คำถามติดแท็ก iptables

ฉันมีที่จอดนักเทียบท่าทำงานเช่น: docker run --name some_container_1 -p 8080:80 -d some_image ซึ่งใช้งานได้ดี คอนเทนเนอร์เปิดออกเป็นพอร์ต 80 ถึง 8080 และสามารถเข้าถึงได้จาก localhost ด้วยเหตุผลบางอย่าง แต่ก็ไม่สนใจกฎ iptables INPUT อย่างสมบูรณ์และยังสามารถเข้าใช้จากภายนอกได้ ฉันจะ จำกัด การเข้าถึงคอนเทนเนอร์ Docker ของฉันให้อนุญาตเฉพาะเช่น IP 123.456.789.0 เพื่อเข้าถึงจากภายนอกได้อย่างไร ขอบคุณ sudo iptables -L -n -v - line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot …

15 docker  iptables 

ฉันใช้ IPSEC ในโหมดทันเนล วิธีสร้างกฎ iptables ที่จะจับคู่เฉพาะแพ็กเก็ตที่มาถึงอุโมงค์ IPSEC (เช่นหลังจาก IPSec ถอดรหัสแล้ว - ไม่ใช่แพ็กเก็ต IPSEC เมื่อมาถึงและก่อนถอดรหัส) ประเด็นคือต้องมีพอร์ตบางพอร์ตซึ่งจะสามารถเข้าถึงได้ผ่านทาง IPSEC เท่านั้นและไม่สามารถเข้าถึงได้ทั่วโลก

15 linux  iptables  ipsec 

ฉันมีกล่อง Ubuntu ฉันต้องการใช้เป็นตัวอย่างของ NAT (เหนือสิ่งอื่นใด) ฉันต้องการหลีกเลี่ยงการใช้ NAT AMIs ที่จัดทำโดย Amazon และกำหนดค่า NAT เองแทน ปัจจุบันโฮสต์ของฉันมีอินเทอร์เฟซเครือข่ายเดียว (ดังที่แสดงในhttp://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html ) ฉันควรจะสามารถกำหนดค่าโฮสต์ Ubuntu ของฉันเป็นอินสแตนซ์ NAT สำหรับโฮสต์อื่นในเครือข่าย Amazon ของฉันได้หรือไม่ Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 5 454 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0 ฉันพยายามกำหนดค่ากฎ …

15 amazon-ec2  iptables  nat 

UFW ทำงานได้ดีสำหรับฉันยกเว้นในกรณีที่มันไม่ ... ฉันต้องการที่จะเพิ่มกฎอื่น ๆ ด้วยตนเองที่จะนำไปใช้ในการบูต? ฉันควรวางกฎนี้ไว้ที่ไหน ฉันจะทำให้มันเริ่มตอนบูทได้อย่างไร? ฉันจะทำให้มันเล่นเป็นอย่างดีกับ UFW ได้อย่างไร

15 ubuntu  iptables  ufw 

ฉันพยายามรวบรวมสคริปต์ iptables เซิร์ฟเวอร์พื้นฐานที่จะทำงานกับเว็บไซต์ส่วนใหญ่ที่ใช้เว็บเซิร์ฟเวอร์พื้นฐานโดยใช้ HTTP (S) และ SSH (พอร์ต 80, 443, & 22) ท้ายที่สุด VPS ส่วนใหญ่ต้องการกฎพอร์ตเริ่มต้นเหล่านี้เท่านั้นและสามารถเพิ่มเมลหรือพอร์ตเกมในภายหลังได้ตามต้องการ จนถึงตอนนี้ฉันมี ruleset ต่อไปนี้และฉันก็สงสัยว่าถ้าใครรู้ถึงสคริปต์ที่ดีขึ้นหรือการปรับปรุงใด ๆ ที่สามารถเพิ่มได้ *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 …

15 linux  security  firewall  iptables  best-practices 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน4 ปีที่แล้ว ฉันต้องติดตั้งไฟร์วอลล์บนเซิร์ฟเวอร์ Linux (ประสบการณ์ก่อนหน้านี้ของฉันคือ Windows) กฎของฉันนั้นค่อนข้างง่าย - ห้ามทั้งหมดอนุญาตพอร์ตบางพอร์ตอนุญาตพอร์ตบางพอร์ตสำหรับ IP ซับเน็ตเฉพาะในขณะที่เครือข่ายมีขนาดเล็ก แต่ซับซ้อน (แต่ละโฮสต์มี IP อย่างน้อย 2 192.168 ... อวนทุกคนสามารถ เชื่อมต่อระหว่างกันหลายวิธี) ฉันคิดว่าการใช้ iptables wrappers สามารถทำให้ระบบมีความซับซ้อนมากเกินไปโดยแนะนำหน่วยงานที่ไม่จำเป็นจำนวนมากและมันจะเป็นการดีกว่าที่จะทำให้มันง่ายขึ้นและใช้ iptables โดยตรง คุณช่วยแนะนำอินเทอร์แอคทีฟที่ดีเกี่ยวกับวิธีเขียนกฎ iptables ได้หรือไม่?

