有什么办法让iptables conntrack为每个networking接口使用单独的数据结构? networking命名空间是否会在这里起作用(把每个客户连同它的tap设备放在自己的netns中,并在那个netns里面做ipfilter conntrack),还是共享相同的数据结构? 背景信息:我正在运行许多qemu客人,在主机上有自己的tap设备用于联网。 对于客人的防火墙,我使用启用连接跟踪的主机上的iptables(我不能在客人内部做防火墙)。 然而,单个(非常繁忙的)访客可能会溢出主机上的conntrack表。 由于该表在所有客户(和主机)之间共享,因此主机/主机开始丢弃数据包/连接可能导致整个主机/客户机不可访问。
我有一个基于Broadcom的Linksys WRT160n路由器,运行DD-WRT build 14896.LAN和无线客户端得到一个192.168.1.xxx的IP地址。 他们在br0上。 我有一个在br1上运行的192.168.2.xxx范围内的访客networking。 访客networking可以访问互联网。 我没有防火墙/ iptables规则声明。 这是我想要做的:允许从br0发起的通信stream向br1。 不允许从br1到br0的通信(这似乎已经发生)。 现在,我无法从192.168.1.xxx主机到192.168.2.xxx主机ping或tracert。 我希望能够做到这一点。 这是可以做的吗?
这是我目前的networking图, http://s1.postimg.org/5689b415b/actual_diagram.png 目的 将172.16.0.x / 18子网networkingstream量路由到ADSL连接 你怎么看待这个方法,它会起作用吗? 目前我无法build立testing环境。 LAN网关 $INTERFACE = eth1 iptables -t mangle -A INPUT -i $INTERFACE \ -p tcp –dport 80 \ -j MARK –set-mark 0x1 iptables -t mangle -A INPUT -i $INTERFACE \ -p tcp –dport 443 \ -j MARK –set-mark 0x1 互联网网关 创build表格networkingstream量 echo 100 web-traffic >> /etc/iproute2/rt_tables 创build一个路由规则 ip […]
我试图阅读许多有关在NAT'd路由器后面运行VoIP系统的文件,出去到互联网,然后通过VoIP服务器的专用连接返回。 我没有得到任何的研究。 我inheritance了所有VoIP服务器设备都在自己的networking上的设置,使用专用的ADSL连接。 在互联网上的任何地方的电话工作! 我的问题是,从我的networking 。 我已经尝试了通常的故障排除步骤:重新启动路由器,禁用防火墙,更改我插入IP电话的端口,但是这些都不起作用。 我们使用Linux服务器作为我们的路由器,使用iptables作为我们的防火墙。 默认策略是丢弃不匹配的数据包,但即使我告诉他们接受,问题仍然存在。 运行tcpdump -ni eth1 host 192.168.0.89在手机正在尝试连接时输出以下内容: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 13:45:24.487637 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46 13:45:33.285767 ARP, Request who-has 192.168.0.89 tell 192.168.0.89, length 46 13:45:43.333432 […]
我想只允许具有特定id(标识字段)的数据包,例如,具有id = 3的数据包被接受,而其他数据被丢弃。 我想用偏移量做同样的事情,例如这个数据包被接受: 09:59:29.216755 IP (tos 0x0, ttl 64, id 3, offset 0, flags [DF], proto UDP (17), length 35) XXX.XXX.XXX.XXX.XXXXX > XXX.XXX.XXX.XXX.XXXXX: UDP, length 7 在此先感谢,抱歉我的英文不好。
可以iptables日志tcp分裂握手和同时开放连接以及tcp三方握手? 这是两种types的TCP连接描述。 在这里我find了如何在特定端口上logging新的tcp连接,是否也将这些连接logging到tcp连接?
我看到来自10.19.0.222的powershellWeblogin尝试我的iptables包含: DROP all — anywhere anywhere match-set manual src ipsettesting手册10.19.0.222确认地址是在设定的,但我继续看到从该地址的Weblogin尝试。 我的iptables / ipsetconfiguration对于集合中的许多其他地址来说是完美的,但是对于这个地址似乎是无效的。 为什么是这样? 我认为10.是专用于子网的。 为什么我甚至看到这个地址? 我有3个接口: eth0: inet addr:162.243.193.60 Bcast:162.243.193.255 Mask:255.255.255.0 lo: inet addr:127.0.0.1 Mask:255.0.0.0 tun0: inet addr:10.9.0.1 PtP:10.9.0.2 Mask:255.255.255.255 我怎样才能确定哪个接口10.19.0.222进来?
我需要在服务器和Intranet上的客户端之间build立一个防火墙,以通过FORWARD链上的MAC来过滤访问。 服务器有一个网卡(在子网10.0.0.0/29上),防火墙有两个网卡(一个在子网10.0.0.0/29上,另一个在子网192.100.100.0/23上),客户端有一个网卡(在子网上192.100.100.0/23) 我的目标是能够仅转发来自less数MAC的stream量,然后放弃剩下的stream量。 现在我的iptables设置如下: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -m mac –mac-source 00:00:00:00:00:00 -j ACCEPT 当我检查iptables,我可以看到有规则的stream量,但我发送的ping是没有答复。 有任何想法吗? 提前致谢。
我的服务器越来越被欺骗性的源IP地址的UDP泛滥。 他们洪水真正的用户数据包,所以我不能限制或封锁这些数据包。 有没有办法丢弃从IP接收到的第一个数据包,并接受下一个数据包? 他们每个随机IP只发送一个数据包。 这可以帮助我过滤这个攻击。
总的来说,我们对fail2ban非常满意,因为它在我们的iptables规则中已经积累了数十个neverdowell IP地址。 不过我注意到下面的规则也出现了: Chain fail2ban-apache-overflows (1 references) target prot opt source destination DROP all — <our-server-hostname> anywhere 我不是很擅长阅读iptables规则,但是我对这条规则的解释是它阻止了所有的外部stream量。 那是对的吗? 为什么会出现在我们的iptables规则集中? (出站stream量实际上并未被阻止。)