Articles of iptables

我目前正在尝试打开Samba的iptables防火墙，但是我在不同的门户网站上find的configuration不起作用。 没有防火墙，一切工作正常。 在启用防火墙的情况下，除了nmbd.log以外，在日志中看不到任何错误。 [2017/07/24 15:07:47.107717, 0] ../source3/libsmb/nmblib.c:873(send_udp) Packet send failed to 192.168.0.46(137) ERRNO=Operation not permitted [2017/07/24 15:07:47.107808, 0] ../source3/nmbd/nmbd_packets.c:1026(reply_netbios_packet) reply_netbios_packet: send_packet to IP 192.168.0.46 port 137 failed [2017/07/24 15:10:30.841301, 0] ../source3/libsmb/nmblib.c:873(send_udp) Packet send failed to 192.168.0.255(137) ERRNO=Operation not permitted [2017/07/24 15:10:30.841395, 0] ../source3/nmbd/nmbd_packets.c:179(send_netbios_packet) send_netbios_packet: send_packet() to IP 192.168.0.255 port 137 failed [2017/07/24 15:10:30.841421, 0] ../source3/nmbd/nmbd_namequery.c:245(query_name) […]

我想防止udp泛滥，所以我认为如果我放弃所有udps不来自内部networking，不涉及到udp连接，我可以防止udp泛滥。 换句话说，如果只有来自内部networkingudps，也来自外部networkingudps，但不是第一个，并与udp连接接受和其他人下降udp泛滥不会发生，我认为这个iptable代码，我写能行得通 # accept any packet that's a response to anything we sent iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -s 8.8.8.0/24 -j ACCEPT iptables -A INPUT -p udp -j DROP 8.8.8.0/24是我内部networking的地址。 你认为这是真的吗？ 我的代码是真的？

我有一台Ubuntu服务器，充当KVM主机，一些虚拟机暴露在networking下运行。 虚拟机拥有自己的iptables规则，并通过主机上的直接网桥br0联网。 我的问题是，我应该如何在主机上的iptables中处理这个桥梁。 我是否认为它是自己的设备，并保护它，因为我会任何接口？ 有什么我应该知道的，如果我阻止主机上的stream量，可能会阻止客人的stream量？ 或者也许写我的规则到原始的接口eno1？ 我的设置看起来像这样：（virbr0不被任何虚拟机使用，vmnet0是一个正在运行的guest虚拟机的networking） br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet xxx.HOSTIP.xxx netmask 255.255.255.0 broadcast 62.210.172.255 inet6 fe80::d6ae:52ff:fece:993a prefixlen 64 scopeid 0x20<link> inet6 xxx:HOSTIPv6::xxx prefixlen xx scopeid 0x0<global> ether d4:ae:52:ce:99:3a txqueuelen 1000 (Ethernet) RX packets 753413 bytes 59239171 (59.2 MB) RX errors 0 dropped 51 overruns 0 frame 0 TX packets 115967 bytes 17911763 […]

我有一组如下所示的iptable规则： -A PREROUTING –jump intercept-nat -A intercept-nat –jump DNAT -s 10.10.1.0/24 ! -d 10.10.1.1/32 -p tcp -m tcp –dport 80 –to-destination 10.10.1.1:3126 -m comment –comment "intercept-nat" -A intercept-nat –jump DNAT -s 10.10.1.0/24 ! -d 10.10.1.1/32 -p tcp -m tcp –dport 443 –to-destination 10.10.1.1:3127 -m comment –comment "intercept-nat" -A intercept-nat –jump DNAT -s 10.1.2.0/24 ! -d […]

我试过这篇文章： http : //backreference.org/2010/05/02/controlling-client-to-client-connections-in-openvpn/，但没有运气。 我是新来的iptables。 你能看看我的configuration吗？ Docker容器（我使用这个： https ： //github.com/kylemanna/docker-openvpn ）在主机networking模式下运行 我正在使用禁用了firewalld Centos7，并且安装并启用了iptables 。 ip_forward已启用。 ＃sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 redirect-gateway def1被closures，因为我不需要路由互联网stream量通过VPN服务器。 这里是最初的iptables规则。 [root]＃iptables -L 连锁input（政策接受） 目标人select源目的地 连锁FORWARD（政策接受） 目标人select源目的地 随时随地都可以使用DOCKER-USER DOCKER-ISOLATION随处可见 接受所有 – 在任何地方ctstate RELATED，ESTABLISHED 随时随地都可以 随时随地接受 随时随地接受 接受所有 – 在任何地方ctstate RELATED，ESTABLISHED 随时随地都可以 随时随地接受 随时随地接受 链式输出（策略ACCEPT） 目标人select源目的地 连锁DOCKER（2参考） 目标人select源目的地 Chain DOCKER-ISOLATION（1参考） 目标人select源目的地 全部放在任何地方 全部放在任何地方 随时随地返回 […]

我有一个运行dd-wrt的中央路由器的networking。 连接到它是几个terminal用户设备。 然而，一个端口被预留给运行DHCP服务器的特殊设备。 我称之为特殊的，因为我不能closures它的DHCP。 实际上，我确实希望我的dd-wrt路由器提供DHCP。 我如何设置一个规则（我认为它必须是基于iptables的？），以阻止任何和所有的DHCPstream量进出该设备？ 请注意，我希望设备仍处于相同的子网，并可以从其他所有设备访问不同的服务。

规则： -t nat -A OUTPUT -m addrtype –src-type LOCAL –dst-type LOCAL -p tcp –dport 12345 -j DNAT –to-destination "127.0.0.1:12345" 它会循环吗？ 定义明确吗？ 如何避免循环（如果有的话）？ 我的脚本生成这样的规则（并且不要把127.0.0.1当作例外）： -t nat -A OUTPUT -m addrtype –src-type LOCAL –dst-type LOCAL -p tcp –dport 12345 -j DNAT –to-destination "$addr:12345"

我使用Rancherbuild立了一个工作的Kubernetes集群，它定义了两个networking： 10.42.0.0/16地址为10.42.0.0/16 10.43.0.0./16用于服务端点 我想使用现有的Caddy反向代理来访问这些服务端点，所以我定义了一个路由（ 10.10.10.172是我的一个kubernetes节点）： sudo route add -net 10.43.0.0 netmask 255.255.0.0 gw 10.10.10.172 我的Caddy web服务器上的路由表： arturh@web:~$ sudo route [sudo] password for arturh: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default DD-WRT.local 0.0.0.0 UG 0 0 0 eth0 10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.43.0.0 rancherkube1.lo 255.255.0.0 UG […]

我正在尝试更改ICMP回复数据包的目标IP地址。 ICMP应答从我的IPSEC隧道进入路由器（我不完全确定它为什么在tcpdump中显示两次）： 14:28:09.562030 IP 35.182.188.86 > 54.76.131.136: ICMP echo request, id 28997, seq 1259, length 64 14:28:09.641595 IP 54.76.131.136 > 35.182.188.86: ICMP echo reply, id 28997, seq 1259, length 64 14:28:09.641645 IP 54.76.131.136 > 35.182.188.86: ICMP echo reply, id 28997, seq 1259, length 64 我尝试在PREROUTING表上将目标ip更改为本地ip（172.31.20.219）： sudo iptables -t nat -A PREROUTING –source 54.76.131.136 –destination 35.182.188.86 […]

我将如何去白名单入站端口80/443stream量为他们的IP（在这里find – https://www.cloudflare.com/ips ）只有Cloudflare，但也允许所有HTTPstream量通过这是由我们发起，比如我们需要回应的远程API请求。 在EC2上运行Amazon Linux。 谢谢