Questions tagged «iptables»

我试图弄清楚如何跟踪来自Docker容器的带宽。 通常，我--uid-owner用作标记来跟踪给定用户的带宽使用情况。但是，即使当我运行所有进程时，docker容器内的用户--uid-owner也无法正常工作。--uid-owner我没有使用，而是尝试仅跟踪来自docker创建的虚拟以太网设备的所有数据包。 但是，这最终也无济于事：无论我如何尝试，都不会捕获任何数据包。 出于绝望，我试图将规则放在所有链条中，但都没有结果。 Chain PREROUTING (policy ACCEPT 3041 packets, 7849454 bytes) num pkts bytes target prot opt in out source destination 1 0 0 MARK tcp -- veth5a36 any anywhere anywhere MARK set 0x1 Chain INPUT (policy ACCEPT 273 packets, 23305 bytes) num pkts bytes target prot opt in …

13 iptables  bandwidth  docker 

我正在使用配置Linux路由器iptables。我想为断言这样的配置编写验收测试： 互联网上某人的流量不会转发，并且 从公司LAN上的主机转发到DMZ中Web服务器上端口80的TCP。 古老的FAQ暗示了一个iptables -C选项，该选项允许人们询问诸如“从X到Z端口的Y的数据包，它会被接受还是丢弃？”。尽管FAQ暗示它的工作原理是这样的，iptables但对于（但可能不如ipchains示例中所使用的那样），该-C选项似乎不是模拟运行所有规则的测试数据包，而是检查是否存在完全匹配的规则。作为测试，这没有什么价值。我想断言规则具有预期的效果，而不仅仅是它们的存在。 我考虑过创建更多的测试VM和虚拟网络，然后使用诸如nmap效果之类的工具进行探测。但是，由于创建所有这些其他虚拟机非常复杂，因此我避免使用此解决方案，这实际上是生成某些测试流量的一种繁重的方法。拥有一种自动测试方法也可以在生产中的真实服务器上运行也很好。 我还能怎么解决这个问题？我是否可以使用某种机制来生成或模拟任意流量，然后知道它是否被（或将被）丢弃或接受iptables？

13 iptables  automated-testing 

除了被列入白名单的几个站点之外，我的网络已完全锁定。这都是通过iptables完成的，看起来像这样： # Allow traffic to google.com iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j …

13 domain-name-system  iptables  firewall  ip-address  hostname 

我正在转换旧的基于IPV4的iptables防火墙脚本，并希望将CLASS A / B / C / D / E保留的地址空间替换为IPV6中的地址空间。我的目标是拒绝源自这些地址的任何数据包，因为这些数据包无法到达公共网络，因此必须进行欺骗。 到目前为止，我已经找到了这些，是否还有更多的保留空间，无法向IPV6 Web服务器发送任何数据？ 回送:: 1 全球单播（当前）2000 :: / 3 唯一本地单播FC00 :: / 7 链接本地单播FE80 :: / 10 组播FF00 :: / 8

13 networking  iptables  ipv6 

我已经在许多站点上阅读了如何使用iptables在Linux中将一个端口重新路由到另一个端口。例如，将端口80重新路由到8080看起来像这样... iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080 我担心的是，如果我改变主意怎么办？我还没有读过任何提供纠正它语法的内容。我以为有一种（简单的？）方法，但是我在Linux上太新了，无法直观地弄清楚如何在不重新安装OS的情况下将端口80恢复为其原始行为。

13 linux  iptables 

设置iptables时，可以命名将使用端口22的端口ssh。是否有所有已命名端口的列表？具体来说，我需要ssh，http，https和mysql。

13 linux  firewall  iptables 

今天，我在主机系统上的iptables 停止工作了，我不知道发生了什么！（这很糟糕，我知道） 所有命令均以root用户身份执行。 如果我运行，$ iptables -t nat -L则会收到以下错误消息： $ iptables -t nat -L iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 没有更多可用的更新。我还使用多个较旧的内核重新启动了服务器，但始终收到相同的错误消息。 我的服务器在CentOS上运行，带有最新版本的官方OpenVZ内核。 $ uname -r 2.6.32-042stab088.4 还测试了内核版本：2.6.32-042stab85.20和2.6.32-042stab084.26 grub.conf中的第一个内核： title OpenVZ (2.6.32-042stab088.4) root …

