คำถามติดแท็ก iptables

ฉันมีเราเตอร์ Asus RT-N66U พร้อมเซิร์ฟเวอร์ OpenVPN ที่เปิดใช้งาน ฉันต้องทำให้หนึ่งพอร์ตของไคลเอนต์ OpenVPN ที่เชื่อมต่อพร้อมใช้งานจากอินเทอร์เน็ต ดังนั้นฉันต้องการส่งต่อพอร์ต 80 ไปยังอุปกรณ์ที่เชื่อมต่อผ่าน OpenVPN ไปยังเราเตอร์ของฉัน ก่อนอื่นฉันลองตั้งค่า TUN ลูกค้ามีที่อยู่ IP 10.8.0.5 ฉันส่งต่อพอร์ต 80 ถึง 10.8.0.5 ปัญหาคือมันใช้งานได้จาก LAN ภายในเท่านั้น ฉันยังสามารถใช้ที่อยู่ IP ภายนอกและส่งต่อแพ็กเก็ตทั้งหมดไปยังไคลเอนต์ 10.8.0.5 โดยปกติ แต่จากอินเทอร์เน็ตฉันมักจะได้รับการหมดเวลาดูเหมือนว่าแพ็กเก็ตมาถึงอุปกรณ์ แต่ไม่ตอบสนอง ฉันพยายามแก้ไข iptables ด้วยตนเองตามhttps://community.openvpn.net/openvpn/wiki/BridgingAndRoutingและไม่มีอะไรช่วย ตอนนี้ฉันกำหนดค่า OpenVPN ใหม่ให้ใช้ TAP และมันก็เหมือนกันมันทำงานได้อย่างสมบูรณ์จาก LAN แต่ไม่ใช่จากอินเทอร์เน็ต ต้องมีบางสิ่งที่ฉันคิดถึง นี่คือรายการของกฎ iptables ทั้งหมดสำหรับการกำหนดค่าบูธhttps://gist.github.com/tprochazka/72b5ca9b686d20b200c5f2662d0e9db8 (ตาราง IP ถูกสร้างขึ้นโดยเราเตอร์เอง) …

routing  iptables  openvpn 

ฉันมีเครือข่ายที่ตั้งค่าให้เป็น "มือถือ" มันมีเซิร์ฟเวอร์ที่แตกต่างกันไม่กี่ ทุกอย่างทำงานได้อย่างสมบูรณ์แบบจากภายนอก สิ่งที่ฉันพยายามกำหนดค่าคือการเชื่อมต่อภายใน ฉันมีเราเตอร์ DD-WRT ที่เราสามารถใช้ชื่อเล่นmainและเราเตอร์อื่นที่เราสามารถโทรหาgenericได้ แนวคิดในที่นี้คือmainมีโฮสต์ของพอร์ตต่อไปและการจัดสรร IP แบบคงที่สำหรับเซิร์ฟเวอร์ของฉันในเซิร์ฟเวอร์ DHCP อิสระ Genericเป็นเราเตอร์ใด ๆ ที่ฉันต้องการmainเข้าถึงอินเทอร์เน็ตผ่าน ( Mainเชื่อมต่อกับgenericWiFi และใช้ IP ภายนอก) ในกรณีปัจจุบันของฉันGenericคือเราท์เตอร์ / โมเด็มที่ทำงานได้เต็มประสิทธิภาพจาก ISP ของฉัน พอร์ตทั้งหมดบนจะถูกส่งต่อไปยังgeneric mainวิธีนี้ใช้ได้ผล จากภายนอกทุกอย่างเชื่อมต่ออย่างถูกต้อง อย่างไรก็ตามเนื่องจากgenericอยู่ระหว่างmainและอินเทอร์เน็ตการทำเส้นทางกิ๊บจึงไม่ทำงาน เพื่อแก้ปัญหานี้ฉันมีบางการตั้งค่า DNSMasq ในmainคู่ที่มีmyDomain.com 10.0.0.101ดูเหมือนว่า ... address=/mydomain.com/10.0.0.101 ทั้งสอง10.0.0.101และ10.0.0.102เป็นเซิร์ฟเวอร์ Debian 10.0.0.101เป็นเซิร์ฟเวอร์ "การดูแลระบบ" ในเครือข่ายของฉัน จัดการกับอีเมลและอื่น ๆ สำหรับผู้ดูแลระบบ ฉันกำลังพยายามใช้ IP Tables 10.0.0.101เพื่อจำลองผลกระทบของการอยู่นอกเครือข่าย (พอร์ตใด ๆ …

