iptables -i eth0 -t mangle -I PREROUTING 1 -m mac –mac-source $mac -j MARK –set-mark 88 echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i wlan0 -o eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o wlan0 -j ACCEPT iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE 这个标记88在MASQUERADING之后不是持久的。 请告诉什么是错的。 sudo iptables […]
我已经在两个独立的AWS账户中设置了两个NAT框,并给予必要的安全组权限,以允许两个实例进行对话。 在帐户AI有一个服务需要与帐户B中的服务对话。我们希望通过跨帐户对等来实现这一点,但是我们不能自动执行此过程,所以我们在每个帐户中设置一个NAT实例永久对等连接。 我们需要这些NAT实例将来自账户A中的应用程序的所有stream量路由到账户B中的应用程序。 我相信这将是iptable规则,但经过大量的search,我还没有find明确的答案。 NAT 1 ipconfig: eth0 Link encap:Ethernet HWaddr 06:FF:01:29:D1:21 inet addr:172.32.34.87 Bcast:172.32.34.255 Mask:255.255.255.0 inet6 addr: fe80::4ff:1ff:fe29:d121/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1 RX packets:5198 errors:0 dropped:0 overruns:0 frame:0 TX packets:2136 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:5160072 (4.9 MiB) TX bytes:262514 (256.3 KiB) eth0:0 Link encap:Ethernet HWaddr 06:FF:01:29:D1:21 inet addr:172.0.0.0 […]
我试图连接到Ubuntu盒子上的端口3306,我无法这样做。 当我做iptables -L -n | grep 3306 iptables -L -n | grep 3306我看到这个: ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:3306 所以看起来我应该能够连接。 有什么规则可以解决吗? 在我粗略的一瞥中,我没有看到任何东西。 另外,当我做grep 80和grep 443我看到的和上面几乎一样的东西,但是80和443而不是3306.而且我可以在端口80和443上连接,即使我无法连接在端口3306上。 networking服务器托pipe在机架空间的云端。 我知道AWS有独立于可以设置的操作系统的额外防火墙规则 – 是否有rackspace? 我没有find任何通过菜单,我的谷歌search也没有certificate非常有成效。
我正在处理由PCI-DSS扫描器报告的漏洞,其中一个对我来说是新的: 标题 防火墙UDP数据包源端口53规则集旁路 概要: 防火墙规则集可以被绕过。 影响: 通过发送源端口号为53的UDP数据包,可以绕过远程防火墙的规则。攻击者可以使用这个漏洞将UDP数据包注入远程主机,尽pipe存在防火墙。 也可以看看 : http://archives.neohapsis.com/archives/fulldisclosure/2003-q2/0352.html http://www.nessus.org/u?4368bb37 第一个链接的文章给出了exploit命令的certificate, nmap -v -P0 -sU -p 1900 ${IP} -g 53 ,如果源端口是nmap -v -P0 -sU -p 1900 ${IP} -g 53 ,它实际上会返回一个56字节的数据包。但为什么呢? 在这个例子中,它报告端口1900是“closures的”,但是返回了一个56字节的回复。 相比之下,端口1900与UDP源端口123(也是打开的)的请求返回0字节。 # # Source port 53: # $ sudo nmap -v -P0 -sU -p 1900 ${IP} -g 53 Starting Nmap 6.47 ( http://nmap.org […]
我们有大约1200个客户端连接的openvpnnetworking。 基本上一切运行良好,但是当我们失去大多数/所有连接时,每天都会出现0-4次崩溃(随机发生)。 有一个cron作业每分钟检查一次有多less个客户端连接存在: echo "status 3" | /bin/nc 127.0.0.1 5001 -q 1 | /bin/grep CLIENT_LIST | /bin/grep 10.10. | /usr/bin/wc -l 一天的结果是: Mon Nov 23 23:24:02 EET 2015 1201 Mon Nov 23 23:25:02 EET 2015 312 Mon Nov 23 23:26:02 EET 2015 1201 Tue Nov 24 02:46:02 EET 2015 1196 Tue Nov 24 02:47:02 EET […]