15 linux  vpn  router  iptables 

สภาพแวดล้อมที่ฉันทำงานอยู่นั้นเป็นการดำเนินการบนเว็บโฮสติ้งขนาดใหญ่ (เซิร์ฟเวอร์หลายร้อยเครื่องภายใต้การจัดการการจัดการที่อยู่เกือบทุกสาธารณะ ฯลฯ ดังนั้นสิ่งใดก็ตามที่พูดถึงการจัดการลิงค์ ADSL นั้นไม่น่าจะทำงานได้ดี) และเรา กำลังมองหาบางอย่างที่สะดวกสบายในการจัดการทั้งชุดกฎหลัก (ประมาณ 12,000 รายการใน iptables ตามจำนวนปัจจุบัน) พร้อมชุดกฎพื้นฐานที่เราจัดการให้กับลูกค้า ชุดกฎเราเตอร์หลักของเรามีการเปลี่ยนแปลงวันละสองสามครั้งและชุดกฎที่ใช้โฮสต์จะเปลี่ยนเดือนละ 50 ครั้ง (ในเซิร์ฟเวอร์ทั้งหมดดังนั้นอาจมีการเปลี่ยนแปลงหนึ่งครั้งต่อเซิร์ฟเวอร์ห้าเครื่องต่อเดือน) ขณะนี้เรากำลังใช้ filtergen (ซึ่งก็คือลูกบอลทั่วไปและซุปเปอร์บอลในระดับปฏิบัติการของเรา) และฉันเคยใช้ชอร์วอลล์ในอดีตที่งานอื่น ๆ (ซึ่งน่าจะดีกว่ากับ filtergen แต่ฉันคิดว่ามันต้องมี เป็นอะไรที่ดีกว่านั้น) "musts" ที่เรามีมาพร้อมกับระบบการเปลี่ยนใด ๆ คือ: ต้องสร้างชุดกฎอย่างรวดเร็ว (ตัวกรองใช้ชุดกฎของเราใช้เวลา 15-20 นาทีนี่เป็นเพียงสติ) - มันเกี่ยวข้องกับประเด็นต่อไป: ต้องสร้างไฟล์สไตล์ iptables-restore และโหลดในครั้งเดียวไม่ใช่ call iptables สำหรับทุกกฎการแทรก ต้องไม่ใช้ไฟร์วอลล์เป็นระยะเวลานานในขณะที่โหลดชุดกฎ (อีกครั้งนี่เป็นผลมาจากประเด็นข้างต้น) ต้องรองรับ IPv6 (เราไม่ได้ปรับใช้สิ่งใหม่ที่ไม่รองรับ IPv6) ต้องปลอดจาก …

15 linux  firewall  iptables 

เมื่อวานนี้ฉันมีคอมพิวเตอร์เครื่องใหม่เป็น homeserver ของฉัน HP Proliant Microserver ติดตั้ง Arch Linux บนแล้วพร้อมเคอร์เนลเวอร์ชัน 3.2.12 หลังจากติดตั้ง iptables (1.4.12.2 - รุ่นปัจจุบัน AFAIK) และเปลี่ยนnet.ipv4.ip_forwardคีย์เป็น 1 และเปิดใช้งานการส่งต่อในไฟล์กำหนดค่า iptables (และการรีบูต) ระบบจะไม่สามารถใช้อินเตอร์เฟสเครือข่ายใด ๆ Ping ล้มเหลวด้วย Ping: sendmsg: operation not permitted หากฉันลบ iptables อย่างสมบูรณ์ระบบเครือข่ายก็ใช้ได้ แต่ฉันต้องแบ่งปันการเชื่อมต่ออินเทอร์เน็ตกับเครือข่ายท้องถิ่น eth0 - wan NIC รวมอยู่บนเมนบอร์ด (Broadcom NetXtreme BCM5723) eth1 - lan NIC ในสล็อต pci-express (Intel …

15 networking  iptables  nat  arch-linux 

ฉันมีกล่องลินุกซ์ที่ติดตั้งการ์ดเครือข่าย 2 ตัวเพื่อตรวจสอบปริมาณการใช้ข้อมูลที่ไหลผ่านพอร์ต 80 การ์ดใบหนึ่งถูกใช้เพื่อออกไปยังอินเทอร์เน็ตการ์ดอีกใบหนึ่งเชื่อมต่อกับสวิตช์เครือข่าย จุดนี้จะสามารถตรวจสอบปริมาณข้อมูล HTTP และ HTTPS ทั้งหมดบนอุปกรณ์ที่เชื่อมต่อกับสวิตช์นั้นเพื่อการดีบัก ฉันได้เขียนกฎต่อไปนี้สำหรับ iptables: nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:1337 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 1337 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE ใน …

