Questions tagged «iptables»

我正在安装新的centos 5.4服务器，我想为mu iptables设置一套干净的规则来启动。 一开始的好规则是什么？ 这是一个好的起点吗？ # Allow outgoing traffic and disallow any passthroughs iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Allow traffic already established to continue iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow ssh, ftp and web services iptables -A …

12 iptables 

在我的debian 5.0服务器上，我设置了一些iptables规则，如下所示： ACCEPT tcp -- eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80 DROP tcp -- 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80 aaa.bbb.ccc.ddd是我的服务器的IP地址，而eee.fff.ggg.hhh是另一台服务器，这是唯一允许访问该端口的服务器。我注意到服务器上有inet6 addr设置，netstat也显示apache2正在监听tcp6地址： tcp6 0 0 :::80 :::* LISTEN ipv6地址是否需要单独的iptables规则？如果是这样，我该怎么办？我对ipv6一无所知。谢谢！我必须这样做吗？如果我不使用ip6tables，有人会绕过iptable规则并通过ipv6地址连接到我的：80端口吗？

12 linux  firewall  iptables  ipv6 

在Ubuntu 14.04 Server上运行。 因此，我已正确配置了fail2ban以处理/var/log/auth.logSSH登录尝试。 尝试3次失败后，我会在fail2ban日志中看到以下内容： 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L 显示此链： Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere 但是从该IP，我仍然可以通过SSH登录而没有任何问题。 同样的故事适用于我所有的fail2ban监狱。以Apache为例，我可以看到fail2ban正确检测到该日志并声称它禁止了IP。IP最终在iptables链中，但是IP实际上并未被拒绝。 在这些情况下，我的感觉是因为SSH不在标准端口上。它在另一个端口上。 因此，如果我强制ssh jail规则使用新端口： [ssh] enabled = true port = 32323 filter = …

12 ubuntu  iptables  fail2ban 

我有两个问题。 问题1：我的debian机器的eth3接口的IP地址为192.168.57.28。如果有人尝试连接到192.168.57.28:1234，如何将请求重定向到另一台计算机：192.168.57.25:80？ 问题2：如果我的debian机器有两个接口：eth3（带有192.168.57.28）和ppp0（带有一些动态IP），并且有人尝试通过端口1234上的ppp0连接，如何将请求重定向到192.168.57.25:80？ 我已经试过了： $ iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 192.168.57.25:80 $ echo 1 > /proc/sys/net/ipv4/ip_forward 但这不起作用。

12 debian  iptables  point-to-point-protocol 

我希望我的iptables规则在启动时自动加载。根据Debian上的Wiki，这可以通过在/etc/network/if-pre-up.d/中放置一个名为iptables的脚本来完成。 cat /etc/network/if-pre-up.d/iptables #!/bin/sh /sbin/iptables-restore < /etc/firewall/iptables.rules /sbin/ip6tables-restore < /etc/firewall/ip6tables.rules 该脚本有效：如果我以root用户身份运行，则应用防火墙规则。但是在重新启动时，没有防火墙规则。我究竟做错了什么？ 根据要求：/ etc / network / interfaces（我没有触摸此文件） user@DebianVPS:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface …

12 networking  debian  iptables 

我的防火墙上有许多iptables规则，如下所示： iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT 每个地址都有两条规则的捷径吗？一条规则用于tcp，一条规则用于udp？我的意思是我可以做这样的事情： iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT

12 iptables  firewall  tcp  udp 

与默认策略相比，丢弃不匹配的数据包与-j DROP最终有何区别？ 喜欢： iptables -P INPUT DROP iptables -A INPUT --dport 80 -j ACCEPT 与 iptables -A INPUT --dport 80 -j ACCEPT iptables -A INPUT -j DROP 我之所以在意，是因为我无法使用日志创建链并将其作为默认策略，因此我需要使用第二个示例。

