คำถามติดแท็ก iptables

ฉันกำลังติดตั้งเซิร์ฟเวอร์ centos 5.4 ใหม่และฉันต้องการมีชุดกฎที่สะอาดสำหรับ mu iptables เพื่อเริ่มต้น กฎที่ดีในการเริ่มต้นคืออะไร? นี่เป็นจุดเริ่มต้นที่ดีหรือไม่: # Allow outgoing traffic and disallow any passthroughs iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Allow traffic already established to continue iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow ssh, ftp and …

12 iptables 

บนเซิร์ฟเวอร์เดเบียน 5.0 ของฉันฉันตั้งค่ากฎ iptables ดังนี้: ACCEPT tcp -- eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80 DROP tcp -- 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80 aaa.bbb.ccc.ddd เป็นที่อยู่ IP ของเซิร์ฟเวอร์ของฉันและ eee.fff.ggg.hhh เป็นเซิร์ฟเวอร์อื่นซึ่งเป็นเซิร์ฟเวอร์เดียวที่ได้รับอนุญาตให้เข้าถึงพอร์ต ฉันสังเกตเห็นว่ามีการตั้งค่า inet6 addr บนเซิร์ฟเวอร์ของฉันและ netstat แสดงให้เห็นว่า apache2 กำลังฟังที่อยู่ tcp6: tcp6 0 0 :::80 :::* LISTEN ฉันต้องแยกกฎ iptables สำหรับที่อยู่ ipv6 หรือไม่ ถ้าเป็นเช่นนั้นฉันจะทำอย่างไร ฉันไม่รู้อะไรเกี่ยวกับ ipv6 ขอบคุณ! ฉันต้องทำยังไงดี? …

12 linux  firewall  iptables  ipv6 

ทำงานบนเซิร์ฟเวอร์ Ubuntu 14.04 ดังนั้นฉันมี fail2ban อย่างถูกต้องกำหนดให้ดำเนินการ/var/log/auth.logสำหรับการพยายามเข้าสู่ระบบ SSH เมื่อ 3 ครั้งที่ล้มเหลวฉันเห็นสิ่งนี้ในบันทึก fail2ban: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L แสดงห่วงโซ่นี้: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere จาก IP นั้นฉันยังสามารถเข้าสู่ระบบผ่าน SSH ได้โดยไม่มีปัญหาใด ๆ เรื่องเดียวกันใช้กับคุก j2 …

12 ubuntu  iptables  fail2ban 

ฉันมีสองคำถาม คำถามที่ 1: เครื่องเดเบียนของฉันมีอินเตอร์เฟส eth3 ที่มี ip 192.168.57.28 หากมีคนพยายามเชื่อมต่อกับ 192.168.57.28:1234 ฉันจะเปลี่ยนเส้นทางคำขอไปยังเครื่องอื่นได้อย่างไร: 192.168.57.25:80 คำถามที่ 2: ถ้าเครื่องเดเบียนของฉันมีสองอินเตอร์เฟส: eth3 ที่มี 192.168.57.28 และ ppp0 ที่มี IP แบบไดนามิกบางอย่างและมีคนพยายามเชื่อมต่อผ่าน ppp0 ที่พอร์ต 1234 ฉันจะเปลี่ยนเส้นทางคำขอไปที่ 192.168.57.25:80 ได้อย่างไร ฉันได้ลองสิ่งนี้แล้ว: $ iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 192.168.57.25:80 $ echo 1 > /proc/sys/net/ipv4/ip_forward แต่มันไม่ทำงาน

