คำถามติดแท็ก iptables

ในขณะที่ฉันเรียนรู้เกี่ยวกับ iptables ฉันได้ทำผิดพลาดสองครั้งและล็อคตัวเองเอาไว้ คุณใช้วิธีใดในการทดสอบกฎโดยไม่ล็อคตัวเอง? ฉันใช้เซิร์ฟเวอร์อูบุนตู 12.04 LTS คำตอบทั้งหมดด้านล่างมีประโยชน์ ในที่สุดฉันก็ใช้การรวมกันของตัวเลือก นอกจากนี้ยังช่วยให้มีการเข้าถึง IPMI ไปยังเซิร์ฟเวอร์ระยะไกลของคุณในกรณี! แต่ควรทดสอบกฏในท้องถิ่นบนสภาพแวดล้อมที่จำลองแบบและทดสอบก่อน Vagrant ช่วยในเรื่องนี้เพื่อให้การตั้งค่าการทดสอบทำงานได้อย่างรวดเร็ว

14 linux  iptables 

ฉันกำลังพยายามหาวิธีติดตามแบนด์วิดท์ที่มาจากคอนเทนเนอร์ Docker ปกติฉันจะใช้--uid-ownerเป็นเครื่องหมายเพื่อติดตามการใช้แบนด์วิดธ์สำหรับผู้ใช้ที่กำหนด อย่างไรก็ตามแม้ว่าฉันจะเรียกใช้กระบวนการทั้งหมดในขณะที่ผู้ใช้ภายในคอนเทนเนอร์นักเทียบท่า--uid-ownerไม่ทำงาน แทนที่จะลองใช้--uid-ownerฉันพยายามติดตามทุกแพ็กเก็ตที่มาจากอุปกรณ์อีเธอร์เน็ตเสมือนที่นักเทียบท่าสร้าง อย่างไรก็ตามสิ่งนี้ก็ไม่ได้ทำสิ่งใดเกินไป: ไม่ว่าฉันจะพยายามอะไรก็ตาม จากความสิ้นหวังอย่างแท้จริงฉันพยายามแค่วางกฎลงในโซ่ทั้งหมด แต่ก็ไม่ได้ผล Chain PREROUTING (policy ACCEPT 3041 packets, 7849454 bytes) num pkts bytes target prot opt in out source destination 1 0 0 MARK tcp -- veth5a36 any anywhere anywhere MARK set 0x1 Chain INPUT (policy ACCEPT 273 packets, 23305 bytes) num pkts …

13 iptables  bandwidth  docker 

ฉันกำลังกำหนดค่าเราเตอร์ Linux iptablesกับ ฉันต้องการเขียนการทดสอบการยอมรับสำหรับการกำหนดค่าที่ยืนยันสิ่งต่าง ๆ เช่น: ปริมาณการใช้งานจากผู้ชายบนอินเทอร์เน็ตไม่ได้ถูกส่งต่อ TCP ไปยังพอร์ต 80 บนเว็บเซิร์ฟเวอร์ใน DMZ จากโฮสต์บน LAN องค์กรจะถูกส่งต่อ คำถามที่พบบ่อยโบราณบ่งบอกถึงiptables -Cตัวเลือกที่อนุญาตให้ใครซักคนถามว่า "ได้รับแพ็คเก็ตจาก X, Y ในพอร์ต Z มันจะได้รับการยอมรับหรือไม่?" แม้ว่าคำถามที่พบบ่อยแสดงให้เห็นว่ามันใช้งานได้เช่นนี้สำหรับiptables(แต่อาจไม่ใช่ipchainsตามที่ใช้ในตัวอย่าง) -Cตัวเลือกดูเหมือนจะไม่จำลองแพคเก็ตทดสอบที่วิ่งผ่านกฎทั้งหมด แต่จะตรวจสอบว่ามีกฎการจับคู่ตรงกัน สิ่งนี้มีค่าเพียงเล็กน้อยในการทดสอบ ฉันต้องการยืนยันว่ากฎมีผลตามที่ต้องการไม่ใช่แค่มีอยู่จริง ฉันได้พิจารณาที่จะสร้างการทดสอบ VM และเครือข่ายเสมือนเพิ่มเติมจากนั้นตรวจสอบด้วยเครื่องมือที่ต้องการnmapผลกระทบ อย่างไรก็ตามฉันกำลังหลีกเลี่ยงวิธีนี้เนื่องจากความซับซ้อนในการสร้างเครื่องเสมือนเพิ่มเติมเหล่านั้นซึ่งเป็นวิธีที่ค่อนข้างหนักในการสร้างทราฟฟิกการทดสอบ มันจะดีถ้ามีวิธีการทดสอบอัตโนมัติซึ่งสามารถทำงานบนเซิร์ฟเวอร์จริงในการผลิต ฉันจะแก้ไขปัญหานี้ได้อย่างไร มีกลไกบางอย่างที่ฉันอาจจะใช้ในการสร้างหรือการจำลองการจราจรโดยพลแล้วทราบว่ามันเป็น (หรือจะเป็น) ลดลงหรือได้รับการยอมรับโดยiptables?