14 ssl  iptables  https  transparent-proxy  man-in-the-middle 

อาจเป็นเพราะฉันหนาแน่นหรืออาจจะไม่ได้ค้นหาแหล่งที่ถูกต้อง แต่ฉันไม่เข้าใจว่าทำไมการตั้งค่า IPTABLES อย่างใดอย่างหนึ่งเหล่านี้ถึงดีกว่าอีกชุด นี่คือการตั้งค่าของฉัน: ฉันมีกล่องที่ทำหน้าที่เป็นพร็อกซีโปร่งใสและเราเตอร์หรือแปลก ๆ มันมีสองอินเตอร์เฟสในนั้น ETH0 และ ETH1 และรูปแบบที่อยู่ดังต่อไปนี้: ETH0 = DHCP ETH1 = 192.168.5.1/24 ให้บริการ DHCP สำหรับเครือข่าย 192.168.5.0/24 ให้กับลูกค้าที่อยู่ด้านหลังใน LAN ฉันติดตั้ง Privoxy และฟังพอร์ต 8080 เป็นพร็อกซีแบบโปร่งใส สิ่งที่ฉันประสบความสำเร็จกับการตั้งค่านี้คือการสามารถวางกล่องนี้ในเครือข่ายที่มีอยู่ด้วยการกำหนดค่าน้อยที่สุดและไคลเอนต์ที่แนบมากับพร็อกซี นี่คือไฟล์ IPTABLES ดั้งเดิมของฉัน *nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080 -A POSTROUTING …

14 proxy  iptables  routing 

ฉันมีการตั้งค่าสะพานอีเธอร์เน็ตbr0ที่มีสองอินเตอร์เฟสeth0และtap0 brctl addbr br0 brctl addif eth0 brctl addif tap0 ifconfig eth0 0.0.0.0 promisc up ifconfig tap0 0.0.0.0 promisc up ifconfig br0 10.0.1.1 netmask 255.255.255.0 broadcast 10.0.1.255 FORWARDนโยบายลูกโซ่เริ่มต้นของฉันคือDROP iptables -P FORWARD DROP เมื่อฉันไม่เพิ่มกฎต่อไปนี้การรับส่งข้อมูลจะไม่ผ่านสะพาน iptables -A FORWARD -p all -i br0 -j ACCEPT เท่าที่ฉันเข้าใจiptablesมีหน้าที่รับผิดชอบเฉพาะเลเยอร์ IP เท่านั้น ebtables ควรรับผิดชอบการกรองปริมาณข้อมูลบนอีเธอร์เน็ตบริดจ์ เหตุใดฉันจึงต้องเพิ่มกฎ ACCEPT ในเครือข่าย …

14 linux  ubuntu  iptables  bridge 

ฉันต้องการเร่งความเร็วการใช้แบนด์วิธคล้ายกับที่ ISP บางรายทำดังนั้นหลังจากผ่านไปไม่กี่วินาทีมันก็ลดความเร็วลง

14 iptables  traffic-shaping  bandwidth-control 

ใครช่วยฉันค้นหาสิ่งที่เกิดขึ้นที่นี่? ฉันมีกฎบางอย่างที่ตั้งค่าการติดตามจำนวนแพ็กเก็ต เมื่อฉันเรียกใช้สคริปต์ต่อไปนี้เป็น root: #!/bin/bash iptables -t mangle -xnvL ฉันได้รับผลลัพธ์ที่ฉันคาดหวัง: //snip 233203 199929802 MARK //blah blah blah //snip อย่างไรก็ตามฉันต้องการเรียกใช้สิ่งนี้เป็นส่วนหนึ่งของ cacti ซึ่งทำงานเป็น apache ตอนนี้ apache ไม่สามารถเรียกใช้ iptables ได้ซึ่งเป็นสาเหตุที่ฉันมีสคริปต์ ฉันตั้งค่าเป็นรูท SUID : -rwsr-sr-x 1 root root 37 May 14 23:06 iptables_packet_report.sh แต่ฉันจะได้ผลลัพธ์นี้: server # sudo -u apache ./iptables_packet_report.sh iptables v1.4.2: can't initialize …

14 linux  iptables  suid 

มีเครื่องมือใดบน Linux ที่จะแก้ไข iptables โดยอัตโนมัติเพื่อบล็อกไคลเอ็นต์ที่มีปัญหาตามการวิเคราะห์บันทึก Apache หรือไม่ ฉันช่วยเรียกใช้ไซต์ที่บางครั้งถูกร้องขอจากผู้ใช้คนหนึ่ง ทางออกเดียวคือการเพิ่มรายการใน iptables เพื่อป้องกันลูกค้าที่กระทำผิด มันมักจะช้าไปตามเวลาที่ฉันสามารถตอบสนองด้วยตนเอง - ดังนั้นฉันต้องการกลไกตามกฎในการปรับเปลี่ยน iptables ฉันเดาว่าตรรกะฟัซซีหรือการวิเคราะห์เชิงสถิติบางอย่างจะจำเป็น

14 linux  apache-2.2  iptables 

เครือข่ายของฉันถูกล็อคอย่างสมบูรณ์ยกเว้นบางไซต์ที่ได้รับอนุญาต ทั้งหมดนี้ทำผ่าน iptables ซึ่งมีลักษณะดังนี้: # Allow traffic to google.com iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp …

14 domain-name-system  iptables  firewall  ip-address  hostname