คำถามติดแท็ก iptables

พื้นหลังเป็นเวลานานที่เราประสบปัญหากับไฟร์วอลล์ของเราที่บางครั้งทำให้การร้องขอ HTTP ถูกระงับการโหลดบางส่วนจนกระทั่ง TCP หมดเวลา หลังจากติดตามปริมาณการใช้งานบนไฟร์วอลล์ฉันสังเกตเห็นว่ามันเกิดขึ้นเฉพาะในช่วงเวลาที่กำหนดเช่นเมื่อเว็บเซิร์ฟเวอร์ส่งการตอบสนองทั้งหมดก่อนที่ลูกค้าจะส่ง ACK ตัวที่สองบนเพย์โหลด [SYN, SYN / ACK, ACK] มีการแลกเปลี่ยนคำขอได้รับการส่งและ ACK'ed และได้รับแพ็คเก็ต RESPONSE แรกและ ACK'ed จากนั้นเว็บเซิร์ฟเวอร์จะส่งเนื้อหาการตอบสนองที่เหลือในหนึ่งช็อต (8 แพ็คเก็ต รวมถึง FIN สุดท้าย, PSH) และก่อนที่ลูกค้าจะได้รับ ACK ใด ๆ เหล่านั้นไฟร์วอลล์จะทำการตอบโต้ด้วย RST ไปยังเว็บเซิร์ฟเวอร์และทำให้ไคลเอนต์ไม่มีที่สิ้นสุด นี่คือการติดตามทั้งหมดของ wireshark ที่มีแพ็กเก็ตจากทั้งสองด้านของไฟร์วอลล์ 192.168.126.161 เป็นที่อยู่ IP ของ NAT'et ส่วนตัวของลูกค้า 172.16.1.2 เป็นเว็บเซิร์ฟเวอร์ IP (ไม่แสดง IP สาธารณะจริง) และ 10.1.1.1 …

20 firewall  iptables  ubuntu-8.04 

ฉันต้องกำหนดค่าเครื่องของฉันเพื่ออนุญาตการรับส่งข้อมูล HTTP ไปยัง / จาก serverfault.com เท่านั้น เว็บไซต์อื่น ๆ ทั้งหมดพอร์ตบริการไม่สามารถเข้าถึงได้ ฉันมากับกฎ iptables เหล่านี้: #drop everything iptables -P INPUT DROP iptables -P OUTPUT DROP #Now, allow connection to website serverfault.com on port 80 iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED …

20 domain-name-system  iptables  loopback 

ฉันกำลังดิ้นรนกับiptablesกฎบางอย่าง ฉันเป็นมือใหม่iptablesค่ะ iptablesผมพบว่าทรัพยากรบางอย่างที่ฉันได้รับคำสั่งต่อไปที่เกี่ยวข้องกับ สิ่งนี้จะถูกเก็บไว้ในไฟล์ที่จะถูกดำเนินการ [0:0] -A PREROUTING -s 10.1.0.0/24 -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.1.0.6:3128 ใครช่วยอธิบายฉัน [0: 0] หมายความว่าอะไร นอกจากนี้การเชื่อมโยงบางอย่างที่เกี่ยวข้องกับในเรื่องนี้iptablesยินดีต้อนรับ ขอบคุณล่วงหน้า! ป.ล. หากคุณต้องการกฎเพิ่มเติมเพียงแจ้งให้เราทราบ

20 iptables 

ผู้ดูแลระบบของฉันมอบไฟล์ที่มีกฎ iptables ให้ฉัน ฉันจะพิมพ์คำสั่งใดเพื่อโหลดสิ่งนี้ ฉันดูเขาทำมาก่อนและเขาทำมันใน 1 บรรทัด! บางอย่างเช่น ... iptables> thefile.dat ????

20 iptables 

เป้าหมายของฉันคือ จำกัด การเข้าถึงคอนเทนเนอร์ของนักเทียบท่าที่อยู่ IP สาธารณะเพียงไม่กี่แห่ง มีกระบวนการที่เรียบง่ายและทำซ้ำได้เพื่อบรรลุเป้าหมายของฉันหรือไม่ ทำความเข้าใจกับพื้นฐานของ iptables ในขณะที่ใช้ตัวเลือกเริ่มต้นของ Docker ฉันพบว่ามันยากมาก ฉันต้องการเรียกใช้คอนเทนเนอร์ทำให้เห็นอินเทอร์เน็ตสาธารณะ แต่อนุญาตเฉพาะการเชื่อมต่อจากโฮสต์ที่เลือก ฉันคาดว่าจะตั้งค่านโยบายอินพุตเริ่มต้นของ REJECT แล้วอนุญาตเฉพาะการเชื่อมต่อจากโฮสต์ของฉัน แต่กฎและโซ่ NAT ของ Docker เข้ามาขวางและกฎ INPUT ของฉันจะถูกละเว้น ใครบางคนสามารถเป็นตัวอย่างของวิธีการบรรลุเป้าหมายของฉันตามสมมติฐานดังต่อไปนี้? โฮสต์ IP สาธารณะ 80.80.80.80 บน eth0 โฮสต์ IP ส่วนตัว 192.168.1.10 บน eth1 docker run -d -p 3306:3306 mysql บล็อกการเชื่อมต่อทั้งหมดไปยังโฮสต์ / คอนเทนเนอร์ 3306 ยกเว้นจากโฮสต์ 4.4.4.4 และ 8.8.8.8 …

