ข้อผิดพลาดพอร์ตไปข้างหน้า iptables - ไม่มีลูกโซ่ / เป้าหมาย / การแข่งขันโดยใช้ชื่อนั้น


11

ฉันพยายามกำหนดค่า iptables บนเซิร์ฟเวอร์ Ubuntu 12.04 LTS ของฉันเพื่อส่งต่อพอร์ต 443 ถึง 8443

แต่เมื่อฉันเรียกใช้คำสั่งนี้:

sudo iptables -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

ฉันได้รับข้อผิดพลาดต่อไปนี้:

iptables: No chain/target/match by that name.

การตั้งค่าปัจจุบันของฉัน iptables:

$ sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
DROP       tcp  --  anywhere             anywhere             tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

ฉันทำอะไรผิดพลาดหรือทำผิด

คำตอบ:


18

เนื่องจากPREROUTINGเชนเป็นของNATตารางไม่ใช่FILTERตาราง หากคุณไม่พูดถึงตารางใด ๆ อย่างชัดเจนโดย-tตัวเลือกFILTERจะถือว่า

ดังนั้นคุณต้องพูดถึงประเภทของตารางด้วย-t nat:

sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

โปรดทราบว่าMANGLEและRAWตารางยังมีPREROUTINGเชนด้วย แต่เมื่อคุณเปลี่ยนเส้นทางพอร์ตเท่านั้นคุณอาจมองหาNATตาราง


มันยังทำให้ฉันมีข้อผิดพลาดเดียวกัน คำตอบนี้ยังคงใช้ได้หรือไม่?
piepi

@piepi ใช่ ควรถูกต้อง บางทีคุณควรถามคำถามใหม่กับปัญหาของคุณอย่างละเอียด
heemayl

การอัปโหลดและคุณอาจตอบคำถามที่คล้ายกันนี้: askubuntu.com/questions/1140644/…
WinEunuuchs2Unix

3

โซ่ PREROUTING นั้นใช้ได้เฉพาะกับโต๊ะไม้นัทไม้และไม้ดิบ
iptables ถือว่าตารางตัวกรองดังนั้นคุณต้องระบุหนึ่งในสิ่งเหล่านี้เช่นiptables -t nat ...


3

ฉันได้รับข้อผิดพลาดที่คล้ายกันเมื่อฉันเรียกใช้คำสั่งนักเทียบท่า

docker run -d -p 8084:8080 knockdata/zeppelin-highcharts


d9c5d34f500d621585470b0e70b915395fcb6b3437859e0f610dbb58d51faf25
docker: Error response from daemon: driver failed programming external connectivity on endpoint elegant_jang  
(7ca0f5ad689f5443ce7533f66b4a86c34d2dbd9d076bac4812288dd3f6a76698):  
iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8084 -j DNAT --to-destination 172.17.0.2:8080 
! -i docker0: iptables: No chain/target/match by that name.
(exit status 1).

ฉันสามารถแก้ไขได้โดยติดตั้ง docker-engine อีกครั้ง

apt-get remove docker-engine
apt-get install docker-engine

0

คุณสามารถติดตั้ง(กำหนดค่าความปลอดภัยเซิร์ฟเวอร์ & ไฟร์วอลล์)และใช้การตั้งค่าต่อไปนี้

nano /etc/csf/csf.conf
SYNFLOOD = "" => SYNFLOOD = "1"
CONNLIMIT = "" => CONNLIMIT = "80;75,443;75,21;50”
PORTFLOOD = "" => PORTFLOOD = "80;tcp;5;250"
SYSLOG = “0” => SYSLOG = "1"
DOCKER = “0” => DOCKER = "1"

nano /etc/csf/csfpost.sh

#!/bin/sh

echo "[DOCKER] Setting up FW rules."

iptables -N DOCKER

iptables -t nat -N DOCKER

iptables -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

iptables -t nat -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER

# Masquerade outbound connections from containers
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

# Accept established connections to the docker containers
iptables -t filter -N DOCKER
iptables -t filter -A FORWARD -o docker0 -j DOCKER
iptables -t filter -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j 
ACCEPT

# Allow docker containers to communicate with themselves & outside world
iptables -t filter -A FORWARD -i docker0 ! -o docker0 -j ACCEPT
iptables -t filter -A FORWARD -i docker0 -o docker0 -j ACCEPT

echo "[DOCKER] Done."

หมายเหตุ: การกำหนดค่านี้จะป้องกันคุณจากการโจมตี DDOS พื้นฐาน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.