12 debian  iptables  point-to-point-protocol 

ฉันต้องการให้กฎของ iptables โหลดเมื่อเริ่มต้นโดยอัตโนมัติ ตามวิกิบน Debian สิ่งนี้สามารถทำได้โดยการวางสคริปต์ด้วยชื่อ iptables ใน /etc/network/if-pre-up.d/ ดังนั้นฉันก็ทำนี่คือสิ่งที่มันดูเหมือน: cat /etc/network/if-pre-up.d/iptables #!/bin/sh /sbin/iptables-restore < /etc/firewall/iptables.rules /sbin/ip6tables-restore < /etc/firewall/ip6tables.rules สคริปต์นี้ใช้งานได้: หากฉันเรียกใช้เป็นรูทกฎไฟร์วอลล์ของฉันจะถูกนำไปใช้ แต่ในการรีบูตไม่มีกฎไฟร์วอลล์ ผมทำอะไรผิดหรือเปล่า? ตามคำขอ: / etc / network / interfaces (ฉันไม่ได้แตะไฟล์นี้) user@DebianVPS:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate …

12 networking  debian  iptables 

ฉันมีกฎ iptables จำนวนหนึ่งในไฟร์วอลล์ของฉันที่มีลักษณะดังนี้: iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT มีทางลัดสำหรับการมีกฎสองข้อ - กฎข้อหนึ่งสำหรับ tcp และอีกอันสำหรับ udp - สำหรับทุกที่อยู่? ฉันหมายถึงฉันสามารถทำสิ่งนี้: iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT

12 iptables  firewall  tcp  udp 

มีความแตกต่างในการปล่อยแพ็กเก็ตที่ไม่จับคู่กับนโยบายเริ่มต้น-j DROPหรือไม่ ชอบ: iptables -P INPUT DROP iptables -A INPUT --dport 80 -j ACCEPT VS iptables -A INPUT --dport 80 -j ACCEPT iptables -A INPUT -j DROP เหตุผลที่ฉันสนใจเพราะฉันไม่สามารถสร้างห่วงโซ่ที่มีบันทึกและถือว่าเป็นนโยบายเริ่มต้นดังนั้นฉันจะต้องใช้ตัวอย่างที่สอง

12 linux  iptables 

tldr: ฉันจะทำให้ iptables แสดงเพียงเชนเดียวได้อย่างไร ฉันสามารถให้ iptables แสดงเพียงหนึ่งตาราง แต่ตารางประกอบด้วยหลายโซ่ ฉันต้องการหาที่ INPUT ในห่วงโซ่เป็นกฎสุดท้าย (ปกติ แต่ไม่เสมอปฏิเสธกฎทั้งหมด) ฉันได้ลองแล้วหรือแม้กระทั่ง grep บางส่วน แต่ความสามารถของฉันในสิ่งเหล่านั้นจะต้องลดลง ฉันได้ลองใช้ awk เพื่อให้ได้เพียงย่อหน้าเดียว แต่นั่นดูเหมือนจะไม่ทำงานกับผลลัพธ์ของiptables --line-numbers -n -L -t filterอาจเพราะบรรทัดว่างเหล่านั้นไม่ได้ว่างเปล่าจริงๆ ฉันกำลังมองหาวิธีแก้ปัญหาด้วยเครื่องมือ gnu ทั่วไปที่จะติดตั้งในสภาพแวดล้อมที่น้อยที่สุดของ CentOS 6

12 iptables  firewall  awk 

ฉันติดตั้ง snort แล้วและทำงานในโหมดอินไลน์ผ่าน NFQUEUE บนท้องที่ของฉัน (ในขณะที่ฉันสามารถเดินในห้องถัดไปและแตะ) เกตเวย์ ฉันมีกฎต่อไปนี้ในของฉัน/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) กฎนี้เกี่ยวข้องกับแบ็คดอร์ที่พบในเราเตอร์ DLink บางตัว ฉันเลือกกฎนี้เพราะดูเหมือนว่าจะทดสอบได้ง่าย ตัวกฎถูกเพิ่มโดย pullpork จากการคุกคามที่เกิดขึ้นใหม่ดังนั้นฉันจึงสันนิษฐานว่าไวยากรณ์ของกฎนั้นถูกต้อง สำหรับการทดสอบฉันได้กำหนดค่าเกตเวย์ของฉันด้วย lighttpd ที่พอร์ต 80 หันหน้าไปทางอินเทอร์เน็ตและยืนยันว่าสามารถเข้าถึงได้ curl -A 'xmlset_roodkcableoj28840ybtide' …