20 iptables  docker 

ฉันรู้ของ iptables ฉันรู้ของ ufw ฉันเคยใช้ ufw ในอดีตเพียงเพราะติดตั้งและใช้งานได้ง่ายขึ้น อย่างไรก็ตามฉันควรใช้อันไหนดี iptables ปลอดภัยหรือไม่? ufw มีเสถียรภาพมากขึ้นหรือไม่ ฉันไม่มีความคิดดังนั้นทำไมฉันถึงถามที่นี่

19 ubuntu  iptables  ufw 

คำสั่ง iptables --dportไม่ตระหนักถึงหนึ่งในตัวเลือกที่นิยมใช้มากที่สุดเมื่อกำหนดกฎ: ฉันได้รับข้อผิดพลาดนี้: [root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. คำสั่งเพิ่มกฎด้านบนเป็นเพียงตัวอย่างสำหรับการเปิดใช้งานการเชื่อมต่อ Terraria นี่คือสิ่งที่ฉันมีในปัจจุบันเป็นการกำหนดค่า iptables เปล่า ( listiptablesเป็นนามแฝงiptables -L -v --line-numbers) และเป็นที่ชัดเจนว่า--dportได้ทำงานในอดีตที่ผ่านมา: root@dragonweyr /home/calyodelphi]# listiptables Chain INPUT (policy DROP 0 packets, 0 bytes) num …

19 linux  networking  iptables  firewall 

ฉันมีปัญหาในการเข้าถึงโฮสต์ private interface (ip) จาก container docker ฉันค่อนข้างแน่ใจว่าเกี่ยวข้องกับกฎ Iptables ของฉัน (หรืออาจกำหนดเส้นทาง) เมื่อฉันเพิ่มการ--net=hostตั้งค่าสถานะdocker runทุกอย่างทำงานตามที่คาดไว้ ในทำนองเดียวกันเมื่อฉันระบุว่านโยบายการป้อนข้อมูลกำลังติดตามเสรีนิยม-P INPUT ACCEPTสิ่งต่าง ๆ ก็ทำงานได้ตามที่ฉันคาดหวัง อย่างไรก็ตามสิ่งเหล่านี้เป็นตัวเลือกที่ไม่พึงประสงค์และไม่ปลอดภัยที่ฉันต้องการหลีกเลี่ยง เนื่องจากมันไม่ได้เฉพาะเจาะจงกับบริการของฉัน (DNS) ฉันได้แยกสิ่งนั้นออกจากปัญหาเนื่องจากการค้นหาสิ่งนั้นร่วมกับนักเทียบท่าให้ผลในพื้นที่ปัญหาที่แตกต่างกัน (เป็นที่นิยม) เพิ่มเสียงให้กับผลการค้นหา การเชื่อมโยงคอนเทนเนอร์ Docker นั้นไม่ใช่ตัวเลือกที่ใช้งานได้เนื่องจากคอนเทนเนอร์บางตัวจำเป็นต้องรันด้วยตัวเลือก --net = host เพื่อป้องกันการเชื่อมโยงและฉันต้องการสร้างสถานการณ์ที่สอดคล้องกันหากเป็นไปได้ ฉันมีกฎ Iptables ต่อไปนี้ การรวมกันของ CoreOS, Digital Ocean และ Docker ฉันถือว่า -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT …

18 iptables  docker 

ฉันมีกฎ iptable นี้: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT …

18 ubuntu  iptables 

นี่เป็นคำถาม Canonical ที่เสนอ เกี่ยวกับการทำความเข้าใจและการดีบักซอฟต์แวร์ไฟร์วอลล์บนระบบ Linux ในการตอบกลับ คำตอบของ EEAAและความคิดเห็นของ @ Shog ว่าเราต้องการคำถาม & คำตอบที่เหมาะสมสำหรับการปิดคำถามทั่วไปที่ค่อนข้างง่ายเกี่ยวกับ iptables เป็นวิธีการแก้ปัญหาโครงสร้างการแก้ปัญหากับซอฟต์แวร์ไฟร์วอลล์ Linux, สิ่งnetfilterกรอบแพ็คเก็ตกรองปกติจะเรียกโดยอินเตอร์เฟซ userland iptables ? ข้อผิดพลาดทั่วไปคำถามที่เกิดขึ้นซ้ำ ๆ และสิ่งที่เรียบง่ายหรือคลุมเครือเล็กน้อยเพื่อตรวจสอบว่าผู้ดูแลระบบไฟร์วอลล์เป็นครั้งคราวอาจมองข้ามหรือได้รับประโยชน์จากการรู้อะไร แม้ว่าคุณจะใช้เครื่องมือเช่นUFW , FirewallD (aka firewall-cmd), Shorewallหรือสิ่งที่คล้ายกันคุณอาจได้รับประโยชน์จากการมองภายใต้ประทุนโดยไม่ต้องใช้เลเยอร์ที่เป็นนามธรรม คำถามนี้ไม่ได้มีจุดประสงค์เพื่อสร้างไฟร์วอลล์: ตรวจสอบเอกสารประกอบของผลิตภัณฑ์สำหรับตัวอย่างนั้นและมีส่วนร่วมในสูตรการทำiptables Trips & Tricksหรือค้นหาแท็กiptables ufw firewalld คำถาม-mddสำหรับคำถามที่มีอยู่บ่อยและได้คะแนนสูง Q & A ของ

18 linux  iptables  firewall  ufw  firewalld 

iftopเป็นเครื่องมือที่ยอดเยี่ยมในการดูการใช้งานแบนด์วิดธ์แบบสดเกือบจะแตกต่างโดย source-ip source-port ปลายทาง -ip ปลายทางปลายทาง ฉันใช้มันเพื่อดูว่า IP ของลูกค้ารายใดที่ใช้แบนด์วิดท์มากที่สุด ตอนนี้ฉันต้องการเก็บเอาท์พุทที่ไหนสักแห่ง iftop ใช้ ncurses ดังนั้น iftop > log.txt ไม่ทำงานตามที่คาดไว้ไฟล์ผลลัพธ์ไม่สามารถอ่านได้ มีเครื่องมือเช่นนี้ซึ่งสามารถใช้ในการไพพ์เอาต์พุตไปยังไฟล์ข้อความหรือไม่?

18 linux  networking  debian  iptables  bash 

มีคนบอกฉันว่านี่เป็นไปได้ แต่ฉันไม่พบอะไรเลยบนหน้า google หรือ man ฉันต้องแบนไอพีในระยะเวลาหนึ่งจากนั้นยกเลิกการแบนโดยอัตโนมัติ

18 linux  centos  iptables 

ฉันแน่ใจว่านี่เสียงดังมากโปรดยกโทษให้ฉัน ฉันพยายามเรียกใช้เซิร์ฟเวอร์ node.js บนพอร์ต 8080 ของ ubuntu 10.04 ของฉัน นี่คือผลลัพธ์ของ iptables -L บนเซิร์ฟเวอร์: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination และนี่คือผลลัพธ์ของ nmap -p 8080 (แก้ไขที่อยู่ IP เพราะทุกอย่างเปิดกว้าง) nmap 173.203.xxx.xxx -p …

18 ubuntu  iptables  port  node.js 

ลองดูกฎ iptables ทั้งสองนี้ซึ่งมักจะใช้เพื่ออนุญาต DNS ขาออก: iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT คำถามของฉันคือฉันควรเข้าใจสถานะ ESTABLISHED ใน UDP อย่างไร UDP ไม่มีสถานะ นี่คือสัญชาตญาณของฉัน - ฉันอยากรู้ว่าที่ไหนหรือสิ่งนี้ไม่ถูกต้อง: หน้าคนบอกฉันนี้: สถานะ โมดูลนี้เมื่อรวมกับการติดตามการเชื่อมต่อจะอนุญาตให้เข้าถึง สถานะการติดตามการเชื่อมต่อสำหรับแพ็คเก็ตนี้ --สถานะ …

18 linux  domain-name-system  iptables  udp 

ฉันมี Fail2Ban ทำงานบนเซิร์ฟเวอร์ Centos ของฉัน (กำหนดค่าด้านล่าง) ในvar / log / messagesฉันสังเกตเห็นบางสิ่งที่แปลกจริง ๆ : Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned ฉันกำหนดค่า Fail2Ban เพื่อเพิ่ม IP ที่ถูกแบนไปยัง iptables jail.conf ของฉัน: [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog …

17 iptables  postfix  fail2ban