我有以下规则: public (default, active) interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: 一切工作正常,然后我添加以下直接规则: ipv4 filter OUTPUT 0 -m state –state ESTABLISHED,RELATED -j ACCEPT ipv4 filter OUTPUT 1 -p tcp -m tcp –dport 80 -j ACCEPT ipv4 filter OUTPUT 1 -p tcp -m tcp –dport 443 -j ACCEPT ipv4 […]
我有一个虚拟机安装运行多个虚拟机,我想他们中的一个作为路由器/防火墙,所有的外部IP连接到并运行其他虚拟机,如Apache的FTP后缀不同的服务…我有点失去了惠普这个iptable东西,你可以看到,这两个接口与外部IP有相同的MAC我可以改变,不知道是否有所不同,供应商称他们为“故障转移ip”我可以订购尽可能多 路由-n显示以下不知道为什么没有进入ens35? Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 163.172.64.1 0.0.0.0 UG 0 0 0 ens33 100.200.30.1 0.0.0.0 255.255.255.255 UH 0 0 0 ens33 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 ens34 我可以达到路由器惠普ssh从ips(1.2.3.240 / 11.22.33.50)后foloving命令不再(其他IP仍然工作)我也不能达到其他机器惠特ssh这是锻炼的目标 # iptables -t nat -A PREROUTING -d 11.22.33.50 -j DNAT –to 192.168.0.250 # iptables […]
今天是个好日子。 我们假设下一个configuration:我们有一个公网IP地址为1.2.3.4的路由器(外部接口 – wan)。 如果由于某种原因,路由器收到一个伪造的源IP地址的数据包,它与我们的外部接口的公共地址相同,就netfilter子系统而言,这个数据包将被分配什么链? 这个数据包的目标IP地址可以是任何内部局域网/另一个外部地址。 将这个数据包视为路由器本身(OUTPUT链)或转发数据包(FORWARD链)的输出数据包?
如果我在ASA上特别排查某些问题,那么能够将我所看到的系统日志消息过滤到只有那些相关的东西通常很有用。 如果我正在排除类似VPN隧道的故障,那么我可以使用类似于“vpn”类来过滤: logging class vpn buffered 6 但是,如果我想对ACL进行故障排除,那么即使这些消息存在syslog“类别”,也没有类,因此从106开始。 如果我想过滤一个没有定义类的“类”,我应该做一些类似于下面的类,还是有更好的方法? logging list mylist message 106000-106999 logging buffered mylist 这显然假设我想login到内部缓冲区。 如果我想login到其他地方,我会适当地更改命令。 有什么特别的原因,为什么一些系统日志“类别”没有定义的类? 仅仅是为了避免使用less量经常使用的类名称来污染类名称空间呢? 非常感谢
我目前在尝试设置IPTables的规则来限制某些数据包时遇到了麻烦。 我不能在iptables上使用正常的限制模式,因为这必须按照dstip和dstport。 规则如下所示: iptables -A PREROUTING -t raw -p udp -m hashlimit -m u32 –u32 "0x0>>0x16&0x3c@0x9&0xff=0x55" –dport 27015:27105 –hashlimit-mode dstip,dstport –hashlimit-above 500/sec –hashlimit-name PLAYERQUERY -j DROP 这似乎工作正常,并会有显着的数额进来时,速度限制,但我可以看到即使在500 /秒的限制下,随机数据包被丢弃。 我正在使用我们的节点上的wiresharkvalidation这一点,我只能看到20秒一秒。 有些数据包的另外两个示例过早丢失:与另一个规则相同的随机丢失: iptables -A INPUT -m hashlimit -m tcp -p tcp –dport 80 -i eth0 –hashlimit-above 256/sec –hashlimit-burst 512 –hashlimit-mode srcip –hashlimit-name reg_html1 -m state –state NEW […]
我已经在VirtualBox上安装了一个ArchLinux框,在那里我安装并configuration了NGINX服务来接受来自任何地方的请求。 listen 80; server_name _; 我也更新了我的UFW(也尝试禁用它),以允许从WWW(80)的任何地方,我已经build立了一个只有主机的网桥,这样我就可以从我的Windows主机,通过静态IP访问我的盒子。 Status: active To Action From — —— —- WWW ALLOW Anywhere WWW (v6) ALLOW Anywhere (v6) enp0s8: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.33.16 netmask 255.255.255.0 broadcast 192.168.33.255 inet6 fe80::a00:27ff:fead:14c2 prefixlen 64 scopeid 0x20<link> ether 08:00:27:ad:14:c2 txqueuelen 1000 (Ethernet) RX packets 495 bytes 82862 (80.9 KiB) RX errors 0 dropped 0 […]
我已经使用站点到站点VPN隧道在Azure中设置了一个虚拟networking。 到目前为止这么好,但隧道设备不能通过公共IP访问我的服务,他们只能通过本地IP访问。 似乎阻止VPN设备访问连接到同一虚拟networking的虚拟机的公共IP。 所以说api.mydomain.com通过DNS映射到一个虚拟机的公共IP。 对于所有的互联网设备来说都可以正常工作,但是不能通过站点到站点的VPN隧道。 虽然他们可以通过本地ip(192.168.xx)正常访问。 任何方式我可以打开访问/路由通过站点到站点VPN到公共IP地址的stream量? 有问题的设备是GPRS设备并使用蜂窝运营商的DNS。 所以我没有什么可以做的(比如添加一个条目来指向本地地址)。
这是iptables的规则: -A INPUT -i eth0 -s 10.2.0.51,10.2.0.52 -d 228.0.0.3 -j ACCEPT 我怎样才能把它翻译成ufw规则? 我试过了: root@localhost:~# sudo ufw allow from 10.2.0.51,10.2.0.,52 to 228.0.0.3 to any port ERROR: Wrong number of arguments root@localhost:~# sudo ufw allow from 10.2.0.51,10.2.0,52 to 228.0.0.3 to any port proto tcp ERROR: Wrong number of arguments 我错过了什么?
我想知道在iptables中接受和放弃策略有什么区别。 以下是我认为它的工作原理: 丢弃策略将丢弃所有数据包,除了那些您制定规则的数据包。 所以你手动打开端口和其他端口是closures的。 接受策略将接受除您制定规则的那些数据包之外的所有数据包。 因此,目前有些服务正在工作的所有端口都是打开的,而其他端口是closures的。 我做了一些研究和大部分人的build议下降政策,因为它更安全。 我想只要你知道你正在运行什么服务,根本就没有什么区别。 有人可以告诉我,如果我错了,解释。
如果我想在我的服务器build议中添加INPUT防火墙规则,我看到的是执行以下操作(端口80在这里,但可以是任何其他服务的众所周知的端口) iptables -A INPUT -p tcp –dport 80 -m conntrack –ctstate NEW,ESTABLISHED -j ACCEPT 这和以前有什么不同? iptables -A INPUT -p tcp –dport 80 -j ACCEPT 即:检查INPUT链中连接状态的好处是什么,因为服务器必须在端口80上提供任何请求?