12 linux  iptables 

tldr：如何让iptables只显示一个链？ 我可以让iptables只显示一个表，但是一个表包含多个链。我需要找到INPUT在链中的最后一条规则（通常但并非总是REJECT all规则）。 我已经尝试过awk，甚至尝试过一些grep，但是我在这些方面的技能必定会下降。我尝试使用awk仅获得一个段落，但这似乎不适用于输出，iptables --line-numbers -n -L -t filter也许是因为这些空白行并不是真的空白。 我正在寻找可以在CentOS 6最低环境中安装的任何普通gnu工具的解决方案。

12 iptables  firewall  awk 

我已经在本地网关上通过NFQUEUE安装了snort，并通过NFQUEUE以串联模式运行（因为我可以走进隔壁的房间并触摸它）。我的规则如下/etc/snort/rules/snort.rules： alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) 此规则与某些DLink路由器中的后门有关。我选择此规则是因为它看起来很容易测试。规则本身是由新兴威胁中的pullpork添加的，因此我认为规则语法是正确的。 为了进行测试，我在面向互联网的端口80上配置了lighttpd网关，并确认该网关可访问。然后，在远程计算机上，运行命令curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。这会立即将响应从lighttpd打印到控制台并退出。网关上不会生成任何Snort警报。 另外，netfilter似乎仅利用了我运行的四个snort进程中的两个。我可以看到这一点，htop因为使用bittorrent测试时，CPU 1和2上的snort进程负担很重...但是CPU 0和3上的snort进程仍然完全空闲。 我的测试方法错误吗？还是snort不应该在什么时候发出警报（即由于配置错误）？我在哪里可以看到为什么netfilter无法在所有四个队列之间平衡流量？ 组态 我的Snort / Netfilter配置 我的netfilter链的特定相关部分是： Chain wan-fw (1 references) pkts bytes target prot …

11 iptables  snort  ips 

假设在同一网络上存在两个网关。如果我理解正确，那么发送方计算机上的IP路由表将决定通过哪个网关路由哪些数据包。 IP路由表包含网关的IP地址。 发送IP数据包时如何使用网关的IP地址？

11 iptables  ip-routing 

我在开发服务器上安装了最低版本的CentOS 7，以使用kvm / qemu虚拟化一些linux guest虚拟机。 要使用iptables代替firewalld我安装iptables-service并执行： systemctl stop firewalld systemctl mask firewalld systemctl enable iptables systemctl start iptables SELinux已通过编辑禁用/etc/sysconfig/selinux。 我对iptables的规则如下： iptables -Z iptables -F iptables -X iptables -t nat -Z iptables -t nat -F iptables -t nat -X iptables -t nat -A POSTROUTING -o enp6s0 -j MASQUERADE iptables -A FORWARD …

11 linux  centos  iptables 

我开始使用RHEL7，并了解一些有关systemd的更改。 有没有一种方法可以/sbin/service iptables save在firewalld中执行？ $ /sbin/service iptables save The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. 我可以从文档中找到最接近的并行度是--reload： Reload the firewall without loosing state information: $ firewall-cmd --reload 但是它没有明确说明是否保存。

11 iptables  systemd  firewalld  rhel7 

我想为每个ip丢弃200多个请求，以防止ddos攻击。这是我用来检测每个IP请求计数的命令： netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr 现在我想将发出200多个请求的所有IP地址添加到IPtables中，以输入DROP并输出。

11 networking  security  iptables  command-line-interface 

有什么方法可以在不修改实际防火墙配置的情况下测试/检查iptables规则脚本的语法（我认为添加和删除每个规则并不是最好的方法...）。 我知道-C选项，但是它不检查链之类的选项，并且它的返回码有些棘手，因为1并不总是意味着语法正确。 谢谢！

11 iptables 

我正在尝试使用IPtables的TRACE目标，但似乎无法记录任何跟踪信息。我想使用这里描述的内容： iptables的调试器。 来自TRACE的iptables男子： This target marks packes so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules. (The ipt_LOG or ip6t_LOG module is required for the logging.) The packets are logged with the string prefix: "TRACE: tablename:chain- name:type:rulenum " where type …

11 linux  debian  iptables  logging  log-files