คำถามติดแท็ก iptables

ฉันจะดูที่อยู่ทั้งหมดที่ sshguard บล็อกไปยัง iptables ได้อย่างไร

10 ssh  iptables 

ฉันจะกำหนดค่า/etc/syslog.confไฟล์เพื่อบันทึกข้อมูลบันทึกiptablesในไฟล์ที่ต้องการได้อย่างไร ฉันต้องการบันทึกข้อมูลเหล่านี้แยกต่างหากดังนั้นฉันสามารถแยกสิ่งที่ฉันต้องการได้อย่างง่ายดายและรวดเร็ว

10 linux  iptables  syslog 

มีฟังก์ชั่น CLI หรือ GUI ที่ฉันสามารถใช้ในการตรวจสอบการเข้าชมiptablesและดูเมื่อแพ็กเก็ตโต้ตอบiptablesหรือไม่

10 linux  iptables  gui 

ขณะนี้ฉันมีกล่อง NAS ที่ทำงานภายใต้พอร์ต 80 ในการเข้าถึง NAS จากภายนอกฉันได้แมปพอร์ต 8080 กับพอร์ต 80 บน NAS ดังต่อไปนี้: iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80 มันใช้งานได้อย่างมีเสน่ห์ อย่างไรก็ตามสิ่งนี้ใช้ได้เฉพาะเมื่อฉันเข้าถึงเว็บไซต์จากนอกเครือข่าย (ที่ทำงานที่บ้านที่แตกต่างกัน ฯลฯ ) ดังนั้นเมื่อฉันพิมพ์mywebsite.com:8080, IPTables ทำงานได้อย่างถูกต้องและทุกอย่างทำงานได้ดี ตอนนี้ปัญหาที่ฉันมีคือฉันจะเปลี่ยนเส้นทางพอร์ตนี้จากภายในเครือข่ายได้อย่างไร ชื่อโดเมนของฉันmywebsite.comชี้ไปที่เราเตอร์ของฉัน (เซิร์ฟเวอร์ linux ของฉัน) จากด้านใน (10.32.25.1) แต่ฉันต้องการเปลี่ยนเส้นทางพอร์ต 8080 ไปยังพอร์ต 80 บน 10.32.25.2 จากด้านใน เบาะแสใด ๆ …

10 linux  debian  iptables  firewall 

ฉันกำลังสร้างแอปพลิเคชั่น gui ซึ่งจะควบคุมแล็ปท็อปของฉันเพื่อให้มันทำหน้าที่เป็นฮอตสปอตไร้สาย ฉันอาจเปลี่ยนดิสทริบิวชันดังนั้นฉันต้องการค้นหาวิธีแก้ปัญหาที่ใช้งานได้กับทุกดิสทริบิวชัน ฉันกำลังทำสิ่งนี้ใน Fedora 17 การใช้ปุ่ม "ใช้เป็นฮอตสปอต" ของ NetworkManager ทำงานได้ดีมากในการสร้างฮอตสปอตแบบเฉพาะกิจ: ฉันต้องการสร้างฟังก์ชันนี้ใหม่ด้วยคำสั่งเทอร์มินัล ด้านล่างเป็นสองวิธีที่ฉันพยายามทำสิ่งนี้ แต่ฉันยังไม่พบวิธีแก้ปัญหา วิธีที่ 1: iwconfig จากการค้นคว้าจากเว็บฉันลองคำสั่งต่อไปนี้: # ifconfig wlan0 10.42.0.1 netmask 255.555.255.0 broadcast 10.42.0.255 up # iwconfig wlan0 essid my-lappy mode ad-hoc key 0123456789 # iptables-restore < saved-hotspot-iptables # echo 1 > /proc/sys/net/ipv4/ip_forward # dhclient wlan0 โดยที่saved-hotspot-iptablesเป็นไฟล์ที่ฉันสร้างขึ้นพร้อมiptables-save …

10 networking  iptables  wifi  internet  networkmanager 

สมมติว่าฉันต้องการสร้างเครือข่ายภายในที่มีเครือข่ายย่อย 4 เครือข่าย ไม่มีเราเตอร์หรือสวิตช์ส่วนกลาง ฉันมี "การจัดการเครือข่ายย่อย" พร้อมที่จะเชื่อมโยงเกตเวย์ในเครือข่ายย่อยทั้งสี่ (192.168.0.0/24) แผนภาพทั่วไปจะมีลักษณะดังนี้: 10.0.1.0/24 <-> 10.0.2.0/24 <-> 10.0.3.0/24 <-> 10.0.4.0/24 ในคำพูดฉันกำหนดค่ากล่องลินุกซ์เดียวในแต่ละเครือข่ายย่อยที่มี 2 อินเตอร์เฟสเป็น 10.0.x.1 และ 192.168.0.x ฟังก์ชั่นเหล่านี้เป็นอุปกรณ์เกตเวย์สำหรับแต่ละเครือข่ายย่อย จะมีหลายโฮสต์สำหรับ 10.x / 24 แต่ละ subnet โฮสต์อื่น ๆ จะมี 1 ส่วนต่อประสานให้ใช้งานเป็น 10.0.xx ฉันต้องการให้แต่ละโฮสต์สามารถ ping โฮสต์อื่นบน subnet อื่น ๆ คำถามของฉันคือก่อน: เป็นไปได้ และอย่างที่สองถ้าเป็นเช่นนั้นฉันต้องการความช่วยเหลือในการกำหนดค่า iptables และ / หรือเส้นทาง ฉันกำลังทดลองกับสิ่งนี้ แต่สามารถหาวิธีแก้ปัญหาที่อนุญาตให้ส่ง …