13 centos  iptables  nat  openvz 

我有防火墙/路由器（不做NAT）。 我用谷歌搜索，看到了矛盾的答案。似乎UDP 500是常见的一种。但其他人感到困惑。1701，4500。 有人说我还需要允许gre 50或47或50＆51。 好的，哪些端口适合IPSec / L2TP在没有NAT的路由环境中工作？即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。 也许这里的一个好答案是指定针对不同情况打开哪些端口。我认为这对许多人都是有用的。

13 linux  iptables  firewall  ipsec  l2tp 

之间有什么区别： iptables ... -m state --state NEW 和 iptables ... --syn 第一个应该选择NEW连接，但是AFAIK新连接是通过发送TCP syn标志建立的。另一个意味着-具有syn标志的数据包。 当上述命令返回不同的结果时，您能举一些实际的例子吗？

13 linux  iptables 

iptables的似乎并不承认--dport有-p all。 iptables -A INPUT -p all --dport www -j ACCEPT 产量： iptables v1.4.4: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. --destination-port doesn't work either: iptables v1.4.4: unknown option `--destination-port' 为-p tcp和添加两个单独的规则-p udp很好用，为什么它不起作用-p all？ 万一有问题，这是在具有iptables软件包版本1.4.4-2ubuntu2的Ubuntu 10.04 LTS服务器上

13 ubuntu  iptables 

使用MySQL和fail2ban上的搜索引擎搜索Internet会在将fail2ban日志放入MySQL时产生很多结果，但是我想监视失败的MySQL尝试登录并禁止这些IP的尝试。 我的应用程序要求我为MySQL打开一个端口，尽管我已更改默认端口以增强安全性。但是为了获得额外的安全性，我想使用fail2ban监视MySQL日志。 有没有人为MySQL配置fail2ban的快速指南？我已经安装了它，并且可以在其他几个服务上使用，因此您可以跳过安装部分，而直接跳到配置配置文件或任何其他必要的东西。

13 mysql  security  iptables  fail2ban 

RHEL7 / CentOS7具有一项新的firewalld防火墙服务，该服务取代了iptables service（两者均使用iptables工具与下面的内核Netfilter进行交互）。 firewalld可以很容易地进行调整，以阻止传入流量，但是正如1. 5年前的Thomas Woerner所指出的那样， “目前无法通过简单的方法限制防火墙的传出流量”。据我所知，此后情况没有改变。还是有？有什么方法可以阻止传出流量firewalld吗？如果没有，除了通过iptables工具手动添加规则外，是否还有其他“标准”方式（在RHEL7发行版上）阻止传出流量？

12 linux  centos  iptables  redhat  firewalld 

最近有人问我，对此我无能为力。我知道这是一个开放式问题，但是您可以在表/链中安装的规则数量是否有限制？如果是这样，我如何找到它？我猜这会因机器而异。

12 iptables 

当我输入类似的内容时sudo apt-get install firefox，一切正常，直到询问我： After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y 然后显示错误消息： Failed to fetch: <URL> 我的iptables规则如下： -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT …

12 security  iptables  firewall 

我有一个带有路由器的小型网络，该路由器可维护与Internet，服务器和本地网络中某些工作站的连接。 可以从Internet访问服务器，并且在路由器iptables中设置了多个DNAT条目，如下所示： -A PREROUTING -i ppp0 -p tcp -m multiport --dports 22,25,80,443 -j DNAT --to-destination 192.168.2.10 外部数据包通过ppp0接口到达路由器，内部数据包从接口到达br-lan，实际上包括交换机和WLAN适配器。问题是，尽管外部访问可以正常进行，但是尝试通过DNS解析的外部IP（分配给ppp0）从LAN内部访问服务器失败。 我能够发明的唯一解决方案是在/etc/hosts指向内部IP的路由器指向中添加静态条目，但是由于没有通配符（并且我至少为该系统分配了三个顶级域，所以不计算数十个子域），这非常脆弱而且容易失败。你能提出更好的建议吗？ 我只发现了这个问题，但不是很有帮助。 如果相关，路由器将运行带有dnsmasq的OpenWRT 10.03 Kamikaze。

12 linux  iptables  nat