คำถามติดแท็ก iptables

ฉันเป็นมือใหม่โดยรวมเกี่ยวกับเซิร์ฟเวอร์ดังนั้นขอโทษคำถามต่ำต้อยของฉัน :-) บางคนพัฒนาขึ้นสำหรับฉันแอปพลิเคชั่นหลามที่ทำหน้าที่เป็นผู้ให้บริการเว็บ แอปพลิเคชัน TCP นี้ต้องฟังพอร์ต 8080 [root@blabla jll]# netstat -tanpu | grep ":8080" tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 18209/python ดูเหมือนว่า 8080 ไม่ได้เปิดบนไฟร์วอลล์เซิร์ฟเวอร์ของฉัน หากต้องการเปิดฉันพยายามแก้ไขกฎ iptables ดังนี้: /sbin/iptables -A RH-Firewall-1-INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT แต่ฉันยังคงมีอะไรที่http://my.server.name:8080 (ฉันไม่แน่ใจเกี่ยวกับ "RH-Firewall-1-INPUT" หรือ "INPUT") ฉันจะทำอะไรได้บ้าง มีวิธีการทั่วไปบางอย่างสำหรับสิ่งนั้นหรือไม่? ฉันให้ข้อมูลที่เป็นประโยชน์ต่อไปนี้แก่คุณ: /sbin/iptables -nvL Chain INPUT …

17 iptables 

ฉันใช้เซิร์ฟเวอร์ Linux ที่ - เวลาเผชิญภาระหนักและล้นตาราง conntrack เนื่องจากชุดกฎของไฟร์วอลล์ iptables นั้นง่ายมากฉันต้องการเปลี่ยนเป็นโหมดไร้สัญชาติ ฉันรู้ว่า iptables สามารถทำงานในโหมดการติดตามการเชื่อมต่อ stateful และในโหมดไร้สัญชาติ กฎไฟร์วอลล์ของฉันอยู่ในสถานที่ฉันค่อนข้างมั่นใจว่าพวกเขาไร้สัญชาติ แต่คำถามของฉันคือฉันจะตรวจสอบได้อย่างไรว่าไฟร์วอลล์ทำงานในโหมดไร้สัญชาติจริง ๆ

17 linux  firewall  iptables 

ที่สถาบันของเราเราเชื่อมต่อคอมพิวเตอร์มากกว่า 300 เครื่องกับ LAN ที่แตกต่างกันกับอินเทอร์เน็ต รวมที่นี่คือ Officies LAN และห้องปฏิบัติการอินเทอร์เน็ตสำหรับนักเรียน และเราต้องการควบคุม Torrents หรือโปรโตคอล P2P ใด ๆ วิธีแก้ไขปัญหาก่อนหน้านี้ของเราคือ KerioWinRoute 6.5.x ซึ่งเป็นที่พอใจมากที่สุด ปัญหาคือเราย้ายไปยัง Ubuntu 8.04 LTS โดยใช้แพลตฟอร์ม Webmin

17 linux  iptables 

ฉันมีกฎมากมายสำหรับการตั้งค่า iptables ของฉัน (การกำหนดเส้นทาง, ssh แบนและอื่น ๆ ) ฉันยังเลือกรายการของไอพีที่จะห้ามจากที่นี่http://blacklist.linuxadmin.orgและตอนนี้มันซับซ้อนมาก ฉัน/etc/sysconfig/iptablesยาวจริงๆ มีวิธีจัดการกฎโดยรวมกฎจากไฟล์ภายนอกหรือไม่ ตัวอย่างเช่น: #include "pre_routing_rules" #include "ssh_bans" ซึ่งจะรวมถึงกฎที่เพิ่มในไฟล์ "pre_routing_rules" และ "ssh_bans" ด้วยวิธีนี้ฉันสามารถจัดการกฎของฉันได้อย่างง่ายดายโดยไม่ต้องไปcat /etc/sysconfig/iptablesไหนมาไหน

17 linux  iptables  fedora 

ฉันได้ปฏิเสธการเชื่อมต่อทั้งขาเข้าและขาออกโดยใช้ufwDebian VPS มีกฎเดียวเท่านั้นที่กำหนดซึ่งอนุญาตให้เชื่อมต่อกับพอร์ต SSH ufw เปิดใช้งานและทำงานอยู่ แต่ฉันยังสามารถ ping จากแล็ปท็อปของฉันไปยังเซิร์ฟเวอร์โดยใช้ IP ทำไม ping ยังคงทำงานอยู่หากการเชื่อมต่อทั้งขาเข้าและขาออกถูกบล็อก (ยกเว้น SSH)

17 debian  iptables  vps  ping  ufw 

ฉันมีเซิร์ฟเวอร์สองเครื่อง โปรแกรมในตอนแรกจำเป็นต้องสื่อสารกับโปรแกรมที่สองบนพอร์ต 2194 ฉันรู้ว่ามันไม่ทำงานเพราะเมื่อฉัน: root@server1 [~]# telnet myserver2.com 2194 Trying 123.123.123.98... telnet: connect to address 123.123.123.98: Connection timed out telnet: Unable to connect to remote host: Connection timed out server1# iptables -L -n Chain INPUT (policy DROP) ... ... Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT …

17 linux  iptables  redhat  connection 

ฉันมีไฟร์วอลล์พร้อมกฎง่าย ๆ เหล่านี้: iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp --dport 6000 -j REJECT ตอนนี้สมมติว่าฉันใช้TCPDUMPเช่นนี้ tcpdump port 6000 และฉันมีโฮสต์พยายามที่จะเชื่อมต่อกับพอร์ต192.168.16.216000 จะ / ควรtcpdumpส่งออกแพ็กเก็ตบางส่วนที่มาจาก192.168.16.21ไหน

