Questions tagged «iptables»

iptables是一个模块,提供Linux操作系统的防火墙,NAT和通过计算机网络传输的数据记录功能。

1
如何为家用路由器配置iptables?
我正在将Raspberry PI设置为家庭路由器,下面是我当前的iptables脚本。路由器也有 代理人, 桑巴, CUPS, BIND9, 一个WLAN接入点和 DHCP服务器。 我不确定下面的设置是否有效,如果bind无法回答dns请求:我是否必须在输出链中的端口53上打开“NEW”连接?或者我必须将它放在FORWARD链中,因为LAN客户端执行上游请求而不是绑定。 路由器应从我的ISP通过DHCP获得IP(用于WAN接口)。路由器还应为(W)LAN客户端分配IP。我是否必须在输入和输出链的所有接口上允许udp端口67/68? 有没有办法让我的脚本更短,即在提高可读性的同时获得相同的结果?我的基本目标是向(W)LAN客户端提供已安装的服务(见上文),并为(W)LAN客户端提供对HTTP(s),IMAP,SMTP,NTP和WhatsApp的访问。 #!/bin/sh log() { echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1" echo "$(date '+%b %d %H:%M:%S') $(hostname) iptablesInit: $1" >> /var/log/iptablesInit.log } IPT="/sbin/iptables" WAN="WAN" LAN="LAN" WLAN="WLAN" # Flush all chaines log 'Flush everything...' $IPT -F $IPT -X $IPT -t …
1
需要帮助将一些linux命令转换为OSX
我想将一些linux命令转换为OSX。(小牛队10.9.4) root@bt:/# /etc/init.d/apache2 start (will "sudo apachectl start" do the same?) root@bt:/# echo “some Site Goes Here!” > /var/www/index.html 现在我有一个我在macbook本地主机(8080)上托管的站点。那么echo localhost:8080 > /var/www/index.html在OSX中也会如上所述吗? 下一组cammands我不知道如何在OSX中替换。请帮忙 root@bt:/# iptables -t nat --flush root@bt:/# iptables --zero root@bt:/# iptables -A FORWARD --in-interface eth0 -j ACCEPT root@bt:/# iptables -t nat --append POSTROUTING --out-interface eth0 -j MASQUERADE …
0
iptables PREROUTING和POSTROUTING似乎没有转发任何数据包(OpenWRT)
我正在尝试镜像设备B发送或接收的所有数据包,并将它们发送到设备A进行记录。我有一个OpenWRT充当无线接入点,我已经通过ssh向OpenWRT路由器发出以下命令: iptables -A PREROUTING -t mangle -d 192.168.1.252 -j TEE --gateway 192.168.1.251 iptables -A POSTROUTING -t mangle -s 192.168.1.252 -j TEE --gateway 192.168.1.251 当我运行iptables --list -t mangle时,我得到以下内容: root@OpenWrt:~# iptables --list -t mangle Chain PREROUTING (policy ACCEPT) target prot opt source destination fwmark all -- anywhere anywhere TEE all -- anywhere …
1
标记的数据包未按预期路由
更新:解决方案:我本应该使用OUTPUT链 - 而不是PREROUTING链。这个例子仍然不起作用,但我会尽快更新。 在我看来,这似乎应该有效。我将所有路由规则从主表移动到表4然后MARK并将发往端口80/443的数据包定向到表4.我希望端口80的工作方式与我没有做任何事情一样,但gethostbyname失败了吗? #!/bin/bash -x # # Reset/Flush iptables iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # Reset/Flush table 4 ip route flush table …
1
从Debian上的VPN隧道中排除本地客户端
所以我最近在我的网络上设置了一个Debian服务器,以便通过OpenVPN路由我的所有互联网流量。我用这个指南来设置iptables(虽然我没有设置kill开关。) 现在,我的问题是,显然Netflix已经决定,如果你使用VPN,你将不再允许流式传输。所以我想做的就是让我的Chromecast(我的主要流媒体客户端)不使用VPN隧道。 网络布局: 路由器:192.168.0.1 Pi-Hole DNS:192.168.0.3(我不认为这是相关的,但无论如何) VPN网关:192.168.0.4 Chromecast:192.168.0.155(实际上是静态的) 我已经设法通过让路由器始终为其提供相同的地址,有效地为Chromecast提供静态IP。 VPN网关是通过DHCP设置在客户端上的,因为Chromecast不允许我手动设置网关(这将解决我的所有问题),我必须以其他方式解决这个问题。 所以我想要做的是通过我的非加密连接路由所有Chromecast流量,是否有相对简单的方法呢? 我已经在网上寻找解决方案,但我发现的所有内容都是针对Pfsense,DD-WRT,Merlin等的修复程序,我不知道如何使它们适应我的Debian服务器。 任何帮助表示赞赏。
1
Apache测试屏幕没有加载。连接到公共IP时连接被拒绝
我在让Apache工作时遇到了问题。我遵循亚马逊AWS说明(http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)但我的计算机拒绝加载Amazon Linux测试屏幕。 在运行时curl localhost,我确实看到了测试屏幕的HTML,所以它可能意味着端口不正确? 我跑了netstat -lnp并粘贴了下面的输出: Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:55001 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN - tcp 0 0 :::22 :::* LISTEN …
0
iptable_nat在更新后停止工作
今天,我安装了一些更新dnf update。 之后,我无法设置一些基本的iptables规则。 $ iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT` iptables: No chain/target/match by that name. 这个命令永远运行 $ modprobe iptable_nat 这也是永远的 $ iptables -t nat -L 其他规则工作得很好。 有人提示解决这个问题吗? dnf-update的信息 Transaction performed with: Installed dnf-2.7.5-2.fc27.noarch @updates Installed rpm-4.14.2-1.fc27.x86_64 @updates Packages Altered: Erase kernel-4.18.13-100.fc27.x86_64 @updates Install kernel-4.18.16-100.fc27.x86_64 @updates Erase …
1
iptables - 如何通过本地代理/ SSH转发所有端口(我的传出流量)?