13 iptables  automated-testing 

ฉันกำลังแปลงสคริปต์ไฟร์วอลล์ iptables เก่าที่ดีของฉันและต้องการแทนที่พื้นที่ที่อยู่ที่สงวนไว้ CLASS A / B / C / D / E เป็นที่อยู่ใน IPV6 เป้าหมายของฉันคือปฏิเสธแพ็กเก็ตใด ๆ ที่มาจากที่อยู่เหล่านี้เนื่องจากสิ่งเหล่านี้ไม่สามารถเข้าถึงเครือข่ายสาธารณะได้ดังนั้นจึงต้องทำการปลอมแปลง ฉันได้พบสิ่งเหล่านี้จนถึงขณะนี้มีช่องว่างที่สงวนไว้อีกต่อไปแล้วไม่มีข้อมูลใดที่สามารถเข้าสู่เว็บเซิร์ฟเวอร์ IPV6 ได้ ลูปแบ็ค :: 1 Global Unicast (ปัจจุบัน) 2000 :: / 3 Unique Local Unicast FC00 :: / 7 Link Local Unicast FE80 :: / 10 Multicast FF00 :: / 8

13 networking  iptables  ipv6 

ฉันอ่านหลาย ๆ ไซต์เกี่ยวกับวิธีใช้ iptables เพื่อเปลี่ยนเส้นทางพอร์ตหนึ่งไปอีกพอร์ตหนึ่งใน Linux ตัวอย่างเช่นการเปลี่ยนเส้นทางพอร์ต 80 เป็น 8080 จะมีลักษณะเช่นนี้ ... iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080 ความกังวลของฉันคืออะไรถ้าฉันเปลี่ยนใจ ฉันไม่ได้อ่านที่ให้ไวยากรณ์เพื่อแก้ไขมัน ฉันคิดว่ามันมีวิธีการ (ง่าย ๆ ) แต่ฉันใหม่เกินไปที่ Linux ที่จะรู้วิธีการคืนค่าพอร์ต 80 กลับไปสู่การทำงานดั้งเดิมโดยไม่ต้องติดตั้งระบบปฏิบัติการใหม่

13 linux  iptables 

เมื่อตั้งค่า iptables คุณสามารถตั้งชื่อพอร์ต ssh ซึ่งจะใช้พอร์ต 22 มีรายการพอร์ตที่ระบุชื่อทั้งหมดหรือไม่ โดยเฉพาะฉันต้องการ ssh, http, https และ mysql

13 linux  firewall  iptables 

วันนี้ iptables ของฉัน nat บนระบบโฮสต์หยุดทำงานและฉันก็ไม่รู้ว่าเกิดอะไรขึ้น! (แย่มากฉันรู้) คำสั่งทั้งหมดจะถูกดำเนินการในฐานะผู้ใช้รูท ถ้าฉันเรียกใช้$ iptables -t nat -Lฉันได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้: $ iptables -t nat -L iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. ไม่มีการอัปเดตเพิ่มเติม ฉันรีสตาร์ทเซิร์ฟเวอร์ด้วยเมล็ดที่เก่ากว่าหลายแห่ง แต่ฉันได้รับข้อความแสดงข้อผิดพลาดเดียวกันเสมอ เซิร์ฟเวอร์ของฉันทำงานบน CentOS ด้วยเคอร์เนล OpenVZ อย่างเป็นทางการในเวอร์ชั่นล่าสุด …