networking  router  dns  port-forwarding  iptables 

ฉันมีเราเตอร์สองตัว อันหนึ่งกำลังเรียกใช้ DD-WRT และอีกอันกำลังเรียกใช้ Tomato เราเตอร์ DD-WRT เป็นเราเตอร์หลักที่การเชื่อมต่อ WAN ต้องผ่าน เราเตอร์ Tomato สำหรับ PIA VPN ของฉัน DD-WRT เป็นซับเน็ต 192.168.1.x และเราเตอร์ Tomato คือซับเน็ต 192.168.10.x ฉันติดตามวิดีโอ YouTube และ Tomato สามารถเข้าถึงและสามารถดูเครือข่าย 192.168.1.x แต่ DD-WRT ไม่สามารถดูเครือข่าย 192.168.10.x ฉันได้ตั้งค่ากฎการเราต์แบบสแตติกผ่านเราเตอร์ DD-WRT และเพิ่มกฎ IPtable ต่อไปนี้ใน Tomato: iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT ใครช่วยได้บ้าง ฉันต้องการเข้าถึงเครือข่ายย่อยทั้งสองอย่างราบรื่น เค้าโครงเครือข่ายพื้นฐาน: โมเด็ม …

networking  firewall  iptables  dd-wrt  tomato 

ส่วนสุดท้ายในกฎต่อไปนี้หมายถึงอะไรในแง่ของปริมาณข้อมูลที่ได้รับอนุญาตใน (dtp: domain, bootps) จากการวิจัยของฉันฉันเข้าใจว่า bootps คือ bootstrap และ dpt เป็นพอร์ตปลายทาง แต่ฉันไม่ได้รับสิ่งที่มันทำหรืออนุญาตและฉันสงสัยว่ามันอนุญาตให้มีแพ็กเก็ตใด ๆ (ฉันดู iptables ในหน้า man แต่ไม่พบคำตอบ) Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:bootps ACCEPT tcp …

iptables 

ฉันได้ติดตั้ง OpenVPN บน Raspberry PI (เซิร์ฟเวอร์: 192.168.0.2) และบนแล็ปท็อป Ubuntu ของฉัน (ไคลเอนต์: 192.168.0.3) เครื่องทั้งสองเชื่อมต่อกับเครือข่ายไร้สายเดียวกันและมีที่อยู่ที่กำหนดโดย DHCP จากเราเตอร์ไร้สายที่ 192.168.0.1 อย่างไรก็ตามเมื่อ VPN เริ่มต้นฉันไม่สามารถเข้าถึงอินเทอร์เน็ตจากไคลเอนต์ได้ เมื่อฉันเริ่ม OpenVPN บนเซิร์ฟเวอร์ (ด้วยตัวเลือกต่อไปนี้) ดูเหมือนว่าจะเริ่มต้นอย่างถูกต้อง port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem cipher AES-256-CBC auth SHA512 topology subnet server 10.8.0.0 255.255.255.0 push "dhcp-option DNS …

networking  vpn  iptables  openvpn  nat 

ฉันมีเครื่องลีนุกซ์กำลังทำงานอยู่ซึ่งมี IP ท้องถิ่น: 192.168.1.2 เชื่อมต่อกับเราเตอร์ที่มี IP สาธารณะ 8.8.8.8, ตอนนี้เราเตอร์ 8.8.8.8 มี DMZ ถึง 192.168.1.2 ในฐานะที่เป็นผู้ส่งอีเมลขยะผลแฮกเกอร์แครกเกอร์ชน 192.168.1.2 ทำงานโปรโตคอล H.323 หรือโปรโตคอล SIP ฉันจะใส่รายการขาวของ IP สาธารณะในเราเตอร์หรือหลังเราเตอร์เพื่อป้องกันการโจมตีดังกล่าวได้อย่างไร (เครื่อง Linux ไม่ใช่โอเพ่นซอร์สฉันไม่สามารถเข้าถึง iptables ได้)