11 iptables  snort  ips 

สมมติว่ามีสองเกตเวย์อยู่บนเครือข่ายเดียวกัน หากฉันเข้าใจอย่างถูกต้องตารางการกำหนดเส้นทาง IP บนคอมพิวเตอร์ของผู้ส่งจะตัดสินใจว่าจะส่งแพ็กเก็ตใดผ่านเกตเวย์ใด ตารางการกำหนดเส้นทาง IP ประกอบด้วยที่อยู่ IP ของเกตเวย์ ที่อยู่ IP นี้ของเกตเวย์ใช้อย่างไรเมื่อส่งแพ็กเก็ต IP

11 iptables  ip-routing 

ฉันติดตั้ง CentOS 7 เวอร์ชันขั้นต่ำบนเซิร์ฟเวอร์การพัฒนาเพื่อจำลองเสมือนแขกของ linux ด้วย kvm / qemu หากต้องการใช้ iptables แทนที่จะfirewalldติดตั้งiptables-serviceและทำ: systemctl stop firewalld systemctl mask firewalld systemctl enable iptables systemctl start iptables SELinux /etc/sysconfig/selinuxถูกปิดใช้งานโดยการแก้ไข กฎของฉันสำหรับ iptables มีดังต่อไปนี้: iptables -Z iptables -F iptables -X iptables -t nat -Z iptables -t nat -F iptables -t nat -X iptables -t nat …

11 linux  centos  iptables 

ฉันเริ่มใช้ RHEL7 และเรียนรู้เล็กน้อยเกี่ยวกับการเปลี่ยนแปลงที่มาพร้อมกับ systemd มีวิธีดำเนินการ/sbin/service iptables saveในไฟร์วอลล์หรือไม่ $ /sbin/service iptables save The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. ขนานที่ใกล้เคียงที่สุดที่ฉันสามารถหาได้จากเอกสารคือ--reload: Reload the firewall without loosing state information: $ firewall-cmd --reload แต่มันไม่ได้บอกอย่างชัดเจนว่ามันประหยัดหรือไม่

11 iptables  systemd  firewalld  rhel7 

ฉันต้องการ DROP มากกว่า 200 คำขอต่อ IP เพื่อป้องกันการโจมตี ddos นี่คือคำสั่งที่ฉันใช้เพื่อตรวจจับการร้องขอนับต่อ ip: netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr ตอนนี้ฉันต้องการเพิ่มที่อยู่ ip ทั้งหมดที่ทำคำขอมากกว่า 200 รายการใน IPtables ไปยัง DROP input และ out put

11 networking  security  iptables  command-line-interface 

มีวิธีใดที่จะทดสอบ / ตรวจสอบไวยากรณ์ของสคริปต์กฎ iptables โดยไม่ต้องแก้ไขการกำหนดค่าไฟร์วอลล์ที่แท้จริง (ฉันคิดว่าการเพิ่มและการลบแต่ละกฎไม่ใช่วิธีที่ดีที่สุด ... ) ฉันรู้เกี่ยวกับตัวเลือก -C แต่มันไม่ได้ตรวจสอบตัวเลือกเช่น chains และมันค่อนข้างยุ่งยากกับรหัสส่งคืนเนื่องจาก 1 ไม่ได้หมายความว่าไวยากรณ์ถูกต้องเสมอไป ขอบคุณ!

11 iptables 

ฉันกำลังพยายามใช้เป้าหมายการติดตามของ IPtables แต่ฉันไม่สามารถรับข้อมูลการติดตามได้ ฉันต้องการที่จะใช้สิ่งที่อธิบายไว้ที่นี่: ดีบักสำหรับ iptables คำ จากมนุษย์ iptables สำหรับการติดตาม: This target marks packes so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules. (The ipt_LOG or ip6t_LOG module is required for the logging.) The packets are logged with the string …

11 linux  debian  iptables  logging  log-files