Questions tagged «iptables»

背景技术长期以来，我们的防火墙一直存在问题，有时防火墙会将HTTP请求的部分挂起挂起，直到TCP超时为止。 在防火墙上跟踪流量之后，我注意到它仅在某些定时条件下发生，例如，当Web服务器在客户端已在有效负载上发送其第二个ACK之前发送了整个响应时。[SYN，SYN / ACK，ACK]已被交换，REQUEST已发送并被ACK'，并且第一个RESPONSE数据包已被接收并ACK'，然后网络服务器将其余的响应主体发送到一个镜头中（8个数据包）包括最后一个FIN，PSH），并且在客户端对其中任何一个进行确认之前，带有RST的Firewall REJECTS指向Web服务器，并保持客户端无限挂起。 这是整个wireshark跟踪以及来自防火墙双方的数据包。192.168.126.161是客户端的专用NAT'et IP地址。172.16.1.2是Web服务器IP（未显示真实的公共IP），而10.1.1.1是防火墙外部IP（未显示真实的公共IP） 2105 0.086275 192.168.126.161 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2106 0.000066 10.1.1.1 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2107 0.002643 172.16.1.2 10.1.1.1 TCP http > 37854 [SYN, ACK] Seq=0 …

20 firewall  iptables  ubuntu-8.04 

我需要将机器配置为仅允许往返serverfault.com的HTTP通信。所有其他网站，服务端口均不可访问。我想出了这些iptables规则： #drop everything iptables -P INPUT DROP iptables -P OUTPUT DROP #Now, allow connection to website serverfault.com on port 80 iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT #allow loopback iptables -I INPUT 1 -i lo -j ACCEPT …

20 domain-name-system  iptables  loopback 

我正在努力iptables遵守一些规则。我是的新手iptables。我找到了一些资源，在这些资源中可以找到与相关的以下命令iptables。这存储在将要执行的文件中。 [0:0] -A PREROUTING -s 10.1.0.0/24 -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.1.0.6:3128 谁能解释[0：0]是什么意思？另外，iptables欢迎与此相关的一些链接。 提前致谢！ PS：如果您需要更多规则，请告诉我。

20 iptables 

我的系统管理员给了我一个带有iptables规则的文件。我要输入什么命令来加载它？ 我看过他做过，他在一排里就做过！诸如... iptables> thefile.dat之类的东西？

20 iptables 

我的目标是将对Docker容器的访问限制为仅几个公共IP地址。是否有一个简单，可重复的过程来实现我的目标？在使用Docker的默认选项时仅了解iptables的基础知识，我发现这非常困难。 我想运行一个容器，使其对公共Internet可见，但只允许来自选定主机的连接。我希望将默认的INPUT策略设置为REJECT，然后仅允许来自主机的连接。但是Docker的NAT规则和链妨碍了我的INPUT规则。 在以下假设的基础上，有人可以提供一个示例来说明如何实现我的目标吗？ 在eth0上托管公共IP 80.80.80.80 eth1上的主机专用IP 192.168.1.10 docker run -d -p 3306:3306 mysql 阻止从主机4.4.4.4和8.8.8.8到主机/容器3306的所有连接 我很高兴将容器仅绑定到本地ip地址，但是需要有关如何正确设置iptables转发规则的说明，这些规则可以在docker进程和主机重启后继续存在。 谢谢！

20 iptables  docker 

我知道iptables。我知道UFW。我过去一直在使用ufw，只是因为它更易于设置和使用。 然而，一个应该我是使用？iptables更安全吗？ufw更稳定吗？ 我不知道，所以我为什么要在这里问。

19 ubuntu  iptables  ufw 

定义规则时，命令iptables不再识别最常用的选项之一：--dport。 我收到此错误： [root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. 上面的add rule命令只是启用Terraria连接的示例。 这是我目前作为准系统iptables配置（listiptables别名为iptables -L -v --line-numbers）所具有的，并且很明显--dport在过去有效： root@dragonweyr /home/calyodelphi]# listiptables Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out …

