by …

22 ubuntu  iptables 

ฉันเจอสถานการณ์ที่ลูกค้าต้องการขึ้นบัญชีดำชุดของที่อยู่ IP ต่ำกว่า 1 ล้านรายการ (ไม่มีซับเน็ต) และประสิทธิภาพของเครือข่ายเป็นเรื่องที่น่ากังวล ในขณะที่ฉันคาดเดาว่ากฎ IPTables จะส่งผลกระทบต่อประสิทธิภาพน้อยกว่าเส้นทาง แต่นั่นเป็นเพียงการคาดเดา ใครบ้างมีหลักฐานที่มั่นคงหรือเหตุผลอื่น ๆ เพื่อสนับสนุน IPTables หรือการกำหนดเส้นทางโมฆะเป็นวิธีการแก้ปัญหาในการขึ้นบัญชีดำรายการที่อยู่ยาว ในกรณีนี้ทุกอย่างเป็นไปโดยอัตโนมัติดังนั้นการใช้งานง่ายจึงไม่เป็นปัญหา แก้ไข 26-Nov-11 หลังจากการทดสอบและการพัฒนาปรากฏว่าไม่มีตัวเลือกใดที่สามารถใช้งานได้ ดูเหมือนว่าทั้งการค้นหาเส้นทางและ iptables ทำการค้นหาเชิงเส้นผ่านชุดกฎและใช้เวลานานเกินไปในการประมวลผลกฎจำนวนมากนี้ บนฮาร์ดแวร์ที่ทันสมัยการวางรายการ 1M ในบัญชีดำ iptables ทำให้เซิร์ฟเวอร์ช้าลงประมาณ 2 โหลแพ็กเก็ตต่อวินาที ดังนั้นเส้นทาง IPTables และ null จึงหมดไป ipsetตามคำแนะนำของ Jimmy Hedman จะดีมากยกเว้นว่าจะไม่อนุญาตให้คุณติดตามที่อยู่มากกว่า 65536 รายการในชุดดังนั้นฉันจึงไม่สามารถลองใช้งานได้หากไม่มีใครมีความคิดใด ๆ เห็นได้ชัดว่าทางออกเดียวสำหรับการบล็อก IP จำนวนมากนี้กำลังทำการค้นหาที่มีการจัดทำดัชนีในชั้นแอปพลิเคชัน นั่นไม่ใช่เหรอ? ข้อมูลมากกว่านี้: กรณีการใช้งานในอินสแตนซ์นี้กำลังบล็อกรายการ "ที่รู้จักผู้กระทำผิด" ของที่อยู่ …

22 iptables  route  blacklist 

ฉันมีช่วง IP ไม่กี่ช่วงที่ฉันต้องการให้เซิร์ฟเวอร์ของฉันสามารถเชื่อมต่อและผู้ใช้เชื่อมต่อได้ ทุกอย่างอื่นควรถูกบล็อก ฉันจะทำเช่นนั้นกับ iptables ได้อย่างไร ระบบปฏิบัติการของฉันคือการกระจาย linux ที่ใช้ Debian

21 linux  iptables  blacklist 

เป็นวิธีที่ดีที่สุดในการจัดการ iptables จากจุดหนึ่งและมีความสามารถในการแก้ไขบางอย่างบนเซิร์ฟเวอร์ท้องถิ่นคืออะไร เราจำเป็นต้องเพิ่มกฎบางอย่างที่รวมศูนย์ไว้บนเซิร์ฟเวอร์ทั้งหมด แต่เรามีเซิร์ฟเวอร์เฉพาะที่มีข้อกำหนดเฉพาะซึ่งควรมีชุดกฎของตนเอง ฉันคิดเกี่ยวกับ bash script ที่มีการรวมหลายรายการซึ่งถูกจัดการจากส่วนกลางด้วย ansible และรวมถึงการจัดการบนเซิร์ฟเวอร์ภายใน มันเป็นวิธีการที่ดีหรือไม่? หรืออาจจะมีสิ่งที่ดีกว่า เราไม่สามารถสร้างเทมเพลต yml2 สำหรับ ansible ได้เนื่องจากมีความแตกต่างระหว่างโฮสต์ที่เฉพาะเจาะจงมากเกินไป โปรดให้ตัวอย่างของการจัดการแบบรวมศูนย์ของ iptables

20 iptables  ansible 

เมื่อเร็ว ๆ นี้ฉันพบปัญหาในการ จำกัด การเข้าถึงอินเทอร์เน็ตเฉพาะบางโปรแกรม ใครช่วยแนะนำวิธีที่ดีในการทำเช่นนั้นโดยไม่ต้องใช้ซอฟต์แวร์ใด ๆ โดยเฉพาะ?

20 linux  iptables  linux-networking 

ฉันได้ลอง (หลายชั่วโมง) เพื่อกำหนดค่า iptables ให้อนุญาตการสืบค้น DNS ไปยังเซิร์ฟเวอร์ DNS ของฉันและเพิ่งพบว่า iptables ของฉันยังคงบล็อกการเข้าถึงเนื่องจากตัวเลือกเพิ่มกฎที่ฉันใช้อยู่ ฟอรัมส่วนใหญ่แนะนำกฎที่คล้ายกับต่อไปนี้: iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT อย่างไรก็ตามในกรณีของฉันฉันต้องเปลี่ยนกฎเป็นinsertประเภทเพื่อให้ทำงานได้: iptables -I INPUT -p udp -m udp --dport 53 -j ACCEPT ฉันรู้ว่ากฎหนึ่งสำหรับการต่อท้ายและกฎอื่น ๆ สำหรับการแทรกและสิ่งที่ทั้งสองคำหมายถึง แต่ใครบางคนได้โปรดอธิบายความแตกต่างระหว่างทั้งสองและเมื่อใช้ตัวเลือกที่? ฉันค้นหา iptables ของ Ubuntu แล้ว แต่ไม่เห็นข้อมูลมากนัก

20 linux  iptables