Questions tagged «iptables»

在历史记录中，我只需要编辑一个文件，然后 重新启动整个服务器即可。 我将克隆端口22打开的行， 将其更改为80，然后保存文件..并重新启动 整个系统，以便iptables从端口80打开开始。 但是在最近的时候..那个文件不再存在 于我的centos 6.5 OS中 Google上的大多数答案都建议我必须与iptables 进行交互才能启用和禁用端口。 是否可以不与iptables进行交互，而 只是将您面前的所有内容视为一个可编辑文件？

27 centos  iptables 

如何允许某些ip并阻止iptables中的所有其他连接？

26 linux  iptables  firewall 

我的问题与“ 仅允许某些接口上的某些出站流量”基本相同。 我有两个接口eth1（10.0.0.2）和wlan0（192.168.0.2）。我的默认路线是eth1。假设我希望所有https-traffic通过wlan0。现在，如果我使用另一个问题中建议的解决方案，则https流量将通过wlan0，但仍将具有eth1（10.0.0.2）的源地址。由于此地址不可用于wlan0网关，因此答案永远不会回来。简单的方法是仅在应用程序中正确设置bind-addr，但在这种情况下不适用。 我认为我需要重写src-addr： # first mark it so that iproute can route it through wlan0 iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1 # now rewrite the src-addr iptables -A POSTROUTING -t nat -o wlan0 -p tcp --dport 443 -j SNAT --to …

23 linux  networking  iptables  routing 

在Linux下，我们通常使用“过滤器”表进行通用过滤： iptables --table filter --append INPUT --source 1.2.3.4 --jump DROP iptables --table filter --append INPUT --in-interface lo --jump ACCEPT 根据下面的netfilter流程图，数据包首先经过“原始”表： 所以我们可以这样写： iptables --table raw --append PREROUTING --source 1.2.3.4 --jump DROP iptables --table raw --append PREROUTING --in-interface lo --jump ACCEPT 数据包的处理速度更快，无需经过conntrack + mangle + nat + routing。因此使用的CPU /内存少了一点（反过来又因必须加载iptable_raw模块而得到的补偿） 如果盒子也是路由器，则只有一个规则（显然，对于每个规则来说都行），因为无需为过滤器/转发添加相同的规则 我只进行了快速测试，所以效果很好。 我发现的文档总是描述在严格情况下要使用的原始表。但是没有人给出最小的理由。 …

22 linux  iptables 

我知道linux有3个内置表，每个表都有自己的链，如下所示： 过滤器：预打印，前进，后送 NAT：预输出，输入，输出，写入 混合：预输出，输入，前进，输出，输出 但是我不明白它们是如何遍历的，以什么顺序遍历。例如，在以下情况下如何遍历它们： 我将数据包发送到同一局域网中的PC 当我将数据包发送到其他网络中的PC时 当网关收到数据包并且必须转发时 当我收到发给我的小包时 任何其他情况（如果有）

22 iptables  firewall 

CentOS的6.0 我正在研究iptables，并且对FORWARD和OUTPUT链之间的区别感到困惑。在我的培训文档中，它指出： 如果您要附加（-A）或从（-D）删除链，则需要将其应用于沿以下三个方向之一传播的网络数据： 输入-根据此链中的规则检查所有传入数据包。 输出-根据该链中的规则检查所有传出数据包。 转发-根据此链中的规则检查所有发送到另一台计算机的数据包。 这使我感到困惑，因为在我看来，留给主机的数据包将传出。那么，是否存在一种情况，即数据包将发送到另一台计算机但不会“发送”？iptables如何区分两者？

22 linux  iptables 

我发现我的ISP（verizon）正在拦截端口53上的所有DNS通信。 我想使用iptables将所有DNS查找流量重定向到特定的IP和端口（5353）。我的计算机在端口53上连接到另一台计算机的任何尝试都应重定向到23.226.230.72:5353。 为了验证我要使用的DNS服务器和端口，我已经运行了此命令。 ~$ dig +short serverfault.com @23.226.230.72 -p5353 198.252.206.16 这是我要使用的iptables规则。 iptables -t nat -A OUTPUT -p udp -m udp --dport 53 -j DNAT --to-destination 23.226.230.72:5353 添加该规则后，未找到所有DNS查找。网站ping返回unknown host。网页上说“找不到服务器”。 ~$ mtr serverfault.com Failed to resolve host: Name or service not known 我希望从23.226.230.72:5353提取DNS查询。如何使iptables规则起作用？ 编辑 我的ISP演示了DNS（端口53）拦截。跟踪从dig的输出通过端口5353到端口23.226.230.72，然后通过端口53。 ~$ dig +trace stackexchange.com @23.226.230.72 -p5353 ; …