linux  networking  router  firewall  iptables 

ฉันไม่พบวิธีทดสอบที่ได้รับการทดสอบเพื่อให้สวิตช์ฆ่าสำหรับอุโมงค์ openvpn สิ่งนี้สามารถใช้งานได้? ฉันต้องการเฉพาะการรับส่งข้อมูล LAN และไม่ใช่การเข้าถึงอินเทอร์เน็ตหาก vpn ไม่เริ่มทำงานหรือลงไป sudo iptables -A OUTPUT -o tun0 -m comment --comment "vpn" -j ACCEPT sudo iptables -A OUTPUT -o eth0 -p icmp -m comment --comment "icmp" -j ACCEPT sudo iptables -A OUTPUT -d 192.168.1.0/24 -o eth0 -m comment --comment "lan" -j ACCEPT sudo iptables …

networking  vpn  iptables  openvpn 

ฉันมีเซิร์ฟเวอร์ fedora บนเครือข่ายท้องถิ่นที่ฉันสามารถเข้าถึงผ่าน VNC ฉันพยายามติดตั้งปลั๊กอิน JIRA ที่ชื่อว่า Activity Timeline ซึ่งทั้งคู่สร้างขึ้นโดยใช้ Java เมื่อฉันเข้าสู่ VNC และดู: http://localhost:8040/setup/index ฉันสามารถดูหน้าที่ถูกต้อง อย่างไรก็ตามเมื่อฉันพยายามเข้าถึงหน้านี้จากระยะไกล: http://ourip:8040/setup/index หน้าหมดเวลา ฉันมี JIRA ทำงานบนพอร์ต 8094 ซึ่งฉันสามารถเข้าถึง: http://ourip:8094/ ฉันไม่แน่ใจว่าต้องทำอย่างไรเพื่อให้พอร์ตนี้ใช้งานได้ ฉันเห็นว่า 8040 อาจใช้งานอย่างอื่นอยู่แล้วฉันไม่ต้องการให้สิ่งนี้ทำงานบนพอร์ตนี้อีกต่อไป $grep -w 8040 /etc/services ampify 8040/tcp # Ampify Messaging Protocol ampify 8040/udp # Ampify Messaging Protocol $ netstat -tulpn | grep …

apache-http-server  port  port-forwarding  iptables  jira 

ฉันใช้เดเบียน 9 กับ VPS ที่เช่า ในแล็ปท็อปของฉันฉันใช้การส่งต่อพอร์ตแบบไดนามิก ssh (โดยใช้โปรโตคอล SOCKS) เพื่อติดตามปริมาณการใช้งานของบางแอปพลิเคชัน ทุกอย่างทำงานได้ดี แต่เมื่อฉันโหลดกฎ iptables บนเซิร์ฟเวอร์ (VPS) แอปพลิเคชันใด ๆ บนแล็ปท็อปของฉันที่ใช้การส่งต่อพอร์ตในเครื่องไม่ทำงาน นี่คือคำสั่งที่ฉันใช้เพื่อส่งต่อพอร์ตโลคัล 8080 ของแล็ปท็อป (เดเบียน 8) ไปยัง VPS ของฉัน: ssh -D 8080 -N username@30.123.234.6 คำสั่งด้านบนเริ่มส่งคืนข้อผิดพลาดดังนี้: channel 7: open failed: connect failed: Connection timed out channel 8: open failed: connect failed: Connection timed out …

ssh  iptables  socks-proxy 

การใช้ VPN เพื่อความเป็นส่วนตัวและความปลอดภัยบนเครื่อง Unix มีเว็บไซต์ไม่กี่แห่งที่ฉันสามารถเข้าถึงได้ผ่าน IP ที่อยู่ในรายการที่อนุญาตพิเศษสำหรับการทำงาน มีวิธีการปิด VPN โดยอัตโนมัติของฉัน (หรือการรับส่งข้อมูลเส้นทางโดยใช้ IP คงที่ของฉัน) เมื่อเข้าถึงเว็บไซต์บางเว็บไซต์ หวังว่าจะทำสิ่งนี้นอกการตั้งค่าแอปพลิเคชันและในไฟล์กำหนดค่า

networking  vpn  unix  routing  iptables 

บนเครือข่ายในบ้านของฉัน (192.168.1.0/24) ฉันพยายามใช้iptablesโคลนการรับส่งข้อมูล TCP / UDP wifi ไปยัง / จาก Xbox One ของฉันไปยังเดสก์ท็อป Windows 10 ของฉันอย่างเงียบ ๆ เพื่อการส่งแพ็คเก็ตผ่าน Wireshark เนื่องจากข้อ จำกัด ด้านตำแหน่งการ จำกัด การเชื่อมต่ออีเธอร์เน็ตฉันพยายามทำผ่านจุดเชื่อมต่อไร้สายสองจุดที่ใช้เครือข่ายเดียวโดยที่พอร์ต LAN ของพวกเขาเป็นเพียงการเชื่อมต่ออีเทอร์เน็ตในการตั้งค่า: |<--[Ethernet To Cable Modem] | \ \ \ | \ \ \ | \ \ \ | _________________________ \ \ \ └--| NETGEAR R6260 …