17 firewall  iptables  tcp  tcpdump 

ในเครื่องอูบุนตูของเราฉันได้พยายามบล็อกการเข้าถึงอินเทอร์เน็ตให้กับบัญชีผู้ใช้ใดบัญชีหนึ่งโดยเพิ่มบรรทัดต่อไปนี้ใน / etc / network / interfaces: pre-up iptables -A OUTPUT -p tcp -m owner --uid-owner 1001 -j DROP ใช้งานได้ดียกเว้น Youtube และคุณสมบัติอื่น ๆ ของ Google จะไม่ถูกปิดกั้น ฉันไม่ใช่ผู้เชี่ยวชาญใน iptables แต่ฉันคิดว่าคำสั่งข้างต้นจะส่งคำขอขาออกทั้งหมดจากผู้ใช้ที่ระบุ มีอะไรพิเศษเกี่ยวกับผลิตภัณฑ์และบริการของ Google ที่จะทำให้พวกเขาได้รับการยกเว้น? สำหรับการอ้างอิงนี่คือรายการ iptables ของฉัน: $ sudo iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD …

16 iptables 

เช่นเดียวกับเซิร์ฟเวอร์ส่วนใหญ่ (ฉันคิดว่า) เรามีคนพยายามบังคับให้บริการของเรา 24/7 ฉันมีบัญชีดำของ cpHulk แต่ดูเหมือนว่ามันจะดีกว่าถ้าพวกเขาไม่ได้ไปไกลตั้งแต่แรก ตัวฉันและโฮสต์ของฉันเป็นคนเดียวที่เชื่อมต่อกับเซิร์ฟเวอร์บนพอร์ตอื่นที่ไม่ใช่ 80 ดังนั้นฉันต้องการบล็อกการเชื่อมต่อจากทุกประเทศนอกสหรัฐอเมริกายกเว้นพอร์ต 80 ฉันติดต่อโฮสต์ของฉันเพื่อตั้งค่านี้ แต่พวกเขา ลังเลเพราะพวกเขาบอกว่าจะสร้างเซิร์ฟเวอร์ที่มีภาระสูงมาก เป็นเซิร์ฟเวอร์ Xeon 1230 เฉพาะที่มี 32GB RAM ใช้งาน CentOS 6.6 และ iptables ครั้งแรกด้วยเหตุผลใดที่จะไม่ทำเช่นนี้? ประการที่สองสิ่งที่โฮสต์ของฉันบอกฉันถูกต้องคืออะไร? ประการที่สามมีวิธีใดที่จะทำให้สำเร็จโดยไม่กระทบต่อประสิทธิภาพสูง?

16 iptables 

เพื่อป้องกันการโจมตีด้วยเดรัจฉานบังคับ ssh ฉันได้เพิ่มกฎ iptables (ด้านล่าง) คำถามคือ: ฉันจะแสดงรายการที่อยู่ IP ที่ถูกบล็อกได้อย่างไร (1) iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name …

16 linux  iptables 

ขณะนี้ฉันมีการตั้งค่าเนื่องจากการกำหนดค่าที่ใช้เวลานานในการแก้ไขฉันมีเซิร์ฟเวอร์ที่สามารถเข้าถึงได้โดย ipv4 เท่านั้น อย่างไรก็ตามฉันยังมีเซิร์ฟเวอร์ที่สามารถเข้าถึงได้โดย ipv6 ฉันสงสัยว่าฉันสามารถใช้ iptables เพื่อส่งต่อปริมาณข้อมูล ipv6 บนพอร์ตหนึ่งจากเซิร์ฟเวอร์หนึ่งไปยังเซิร์ฟเวอร์อื่นโดยใช้ปริมาณข้อมูล ipv4

16 iptables  port-forwarding 

ฉันมีสิ่งที่ดูเหมือนจะแปลกและซับซ้อนกฎที่ทำงานให้ฉันในขณะนี้ มีวิธี "ส่งออก" เหล่านั้นและบันทึกลงในไฟล์เพื่อให้สามารถเรียกคืนในภายหลังในกรณีที่สิ่งต่าง ๆ เกิดความสับสน

16 linux  iptables  redhat 

ในฐานะที่เป็นชื่อเรื่องฉันมีกล่องลินุกซ์ เท่าที่ฉันสามารถบอกได้ว่าฉันสามารถใช้ hosts.allow / hosts.deny หรือ iptables เพื่อความปลอดภัย ความแตกต่างคืออะไร? มีกลไกอื่นที่สามารถใช้ได้หรือไม่?

16 linux  security  iptables 

ฉันต้องการ iptables เพื่อกรองเพียงหนึ่งอินเตอร์เฟส eth0 ซึ่งหันหน้าไปทาง WAN สิ่งนี้สามารถทำได้? และฉันต้องการเปิดพอร์ต ftp และ ssh บน eth0

16 iptables 

ฉันต้องการคำขอทั้งหมดไปที่พอร์ต 80 เพื่อส่งต่อไปที่ 8020 ฉันไปที่ Google และฉันได้รับ: iptables -t nat -I PREROUTING --source 0/0 --destination 0/0 -p tcp --dport 80 -j REDIRECT --to-ports 8020 ตอนนี้ในอนาคตถ้าฉันต้องเลิกทำฉันต้องทำยังไงดี (นอกเหนือจากการรีสตาร์ทระบบ)?

16 iptables  port-forwarding