คำถามติดแท็ก iptables

มีวิธีดูiptablesกฎในรายละเอียดอีกเล็กน้อยหรือไม่ ฉันเพิ่งเพิ่มมาสเคอเรดในช่วงของ IP: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save service iptables restart ซึ่งได้ทำสิ่งที่ฉันต้องการ แต่เมื่อฉันใช้: iptables -L ฉันได้รับผลลัพธ์เดียวกันตามปกติ: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt …

144 iptables 

ฉันกำลังอ่านวิธีนี้และมีบางอย่างเช่นนี้: เราสามารถอนุญาตให้เซสชันที่กำหนดไว้รับการรับส่งข้อมูล: $ sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT กฎข้างต้นไม่มีช่องว่างทั้งสองข้างของเครื่องหมายจุลภาคใน ESTABLISHED ที่เกี่ยวข้อง หากบรรทัดด้านบนใช้งานไม่ได้คุณอาจใช้ VPS ที่มีผู้ให้บริการซึ่งไม่ได้ให้บริการส่วนขยายซึ่งในกรณีนี้สามารถใช้เวอร์ชันที่ต่ำกว่าเป็นทางเลือกสุดท้าย: $ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT มีความแตกต่างอย่างมีนัยสำคัญในการทำงานระหว่าง-m conntrack --ctstateและ-m state --state? พวกเขาบอกว่าอาจไม่ทำงาน แต่พวกเขาไม่พูดว่าทำไม ทำไมฉันถึงต้องเลือกอันหนึ่งมากกว่าอีกอัน?

85 iptables 

เป็นไปได้หรือไม่ที่จะบล็อกการเข้าถึงเครือข่าย (ขาออก) ของกระบวนการเดียว?

74 linux  networking  process  iptables 

ฉันมีระบบที่มีสองอินเตอร์เฟส อินเทอร์เฟซทั้งสองเชื่อมต่อกับอินเทอร์เน็ต หนึ่งในนั้นถูกตั้งค่าเป็นเส้นทางเริ่มต้น ผลข้างเคียงของสิ่งนี้คือถ้าแพ็กเก็ตเข้ามาในอินเตอร์เฟสที่ไม่ใช่ค่าดีฟอลต์เส้นทางการตอบกลับจะถูกส่งกลับผ่านอินเตอร์เฟสเส้นทางเริ่มต้น มีวิธีใช้ iptables (หรืออย่างอื่น) เพื่อติดตามการเชื่อมต่อและส่งการตอบกลับผ่านอินเทอร์เฟซที่มาจากหรือไม่

50 linux  iptables  routing 

ฉันเพิ่มกฎนี้: sudo iptables -t nat -A OUTPUT -d a.b.c.d -p tcp \ --dport 1723 -j DNAT --to-destination a.b.c.d:10000 เมื่อรีสตาร์ทกฎคอมพิวเตอร์จะถูกลบ ทำไม? ฉันจะทำอย่างไรเพื่อให้กฎยังคงมีอยู่

48 debian  boot  iptables 

นี่คือของฉัน/etc/sysconfig/iptables: มันมีสองพอร์ตเปิด 80 apache และ 22 สำหรับ ssh # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i …

42 ssh  security  iptables 

ฉันมีบริการที่ทำงานบน 127.0.0.1 ด้วยพอร์ต 2222 ฉันต้องส่งต่อคำขอทั้งหมดไปที่ 192.168.2.2:2222 (นอก IP) จากซับเน็ตเท่านั้น 192.168.1.0/24 ถึง 127.0.0.1:2222 ฉันพยายามใช้สิ่งนี้ แต่มันไม่ทำงาน $ iptables -t nat -I PREROUTING -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222 ฉันจะทำให้เรื่องนี้ทำงานได้อย่างไร UPD: แก้ไขรูปแบบที่อยู่