networking  router  wireless-router  iptables  sniffing 

ฉันพยายามที่จะทำให้เคาน์เตอร์ 0 สำหรับห่วงโซ่ IP ที่เฉพาะเจาะจงนี่คือคำสั่งที่ฉันใช้ iptables --zero mychain นี่เป็นคำสั่งอย่างเป็นทางการในMAN หน้า แต่นี่ไม่ได้ทำให้ตัวนับศูนย์ ฉันใช้ Centos-7 3.10.0-693.5.2.el7.x86_64 แก้ไข: (หลังจากความคิดเห็นของ vera) iptables --zero mychain -L เอาท์พุท: Chain mychain (3 references) target prot opt source destination ACCEPT all -- anywhere anywhere quota: 7340032000 bytes DROP all -- anywhere anywhere

centos  iptables  centos-7 

ทุกคนได้โปรดชี้ให้ฉันเห็นว่าสมมติว่าความต้องการเซิร์ฟเวอร์ (Ubuntu 12.04) ที่กำหนดนั้นเป็นเพียง SSH, NTP (ไคลเอนต์), HTTP (S) และการอัปเดตระบบ ( apt-getหรือaptitude) กฎชุดต่อไปนี้เป็นสิ่งที่ดี ? ความคิดของฉันคือการลดทราฟฟิกทั้งหมดโดยค่าเริ่มต้นและเปิดเฉพาะพอร์ตที่จำเป็นในสถานะและอินเทอร์เฟซที่จำเป็น ... *filter #------------------------------------------------------------------------------ # Defaults #------------------------------------------------------------------------------ -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP #------------------------------------------------------------------------------ # Loopback #------------------------------------------------------------------------------ -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #------------------------------------------------------------------------------ # SSH #------------------------------------------------------------------------------ …

ubuntu  security  iptables 

ฉันมีกฎสามข้อต่อไปนี้ในไฟร์วอลล์ iptables ของฉัน -A PREROUTING -i eth0 -p tcp -m tcp --dport 12346 -j DNAT --to-destination 11.207.2.4:12350 -A PREROUTING -i eth0 -p tcp -m tcp --dport 12348 -j DNAT --to-destination 11.207.1.3:80 -A PREROUTING -i eth0 -p tcp -m tcp --dport 12347 -j DNAT --to-destination 11.207.1.2:80 งานที่ 1 และ 3 ตามที่คาดไว้ …

linux  firewall  iptables  tcp 

ฉันมีหลายเครื่องที่มีอินเตอร์เฟสเครือข่ายจำนวนหนึ่ง: eth0: LAN ท้องถิ่น eth1: บางครั้งใช้สำหรับการเชื่อมต่อกับอินเทอร์เน็ตเกตเวย์ ppp0: โมเด็มอัปลิงค์เป็นทางเลือกแทน eth1 tun0: อุโมงค์ OpenVPN ฉันต้องการเปิดใช้งานtun0เพื่อเข้าถึง LAN ในพื้นที่eth0ซึ่งทำได้ง่ายด้วย: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 >/proc/sys/net/ipv4/ip_forward แต่ฉันจะไม่อนุญาตให้แพ็คเก็ตมาจากeth1หรือppp0ที่จะถูกส่งไปยัง eth0 และแทนที่จะเพียงอนุญาตให้tun0ใช้เครื่องเป็นประตูหรือไม่? ฉันจำเป็นต้องทำเครื่องหมายแพ็กเก็ตเหล่านี้โดยใช้กฎ iptable บางอย่างเพื่อให้สามารถ จำกัด กฎ MASQUERADE ให้เป็นแพ็คเก็ตเหล่านี้เท่านั้นหรือไม่ ตัวอย่างการกำหนดค่า iptables ชื่นชมอย่างมาก Debian Linux 6 บน i386; eth0เครือข่ายย่อยที่แตกต่างกันไปขึ้นอยู่กับเครื่อง

linux  networking  routing  iptables