iptables实用程序允许规则匹配基于进程的uid或gid与以下内容: sudo iptables -A OUTPUT -m owner –uid-owner root -j ACCEPT 我也想添加一个规则,允许一个名为“netaccess”的组中的所有成员使用出站stream量。 我尝试了以下内容: sudo groupadd -r netaccess # This created the group with gid 999 sudo usermod -aG netaccess <myUser> sudo iptables -A OUTPUT -m owner –gid-owner netaccess -j ACCEPT 但是,我的出站stream量仍然被阻止。 我已经validation了iptables规则是在最终的REJECT规则之上创build的,所以这不是问题。 相反,当使用iptables -m owner和–gid-owner选项时,它似乎比较了进程的确切gid,而不是检查gid是否在所有者的补充组列表中(如/ etc / group )。 我通过查看这个页面find了这个(Ctrl + F为“所有者”): http : //ipset.netfilter.org/iptables-extensions.man.html […]
所以如果得到了Android上的iptables。 我的手机上有一个应用程序连接到一个恶意的硬编码IP(让我们称之为192.168.100.1),并发送一些数据。 我想redirect所有的HTTPstream量,从我的手机发到我自己的服务器(让我们叫它192.168.80.1)。 我试过运行以下(在我的手机上),但没有奏效 iptables -t nat -A PREROUTING -p tcp -d 192.168.100.1 –dport 80 -j DNAT –to 192.168.80.1:80 它添加了以下我的iptables规则(我通过iptables -t nat -L) DNAT tcp — anywhere 192-168-100-1.static.hdcdatacenter.com tcp dpt:www to:192.168.80.1:80 它添加了以下我的iptables规则(我通过iptables -t nat -nvL) 0 0 DNAT tcp — * * 0.0.0.0/0 192.168.100.1 tcp dpt:80 to:192.168.80.1:80 我运行正确的iptables命令? 这将redirect所有192.168.100.1:80stream量从我的手机192.168.80.1:80? formsstatic.hdcdatacenter.com从哪里来,反正阻止它?
我有一个主机发送数据包到虚拟机说192.168.0.1/24 192.168.0.11或192.168.0.12作为目标IP。 我试图设置虚拟机作为一个NAT。 它路由的数据包,改变目的地的IP,这取决于原来的目的地IP,所以我不能只使用SNAT作为原始IP切换PREROUTING。 我一直试图使用的是–set-mark标志来标记数据包11或12,所以POSTROUTING规则将知道使用什么样的SNAT规则。 这是我的规则: iptables -t mangle -A PREROUTING –destination 192.168.0.11 -j MARK –set-mark 11 iptables -t nat -A PREROUTING -m mark –mark 11 -i eth0 -j DNAT –to 20.0.21.11 iptables -t nat -A POSTROUTING -m mark –mark 11 -o eth1 -j SNAT –to-source 20.0.1.1 和 iptables -t mangle -A PREROUTING –destination 192.168.0.12 […]
我无法使用iptables来更改广播数据包的目标地址。 我已经读了几个地方,iptables / Linux不会转发广播数据包,所以我正在寻找替代品。 我的networking设置为/ 30,所以广播stream量正在xxx3发送给我。 我已经尝试打开本地机器上的子网,以便xxx3不再是我的广播地址,但数据包的目标MAC地址是ff:ff:ff:ff:ff:ff:xx:xx:xx:xx: xx:xx:xx:xx,所以我相信它仍然被解释为广播数据包。 有没有办法改变数据包的目的MAC地址? 除了iptables还有什么工具可以执行这个操作吗? 如果我找不到解决办法,我想我会接受本地数据包,并写一个程序,将数据包发送到所需的收件人。 有什么理由不应该工作吗? 谢谢!
我有一个使用端口8080的glassfish服务器。 我需要从端口80转发到8080,所以我可以访问的内容,而无需把:8080端口在URL中。 我试图把伪装规则,添加iptables规则,但没有任何更改… 我试过的最后一个iptables规则是: sudo iptables -t nat -A OUTPUT -d localhost -p tcp –dport 80 -j REDIRECT –to-port 8080 这来自这个职位端口80redirect不适用于本地主机的问题是没有任何变化。 opensuse的版本是:13.2 我想念什么?