通过阅读人们提出的30个不同的类似问题和一些教程,我对iptables有了非常基本的了解。我想要做的是通过SSH转发我的所有传出流量,让它作为一种通用的socks代理。我现在没办法测试这个,但这就是我自己想出来的: iptables -A OUTPUT -i eth0 -p tcp --destination-port 22 -j ACCEPT iptables -A OUTPUT -i eth0 -p tcp -j REDIRECT --to-port 22 第一个规则应该自动接受已经发往端口22的任何内容,而第二个规则应该将任何剩余的外发数据包重定向到端口22。 我的主要问题是我对PREROUTING和OUTPUT之间的差异没有完全的了解,因为我看到它们都以不同的方式用于转发这样的端口。
0
Iptables - 无法打开端口443
我正在尝试设置https,但是我很难打开该端口。 Nmap scan report for localhost (127.0.0.1) Host is up (0.000073s latency). PORT STATE SERVICE 443/tcp closed https 这是我的/etc/sysconfig/iptables档案: # Generated by iptables-save v1.4.7 on Tue Sep 18 03:42:22 2012 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [21660:1221924] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT …
1
如何获得iptables重定向以在SuSE 11上重启?
我已经设置iptables从端口80转发到端口8090: iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8090 但是重新启动后重定向已经消失。什么是规范的SuSE保存iptables配置的位置以及配置它们在重启时重新加载的位置?
0
将所有流量从VPS路由到我的家庭网络
我有一个带有静态公共IP的VPS,我还有一个带有静态公共IP的家庭网络。 我想以某种方式使它成为如果VPS的静态IP在某个端口上接收流量,它将所有流量路由/重定向/转发到我的家庭网络静态IP,如果需要可能转发到不同的端口,但可能是相同的港口。 我的VPS正在运行Ubuntu 18,我只是不确定要安装/设置它...这是一iptables件事吗?或其他一些实用工具?
1
无法停止/重启iptables
我真的很难解决这个iptables拒绝停止/重启的问题。 当我尝试停止它时,它将输出此消息: xgsv01:/# service iptables stop iptables v1.4.8: Couldn't load match `-tcp':/lib/xtables/libipt_-tcp.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. iptables v1.4.8: Couldn't load match `-tcp':/lib/xtables/libipt_-tcp.so: cannot open shared object file: No such file or directory Try `iptables -h' …
0
过滤IP别名之间的流量
我有两个主机和它们之间的防火墙过滤流量的问题。这三个主机中的每一个只有一个NIC,可以在网络上进行通信,例如10.10.0.0/16。我想添加另一个网络,但我有一个约束,不允许我添加另一个网卡。 我的想法是使用ip别名。所以为了实现这个目的,我设置每个主机的每个NIC都有这样的多个地址: host0 : eth0 = 10.10.0.1/16 192.168.0.1/24 router : eth0 = 10.10.0.2/16 192.168.0.254/24 192.168.1.254/24 host1 : eth0 = 10.10.0.3/16 192.168.1.1/24 由于图片通常比文字更好,我有这个: HOST0 ROUTER HOST1 | | | ------------------------------------------------ 10.10.0.1 10.10.0.2 10.10.0.3 我想模拟这个(只有一个NIC): HOST0--------------------ROUTER------------------HOST1 192.168.0.1 0.254 1.254 1.1 我用ip命令配置每个主机: ip add dev eth0 192.168.0.* 然后用ip route添加路由。 我的问题是从host0到host1的ping运行顺利,即使我丢弃每个数据包router,iptables这表明ping可能不通过路由器但更喜欢直接转发。我拿了一个tcpdump跟踪,显示host0的ping直接进入host1。 我觉得不应该那样工作,但我无法理解。 这里的tcpdump跟踪: 52:54:00:00:00:00 …
1
Fail2ban无法在Centos 7上启动。缺少/ var / log / secure文件
几天前我买了vps并安装了Centos 7。现在我正在尝试为ssh设置fail2ban。我安装了epel-release。Iptables默认使用。当我尝试启动fail2ban时,这就是我得到的: Job for fail2ban.service failed because the control process exited with error code. See "systemctl status fail2ban.service" and "journalctl -xe" for details. fail2ban启动的调试: [root@server ~]# /usr/bin/fail2ban-client -v -v start INFO Loading configs for fail2ban under /etc/fail2ban DEBUG Reading configs for fail2ban under /etc/fail2ban DEBUG Reading config files: /etc/fail2ban/fail2ban.conf INFO …
1
Linux,如何通过VPN强制所有流量到特定主机?
我正在尝试确保通过VPN强制通过我们的统计服务器的所有流量,在VPN崩溃的情况下,不应该是流量尝试通过WAN路由。为了使DNS查找短路,我们在hosts文件中列出了主机,但它也会在更广阔的世界中解决。 这是我们拥有的: $ echo "12.23.45.67 the.statsd.server" > /etc/hosts # From a /etc/ppp/ip-up.d/thevpn (so it's a pptp client script that does this) route add -host 12.34.45.67 dev ppp0 $ iptables -I INPUT -s 12.23.45.67 -i eth0 -j DROP $ iptables -I OUTPUT -d 12.23.45.67 -o eth0 -j DROP $ iptables -I …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.