13 centos  iptables  nat  openvz 

มีคนถามฉันเมื่อเร็ว ๆ นี้และฉันก็ไม่ได้รับคำตอบ ฉันรู้ว่านี่เป็นคำถามปลายเปิด แต่มีข้อ จำกัด เรื่องจำนวนกฎที่คุณสามารถติดตั้งในตาราง / ลูกโซ่ได้หรือไม่? ถ้าเป็นเช่นนั้นฉันจะรู้ได้อย่างไร ฉันเดาว่ามันจะแตกต่างกันในเครื่อง

13 iptables 

ฉันมีไฟร์วอลล์ / เราเตอร์ (ไม่ทำ NAT) ฉัน googled และเห็นคำตอบที่ขัดแย้งกัน ดูเหมือนว่า UDP 500 จะเป็นเรื่องธรรมดา แต่คนอื่นสับสน 1701, 4500 และบางคนบอกว่าฉันต้องอนุญาต gre 50 หรือ 47 หรือ 50 & 51 ด้วย ตกลงพอร์ตใดที่ถูกต้องสำหรับ IPSec / L2TP เพื่อทำงานในสภาพแวดล้อมที่เราต์โดยไม่ใช้ NAT? เช่นฉันต้องการใช้ไคลเอนต์ windows ในตัวเพื่อเชื่อมต่อ VPN หลังเราเตอร์ / ไฟร์วอลล์นี้ บางทีคำตอบที่ดีที่นี่คือการระบุพอร์ตที่จะเปิดสำหรับสถานการณ์ที่แตกต่างกัน ฉันคิดว่านี่จะเป็นประโยชน์สำหรับคนจำนวนมาก

13 linux  iptables  firewall  ipsec  l2tp 

ความแตกต่างระหว่าง: iptables ... -m state --state NEW และ iptables ... --syn คนแรกควรเลือกการเชื่อมต่อใหม่ แต่การเชื่อมต่อใหม่ AFAIK จะทำโดยการส่งการตั้งค่าสถานะ TCP syn อีกอันหนึ่งมีความหมายว่า - แพ็คเก็ตที่มีธง syn คุณสามารถให้ตัวอย่างการปฏิบัติใด ๆ เมื่อคำสั่งดังกล่าวส่งกลับผลลัพธ์ที่แตกต่างกันอย่างไร

13 linux  iptables 

iptables ดูเหมือนจะไม่รับรู้ด้วย--dport-p all iptables -A INPUT -p all --dport www -j ACCEPT อัตราผลตอบแทน: iptables v1.4.4: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. --destination-port doesn't work either: iptables v1.4.4: unknown option `--destination-port' เพิ่มกฎที่สองที่แยกต่างหากสำหรับ-p tcpและ-p udpทำงานได้ดีดังนั้นทำไมไม่ทำงานสำหรับ-p all? ในกรณีที่มีความสำคัญจะเกิดขึ้นบน Ubuntu 10.04 LTS Server พร้อมแพ็คเกจ iptables รุ่น 1.4.4-2ubuntu2

13 ubuntu  iptables 

การค้นหาอินเทอร์เน็ตด้วยเครื่องมือค้นหาบน MySQL และ fail2ban ให้ผลลัพธ์จำนวนมากในการวาง fail2ban ของคุณลงใน MySQL แต่ฉันต้องการตรวจสอบความล้มเหลวของ MySQL พยายามที่จะเข้าสู่ระบบและห้าม IP ของเหล่านั้น แอปพลิเคชันของฉันต้องการให้ฉันเปิดพอร์ตไว้สำหรับ MySQL แต่ฉันได้เปลี่ยนพอร์ตเริ่มต้นเพื่อเพิ่มความปลอดภัย เพื่อความปลอดภัยเพิ่มเติม แต่ฉันต้องการตรวจสอบล็อก MySQL ด้วย fail2ban ใครบ้างมีคำแนะนำอย่างรวดเร็วในการกำหนดค่า fail2ban สำหรับ MySQL? ฉันได้ทำการติดตั้งและทำงานกับบริการอื่น ๆ แล้วดังนั้นคุณสามารถข้ามส่วนการติดตั้งและข้ามไปทางขวาเพื่อกำหนดค่าไฟล์ปรับแต่งหรืออะไรก็ตามที่จำเป็น