10 linux  networking  iptables  routing  subnets 

ฉันมักจะเห็นกฎที่-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTใช้ ในขณะที่ฉันไม่ใช่ผู้เชี่ยวชาญบรรทัดนั้นเกี่ยวข้องกับฉัน เห็นได้ชัดว่ากฎอนุญาตการรับส่งข้อมูลทั้งหมดโดยมีข้อยกเว้นเพียงอย่างเดียวว่าการเชื่อมต่อจะต้องมีการสร้างขึ้นหรือเกี่ยวข้องกับการเชื่อมต่อที่สร้างไว้แล้ว สถานการณ์ ฉันจะอนุญาตให้เชื่อมต่อกับพอร์ต SSH เริ่มต้น22จากเซิร์ฟเวอร์ LAN ในซับเน็ต192.168.0.0/16หรืออะไรก็ตาม SuperInsecureApp®เปิดเผยบางสิ่งบนพอร์ต1337ซึ่งฉันเพิ่มลงในINPUTห่วงโซ่ของฉัน ฉันได้เพิ่มconntrackกฎเพื่อยอมรับESTABLISHEDและRELATEDจากทุกแหล่ง นโยบายลูกโซ่คือ DROP ดังนั้นโดยทั่วไปแล้วการกำหนดค่า shoud อนุญาตให้เชื่อมต่อ SSH จาก LAN เท่านั้นในขณะที่อนุญาตการรับส่งข้อมูลขาเข้าบนพอร์ต 1337 จากโลก นี่คือที่ที่ความสับสนของฉันบาน จะconntrackในทางใดทางหนึ่งเปิดเผยข้อบกพร่องการรักษาความปลอดภัยที่จะช่วยให้หนึ่งที่จะได้รับการเชื่อมต่อที่จัดตั้งขึ้นใน 1337 (ตั้งแต่มันเปิดโลก) แล้วใช้การเชื่อมต่อที่สามารถเข้าถึงพอร์ต SSH (หรือพอร์ตอื่น ๆ สำหรับเรื่องที่)?

9 security  iptables  ip  tcp 

มีเซิร์ฟเวอร์ที่ไม่มีการป้องกันiptables :ACCEPT all.. อาจมีแอปพลิเคชันที่กำหนดเองบนเซิร์ฟเวอร์นี้ หากเราจำเป็นต้องทำให้เซิร์ฟเวอร์นี้แข็ง (ปฏิเสธทั้งหมดและอนุญาตเฉพาะสิ่งที่แอปพลิเคชันต้องการ) ด้วยกฎ iptables ที่เข้มงวดเราต้องค้นหาด้วยตนเองว่าแอปใดที่ใช้ซึ่งdst/src port/protocolแล้วเราต้องเขียนกฎ iptables สำหรับ พวกเขา .. คำถาม : มีสคริปต์ใดบ้างที่สามารถช่วยรวบรวมข้อมูลเหล่านี้จากเครื่องที่กำลังทำงานอยู่ได้? (จากบันทึกหรือไม่) - และสร้างกฎ iptables โดยอัตโนมัติหรือไม่ เหมือนมีในaudit2allow SELinuxเพียงเพื่อiptables! เครื่องไม่สามารถหยุดทำงานได้! ตัวอย่าง: สคริปต์ "MAGIC" ควรรันสัปดาห์ / เดือนบนเครื่องรวบรวมข้อมูลจากนั้นหลังจากสัปดาห์ / เดือนสคริปต์จะสามารถสร้างไฟล์กฎ iptables ที่เราสามารถใช้ได้ หลายคนอาจได้รับในสถานการณ์เช่นนี้ (วิธีทำให้เซิร์ฟเวอร์แข็งขึ้นเกี่ยวกับ iptables) และมันจะดีมากถ้ามีสคริปต์ / โซลูชันที่สามารถทำได้: \

9 linux  iptables  firewall 

ฉันมักจะเห็นว่าคนSTEALตั้งเป้าหมายในกฎ iptables มันเป็นไปได้ที่จะได้รับเป้าหมายนี้โดยการติดตั้ง (ใน Debian) และxtables-addons-common xtables-addons-dkmsผมอยากรู้ว่าทำไมคนชอบSTEALมากกว่าDROPดังนั้นฉันจะตรวจสอบด้วยตนเองแต่มีเพียงข้อมูลต่อไปนี้: STEAL Like the DROP target, but does not throw an error like DROP when used in the OUTPUT chain. ไม่มีใครรู้ว่าข้อผิดพลาดอะไร? ตัวอย่างเช่นเราสามารถใช้กฎสองข้อต่อไปนี้: -A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL และ: -A OUTPUT --protocol tcp --match …