19 linux  networking  iptables  firewall 

我无法从Docker容器访问主机专用接口（ip）。我相当确定它与我的Iptables规则（或路由）有关。当我将--net=host标志添加到时docker run，一切都会按预期进行。同样，当我指定INPUT策略遵循Liberal时-P INPUT ACCEPT，事情也会按我期望的那样工作。但是，这些都是我要避免的不理想和不安全的选择。 由于它不特定于我的服务（DNS），因此已将其排除在问题之外，因为与docker结合进行搜索会在另一个（受欢迎的）问题区域中产生结果，从而给搜索结果增加了噪音。 另外，链接Docker容器也不是一个可行的选择，因为某些容器需要使用--net = host选项运行，从而阻止了链接，我想在可能的情况下创建一致的情况。 我有以下Iptables规则。我假设结合了CoreOS，Digital Ocean和Docker。 -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N DOCKER -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j …

18 iptables  docker 

我有这个iptable规则： -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp …

18 ubuntu  iptables 

这是一个建议的 规范问题如何了解和调试在Linux系统上的软件防火墙。 为了回应 EEAA的回答和@Shog的评论，我们需要适当的规范问答来结束有关iptables的常见相对简单问题。 有什么结构化的方法可以调试Linux软件防火墙（通常由userland接口iptables引用的netfilter数据包过滤框架）的问题？ 有哪些常见的陷阱，重复出现的问题以及一些简单的或稍微晦涩难懂的内容，以检查偶尔的防火墙管理员可能会忽略或从中受益？ 即使当您使用UFW，FirewallD（aka firewall-cmd），Shorewall或类似工具时，如果没有这些工具提供的抽象层，您也可以从内部查看而受益。 此问题并非旨在作为构建防火墙的方法：请查看产品文档，例如为iptables Trips＆Tricks贡献配方，或搜索已标记的iptables ufw Firewalld Firewall-cmd问题，以获取现有的常见且广受好评的高分问与答。

18 linux  iptables  firewall  ufw  firewalld 

iftop是查看源IP地址源IP端口和源IP地址区别的实时带宽使用情况的出色工具。 我正在使用它来查看哪个客户端的IP使用最多的带宽。现在我想将输出存储在某个地方。 iftop使用ncurses，因此 iftop > log.txt 不能按预期工作，结果文件不可读。 是否有类似这样的工具可用于将输出管道传输到文本文件？

18 linux  networking  debian  iptables  bash 

有人告诉我这是可能的，但我在Google或手册页上找不到任何内容。 我需要在一段时间内禁止IP，然后才自动将其取消禁止。

18 linux  centos  iptables 

我敢肯定这是很讨厌的，所以请原谅我。我正在尝试在Ubuntu 10.04的端口8080上运行一个node.js服务器。 这是服务器上iptables -L的结果： Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 这是nmap -p 8080的结果（编辑了ip地址，因为一切都应该或应该完全打开） nmap 173.203.xxx.xxx -p 8080 -A Starting Nmap 5.00 ( http://nmap.org ) at 2011-05-19 22:52 PDT Interesting …

18 ubuntu  iptables  port  node.js 

让我们看一下这两个iptables规则，这些规则通常用于允许传出DNS： iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 我的问题是：我应该如何确切地理解UDP中的ESTABLISHED状态？UDP是无状态的。 这是我的直觉-我想知道这是否不正确： 手册页告诉我： 州 与连接跟踪结合使用时，该模块可以访问 此数据包的连接跟踪状态。 -状态... 因此，iptables基本上会记住用于传出数据包的端口号（对于UDP数据包还能记住什么？），然后允许在短时间内发送回的第一个传入数据包？攻击者必须猜测端口号（这真的太难吗？） 关于避免冲突： 内核跟踪哪些端口被阻塞（被其他服务或先前的传出UDP数据包阻止），以便这些端口在该时间范围内不用于新的传出DNS数据包？（如果我不小心尝试在该时间范围内在该端口上启动服务，将会发生什么情况？该尝试会被拒绝/阻止吗？） 请在上面的文本中找到所有错误：-)谢谢， 克里斯

18 linux  domain-name-system  iptables  udp 

我的Centos服务器上运行了Fail2Ban。（配置如下） 在我的var / log / messages中，我发现了一些很奇怪的东西： Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 我将Fail2Ban配置为将禁用的IP添加到iptables。 我的jail.conf： [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 我的postfix.conf： [INCLUDES] before = common.conf [Definition] failregex …

17 iptables  postfix  fail2ban