21 iptables  dns 

我遇到了一个难题，没有太多运气找到解决方案。现在，我（不幸地）通过Verizon 3G连接到了网络。它们过滤所有传入的流量，因此我无法打开端口来接受连接。 我目前在linode.com上有一个Linux虚拟机，这种想法让我无法安装pptpd并尝试进行一些iptables端口转发。我已经pptpd安装好了，而且我的家用计算机也能愉快地连接。也就是说，这是一些常规信息： 服务器（Debian）WAN IP：eth0上的xxxx-pptpd IP：ppp0上的yyy1-客户端VPN IP：yyy100 为了验证我不会发疯，我尝试了从服务器到客户端打开端口的一些连接，并且客户端确实通过VPN IP接受了连接。 我要完成的是： 互联网-> WAN IP：端口->转发到客户端VPN IP：端口 因此，例如，如果我在客户端上打开了端口6000，那么一个人可以telnet到xxxx：6000，服务器将捕获该并将其转发到192.168.3.100:6000。 我已经尝试了至少20种不同的Googled up iptables配置，但都没有成功。有没有人有任何想法，或者甚至是我可能不知道的完全不同的方法？这里的目标是通过可怕的防火墙连接进行侦听，最好是同时侦听TCP和UDP流量。

21 iptables  vpn  openvpn  port-forwarding 

直接编辑此文件 /etc/sysconfig/iptables 可以为我省去那么多头痛，那么多时间等等... 但它在文件的最上方说： Manual customization of this file is not recommended. 这是全新的centos 6.4云服务器附带的'/ etc / sysconfig / iptables'。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED …

20 centos  rhel  iptables  firewall 

我正在尝试使用netcat从一台虚拟机连接到另一台虚拟机的端口25，但它告诉我no route to host虽然我可以ping通。我确实将防火墙默认策略设置为丢弃，但是我有一个例外，可以接受该特定子网上端口25的流量。我可以使用nc从VM 3到端口25上的VM 2进行连接，但不能从VM 2 TO 3进行连接。 这是我的VM2防火墙规则的预览 这是我的VM 3防火墙规则的预览 当我显示监听服务时*:25，这意味着它正在监听所有ipv4 ip地址和:::25ipv6地址。我不明白错误在哪里以及为什么不起作用，两个防火墙规则都接受端口25上的流量，因此应该可以连接。我尝试比较两者之间的差异，以了解为什么可以从vm3连接到vm2，但配置完全相同。关于可能是什么问题的任何建议？ 更新停止iptable服务可以解决问题，但我仍然需要那些规则。

20 linux  centos  iptables  firewall  netcat 

我正在尝试使用本地重定向Ubuntu计算机上的端口iptables。类似于透明代理。我想捕捉所有试图将系统保留在端口80上并将其重定向到远程主机和端口的信息。 我可以使用NAT和预路由功能来实现此目的iptables吗？

19 iptables  port-forwarding 

我在运行ifconfig时注意到有一个名为tun0的网络接口，它具有ipv4地址。一些研究表明，它是一种隧道设备，但我真的不知道它的用法，用途以及它为什么具有IP地址。 我确实启用了iptables，如果有帮助的话，iptables和tun之间似乎存在一些联系。

18 networking  iptables  tunneling 

我一直在阅读，但似乎找不到找到创建每个进程防火墙规则的方法。我知道，iptables --uid-owner但这仅适用于传出流量。我考虑过脚本编写netstat，iptables但是这似乎效率很低，因为如果某个进程仅在很小的时间范围内处于活动状态，脚本可能会错过它。基本上，我想在不影响其他进程的情况下对进程的端口和dst实施特定限制。有任何想法吗？ 作为参考，selinux可以做到这一点，并且效果很好。设置有点麻烦。

18 iptables  firewall  process-management 

如何在局域网中的系统上设置防火墙，以使某些端口仅开放给来自局域网的连接，而不开放给来自外部世界的连接？ 例如，我有一台运行Scientific Linux 6.1（基于RHEL的发行版）的机器，我希望其SSH服务器仅接受来自本地主机或LAN的连接。我该怎么做呢？

18 ssh  iptables  firewall 

我知道有两个SOCKS代理，它们支持任何传出TCP连接的透明代理：Tor和redsocks。与HTTP代理不同，这些SOCKS代理可以透明地代理任何传出TCP连接，包括加密协议和不带元数据或标头的协议。 这两个代理都需要使用NAT来将任何传出的TCP通信重定向到代理的本地端口。例如，如果我TransPort 9040在本地计算机上运行Tor，则需要添加如下iptables规则： iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-port 9040 据我所知，这将与替换原来的目的地IP和端口127.0.0.1和9040，所以考虑到这是一个加密的数据流（如SSH）或一个无头（如域名注册），请问代理知道原来的目的IP和端口？

18 iptables  proxy  socks  tor