9 iptables 

ฉันกำลังพยายามบล็อก (ช้าลง) กำลังดุร้ายโจมตีบนเซิร์ฟเวอร์ sshd ของฉัน ฉันกำลังทำตามคู่มือนี้http://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/ซึ่งโดยทั่วไปบอกว่าฉันต้องการเพียงแค่ป้อน 2 คำสั่งด้านล่าง sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP พอร์ต sshd …

9 ssh  iptables  sshd 

ฉันรันiptablesคำสั่งต่อไปนี้เพื่อสร้างกฎบัญชีดำ แต่ใช้พอร์ตผิด: iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl …

9 linux  iptables 

ฉันต้องการเรียกใช้เราเตอร์Torแบบเปิด นโยบายทางออกของฉันจะคล้ายกับReducedExitPolicy แต่ฉันต้องการทำให้เครือข่ายทอร์ใช้ทรัพยากรของฉันในทางที่ผิด กรณีที่ฉันต้องการป้องกันไม่ให้ลูกค้าทำผ่าน Tor: การตอกหนึ่งไซต์ด้วยแพ็คเก็ตจำนวนมาก อุกกาบาต aggresive ของบล็อก IP ทั้งหมด กรณีที่ฉันไม่ต้องการป้องกันไม่ให้ลูกค้าทำผ่าน Tor: อัปโหลดไฟล์ภาพ hudreds สองสามอันไปยังคลาวด์ การขุดทอร์เรนต์ คำถามของฉันคือสามารถทำสิ่งนี้ได้ทั้งหมดและอย่างไร ความคิดแรกของฉันคือไฟร์วอลล์ (Linux / iptables หรือ * BSD / ipfw / pf) - แต่นี่อาจจะไร้ประโยชน์เนื่องจากคุณสมบัติโดยธรรมชาติของเราเตอร์ Onion มีการพัฒนาทีม torproject อย่างต่อเนื่องในหัวข้อนี้หรือไม่? ฉันยังขอคำแนะนำทั่วไปเกี่ยวกับการรักษาความปลอดภัยของโหนดทางออก Tor อัปเดต (ก.ย. 2555) จากคำตอบที่เป็นประโยชน์และงานวิจัยอื่น ๆ ฉันคิดว่าไม่สามารถทำได้ วิธีที่ดีที่สุดที่คุณสามารถทำได้เพื่อหยุดยั้งผู้คนจากการใช้งานโหนดการใช้งานในทางที่ผิดใน DDOS คือการตรวจจับแพ็คเก็ตบ่อยครั้งที่ส่งไปยัง IP เดียว ขีด จำกัด …

9 linux  networking  iptables  firewall  tor 

ฉันต้องการบล็อกบางเว็บไซต์ที่ทำงานบน https เช่น facebook, twitter และ gmail ในองค์กรของฉัน Squid ไม่ควรใช้ที่นี่ตามคำสั่งจากผู้บริหารระดับสูง เราสามารถใช้แก้ให้หายยุ่งแพคเกจ Lite iptablesและ มีตัวเลือกอื่นนอกจาก Squid ทำเช่นนี้? อีกทั้งiptablesกฎบางข้อในการบล็อกทราฟฟิกประเภทนี้จะมีประโยชน์จริงๆ ฉันพบสิ่งนี้ iptables -t filter -I INPUT -m string --string facebook.com -j LOG --algo bm iptables -t filter -I INPUT -m string --string facebook.com -j REJECT --algo bm แต่ https ยังคงใช้งานได้บนเครื่องยกเว้นเครื่องโลคอล

9 iptables  filter 

ฉันมีสองอินเตอร์เฟซบน VPS ของฉันและeth0 eth0:0ฉันต้องการบล็อกแพ็กเก็ตขาเข้าบนพอร์ต 80 บนeth0:0โดยใช้ iptables ฉันลองสิ่งนี้ แต่มันไม่ทำงาน: iptables -A INPUT -i "eth0:0" -p tcp --destination-port 80 -j DROP ถ้าฉันเปลี่ยนeth0:0ไปeth0มันทำงานอย่างถูกต้อง อะไรคือปัญหา?

9 iptables  firewall 

ฉันมีโมเด็มมือถือ usb และการเชื่อมต่อ Home LAN บนกล่อง Ubuntu 10.10 ของฉัน ทั้งทำงานอย่างอิสระ ฉันต้องการทราบวิธีการเชื่อมต่อทั้งสองในเวลาเดียวกันและสามารถระบุแอปพลิเคชันที่ใช้อุปกรณ์ใดในการเชื่อมต่ออินเทอร์เน็ต ไม่มีใครรู้วิธีการทำเช่นนี้?

9 linux  networking  iptables  routing