13 mysql  security  iptables  fail2ban 

RHEL7 / CentOS7 มีบริการfirewalldไฟร์วอลล์ใหม่ซึ่งแทนที่iptables service(ซึ่งทั้งคู่ใช้iptablesเครื่องมือในการโต้ตอบกับ Netfilter ของเคอร์เนลด้านล่าง) firewalldสามารถปรับได้อย่างง่ายดายเพื่อป้องกันการรับส่งข้อมูล แต่ตามที่ระบุไว้โดย Thomas Woerner 1,5 ปีที่แล้ว "การ จำกัด การรับส่งข้อมูลขาออกเป็นไปไม่ได้ด้วย firewalld ในวิธีที่ง่ายในขณะนี้" และเท่าที่ฉันเห็นสถานการณ์ก็ไม่เปลี่ยนแปลงตั้งแต่นั้นมา หรือว่ามัน? มีวิธีใดบ้างในการบล็อกทราฟฟิกขาออกด้วยfirewalld? หากไม่มีวิธี "มาตรฐาน" อื่น ๆ (ใน RHEL7 distro) ของการบล็อกทราฟฟิกขาออกยกเว้นการเพิ่มกฎด้วยตนเองผ่านiptablesเครื่องมือ?

12 linux  centos  iptables  redhat  firewalld 

เมื่อฉันพิมพ์บางสิ่งบางsudo apt-get install firefoxอย่างทุกอย่างจะทำงานจนกว่าจะถามฉัน: After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น: Failed to fetch: <URL> กฎ iptables ของฉันมีดังนี้: -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo …

12 security  iptables  firewall 

ฉันมีเครือข่ายขนาดเล็กที่มีเราเตอร์ซึ่งรักษาการเชื่อมต่อกับอินเทอร์เน็ตเซิร์ฟเวอร์และเวิร์กสเตชันบางตัวในเครือข่ายท้องถิ่น เซิร์ฟเวอร์มีไว้เพื่อให้เข้าถึงได้จากอินเทอร์เน็ตและมีรายการ DNAT หลายรายการในเราเตอร์ iptables ดังนี้: -A PREROUTING -i ppp0 -p tcp -m multiport --dports 22,25,80,443 -j DNAT --to-destination 192.168.2.10 แพ็คเก็ตภายนอกมาถึงเราเตอร์ผ่านทางppp0อินเทอร์เฟซและภายในก็ไปจากbr-lanซึ่งรวมถึงสวิตช์และอะแดปเตอร์ WLAN ปัญหาคือในขณะที่การเข้าถึงภายนอกใช้งานได้ดีพยายามเข้าถึงเซิร์ฟเวอร์จากภายใน LAN โดย IP ภายนอกที่แก้ไขโดย DNS (มอบหมายให้ppp0) ล้มเหลว ทางออกเดียวที่ฉันสามารถคิดค้นคือการเพิ่มรายการแบบคงที่ไปยังเราเตอร์ที่/etc/hostsชี้ไปยัง IP ภายใน แต่เนื่องจากไม่มี wildcard (และฉันมีโดเมนระดับบนสุดอย่างน้อยสามโดเมนที่กำหนดให้กับระบบนั้นไม่นับโดเมนย่อยนับหมื่น) ที่ค่อนข้างกรุบกรอบและล้มเหลวได้ง่าย คุณช่วยแนะนำสิ่งที่ดีกว่าได้ไหม? ฉันเพิ่งพบคำถามนี้ซึ่งไม่เป็นประโยชน์มาก หากเกี่ยวข้องเราเตอร์จะเรียกใช้ OpenWRT 10.03 Kamikaze ด้วย dnsmasq

12 linux  iptables  nat