Questions tagged «iptables»

iptables允许创建规则以定义数据包过滤行为。

8
查看所有iptables规则
有没有办法iptables更详细地查看规则? 我最近在一系列IP中添加了伪装: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save service iptables restart 哪个完成了我想要的,但是当我使用时: iptables -L 我得到的输出与通常的输出相同: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination …
144 iptables 

2
-m conntrack --ctstate和-m state --state有什么区别
我正在阅读此方法手册,并且类似以下内容: 我们可以允许已建立的会话接收流量: $ sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 上面的规则在ESTABLISHED中已显示,逗号两侧没有空格 如果上面的行不起作用,您可能正在使用cast割的VPS,其提供程序尚未提供扩展功能,在这种情况下,劣等版本可以用作最后的选择: $ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 是否有之间的工作一个显著差异-m conntrack --ctstate和-m state --state?他们说可能没有用,但没有说为什么。为什么我要一个比另一个更好?
85 iptables 


4
在与接收人相同的界面上回复吗?
我有一个带有两个接口的系统。两个接口都连接到互联网。其中之一被设置为默认路由。这样做的副作用是,如果数据包从非默认路由接口进入,则答复将通过默认路由接口发回。有没有一种方法可以使用iptables(或其他方法)来跟踪连接并通过它来自的接口将回复发送回去?


3
如何确保SSH端口仅对特定IP地址开放?
这是我的/etc/sysconfig/iptables: 它有两个端口,分别为80 apache和22 ssh。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A …
42 ssh  security  iptables 

3
iptables将外部请求重定向到127.0.0.1
我有一个使用端口2222在127.0.0.1上运行的服务。我只需要将所有请求从子网192.168.1.0/24 转发到192.168.2.2:2222(外部IP)到127.0.0.1:2222。 我正在尝试使用它,但是没有用。 $ iptables -t nat -I PREROUTING -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222 我该如何工作? UPD:编辑地址方案。

3
为什么要过滤nmap报告的某些端口,而不过滤其他端口?
我正在扫描使用iptables的服务器,该服务器应该具有一个非常简单的防火墙:默认情况下,除RELATED和ESTABLISHED数据包外,所有内容都被丢弃。NEW允许的唯一数据包类型是端口22和80上的TCP数据包,仅此而已(该服务器上没有HTTPS)。 正如我预期的那样,在前2048个端口上执行nmap的结果使22和80处于打开状态。但是,一些端口显示为“已过滤”。 我的问题是:为什么端口21、25和1863显示为“已过滤”,而2043其他端口却未显示为已过滤? 我预计只会看到22和80为“开放”。 如果将21,25和1863视为“已过滤”是正常的,那么为什么所有其他端口也不也都显示为“已过滤”! 这是nmap输出: # nmap -PN 94.xx.yy.zz -p1-2048 Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ... Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz) Host is up (0.0023s latency). Not shown: 2043 closed ports PORT STATE SERVICE 21/tcp filtered ftp 22/tcp open ssh 25/tcp filtered smtp 80/tcp open …
38 iptables  nmap 





1
在iptables中设置-j REJECT或-j DROP更好吗?
在archlinux Wiki上有一个iptables规则示例: # Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j …
33 iptables  ip  firewall  tcp  udp 

5
iptables允许传入的FTP
我想允许传入的FTP通信。 CentOS 5.4: 这是我的/etc/sysconfig/iptables档案。 # Generated by iptables-save v1.3.5 on Thu Oct 3 21:23:07 2013 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [133:14837] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with …

5
有没有办法找到哪个iptables规则负责丢弃数据包?
我有一个已配备防火墙的系统。防火墙包含1000多个iptables规则。这些规则之一是丢弃我不想丢弃的数据包。(我知道这一点是因为我确实做到了,iptables-save然后iptables -F应用程序开始工作。)有太多规则无法手动进行分类。我可以做些什么来告诉我哪个规则丢弃数据包吗?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.