41 iptables  port-forwarding  network-interface 

ฉันกำลังสแกนเซิร์ฟเวอร์ซึ่งควรมีไฟร์วอลล์ที่ค่อนข้างง่ายโดยใช้iptables : โดยปกติทุกอย่างจะ DROPped นอกเหนือจากRELATEDและESTABLISHEDแพ็กเก็ต NEWแพ็กเก็ตประเภทเดียวที่ใช้ได้คือแพ็กเก็ต TCP บนพอร์ต 22 และ 80 เท่านั้น (ไม่ใช่ HTTPS บนเซิร์ฟเวอร์นั้น) ผลลัพธ์ของnmapบนพอร์ต 2048 แรกให้ 22 และ 80 เป็นเปิดตามที่ฉันคาดไว้ อย่างไรก็ตามบางพอร์ตจะปรากฏเป็น "กรอง" คำถามของฉันคือ: เหตุใดพอร์ต 21, 25 และ 1863 จึงปรากฏเป็น "ตัวกรอง" และพอร์ตอื่น ๆ 2043 ไม่ปรากฏเป็นตัวกรอง ฉันคาดว่าจะเห็นเพียง 22 และ 80 ว่า "เปิด" หากเป็นเรื่องปกติที่จะเห็น 21,25 และ 1863 ว่าเป็น "ตัวกรอง" แล้วเหตุใดพอร์ตอื่น ๆ …

38 iptables  nmap 

ฉันสับสนว่าอะไรคือความแตกต่างที่แท้จริงระหว่าง SNAT และ Masquerade หากฉันต้องการแบ่งปันการเชื่อมต่ออินเทอร์เน็ตของฉันบนเครือข่ายท้องถิ่นฉันควรเลือก SNAT หรือ Masquerade หรือไม่?

38 iptables  firewall 

เรามีเซิร์ฟเวอร์ Ubuntu 12.04 ที่มี httpd บนพอร์ต 80 และเราต้องการ จำกัด : การเชื่อมต่อสูงสุดต่อที่อยู่ IP ไปยัง httpd ถึง 10 การเชื่อมต่อใหม่สูงสุดต่อวินาทีถึง httpd ถึง 150 เราจะทำสิ่งนี้กับ iptables ได้อย่างไร

37 iptables  limit 

ฉันได้อ่านเอกสาร iptables redhat แต่ไม่สามารถหาสิ่งที่บรรทัดต่อไปนี้ทำ: ... -j REJECT **--reject-with icmp-host-prohibited** ... -j REJECT **--reject-with icmp-host-prohibited**

35 linux  networking  iptables  icmp 

ฉันเจอไฟล์กำหนดค่าต่อไปนี้: # Generated by iptables-save v1.3.1 on Sun Apr 23 06:19:53 2006 *filter :INPUT ACCEPT [368:102354] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [92952:20764374] -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT …

34 iptables 

มีตัวอย่างของกฎ iptables ใน archlinux wiki: # Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack …

33 iptables  ip  firewall  tcp  udp 

ฉันต้องการอนุญาตการรับส่งข้อมูล FTP ที่เข้ามา CentOS 5.4: นี่คือ/etc/sysconfig/iptablesไฟล์ของฉัน # Generated by iptables-save v1.3.5 on Thu Oct 3 21:23:07 2013 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [133:14837] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT -A INPUT -j …

32 iptables  ftp  vsftpd  file-transfer 

ฉันมีระบบที่มาพร้อมกับไฟร์วอลล์แล้ว ไฟร์วอลล์ประกอบด้วยกฎ iptables มากกว่า 1,000 กฎ หนึ่งในกฎเหล่านี้คือการทิ้งแพ็กเก็ตที่ฉันไม่ต้องการให้ทิ้ง (ฉันรู้สิ่งนี้เพราะฉันiptables-saveตามมาด้วยiptables -Fและแอปพลิเคชันเริ่มทำงาน) มีกฎมากเกินไปในการเรียงลำดับด้วยตนเอง ฉันสามารถทำบางสิ่งบางอย่างเพื่อแสดงให้ฉันเห็นกฎข้อใดที่วางแพ็กเก็ตได้หรือไม่?

31 iptables  firewall