我有一个简单的iptables设置,这是不完全正确的,我很想知道为什么它这样工作,我能做些什么来得到这个工作。 这是我的规则: # redirect 80 to site sudo iptables -A PREROUTING -t nat -p tcp –dport 80 -j REDIRECT –to 8080 sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT # local is good sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT # stuff from me is good sudo iptables -A INPUT -p tcp […]
对于PSAD的工作,我需要添加以下iptables规则并启用数据包日志logging: iptables -A INPUT -j LOG iptables -A FORWARD -j LOG ip6tables -A INPUT -j LOG ip6tables -A FORWARD -j LOG 我在我的系统上使用UFW。 那么,我怎样才能用UFW添加这些规则呢?
我有iptables规则,我希望从2 ips允许ssh。 为什么柜台增加了第二条规则,而不是第一条规则。 即使我尝试从两个IP我不能ssh到它。 Chain INPUT (policy ACCEPT 87 packets, 6188 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT tcp — * * !115.xx71 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable 14 1400 REJECT tcp — * * !115.xx176 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable 是不是像当我从115.xx71 ssh s匹配第一条规则,我应该得到的访问,它不会匹配秒,即使我从115.xx176 ssh它是违反第一条规则,它会被拒绝,但我不能从第一个ip甚至ssh。
我有一个这样的日志文件: Frq:15 IP:0.0.0.0 Date: 2014-03-21 12:19:31 AM Frq:9 IP:198.252.206.25 Date: 2014-03-21 12:19:31 AM 现在我用awk获得ip地址列: cat /tmp/test | awk '{print $2}'|awk '{gsub("IP:", "");print}' 结果是: 0.0.0.0 198.252.206.25 我想添加这个IP地址到iptables从inputDROP,但我不知道如何 谢谢朋友。
我在Ubuntu12.04上运行一个应用程序,我写了一些远程开关pipe理。 我只有一个网卡连接到被pipe理的交换机的networkingeth0,它使用IPv4 10.0.0.1/24进行设置。 这个IPv4地址是这个Ubuntu机器唯一可以使用的地址,因为这是分配给Ubuntu机器的唯一“全局”可路由地址(由于某些networkingpipe理,而不是由于技术问题…) 我需要交换机pipe理stream量(通过SSH的NetConf,使用UDP端口830)包含一个VLAN ID为444的802.1q VLAN标记),发送NetConf帧时,也会收到这个标记。 所有其他stream量(http,ftp,dhcp,snmp等)将使用不带VLAN标记的eth0。 我已经尝试在eth0上使用一个VLAN接口eth0.444,但似乎发送的stream量不包括VLAN标记。 我可以(以及如何)使用ebtables / iptables将特定的VLAN标记添加到特定的UDP端口stream量? ebtables / iptables解决scheme是否也适用于接收path? 谢谢! 大卫
我正在使用iptables-persistent包在启动时重新加载我的iptables。 我一直在想,我应该添加fail2ban规则到加载的configuration文件? 现在我看到他们是重复的。 这是我的防火墙configuration: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh – [0:0] -A INPUT -p tcp -m multiport –dports 22 -j fail2ban-ssh # Accepts SSH connection -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT # HTTP -A INPUT -p tcp –dport 80 -j ACCEPT # SSH -A INPUT -p tcp […]
设置:我有一个Linux(Gentoo,如果这有所作为)框,作为整个公寓的门户。 这个盒子用iptables和dhcpd做NAT-magic。 问题:我有一台特定的计算机,我想要一个端口转发(对于山洪,如果再次,有一个区别)。 我刚刚有足够的Linuxpipe理技能来阅读howtos并最终configuration正确的东西,但是我发现我的案例的howtos太不清楚,似乎是不必要的复杂。 对于我所收集到的,我的问题是双重的:让dhcpd可靠地为我想要的计算机分配一定的静态IP,然后为端口转发configurationiptables。 有人能给我一个明确的,一步一步的指导如何做到这一点? 我相信我不是唯一想要这样做的人 编辑:我的版本的软件是: #iptables –version iptables v1.4.0 #dhcpd –version ISC-的dhcpd-V3.1.1-的Gentoo
我使用Ubuntu服务器作为我的用户在NATnetworking上的路由器。 我想强制所有用户使用networking上的本地DNS服务器设置。 即使他们在客户端机器上使用公共DNS服务器,也应将DNS端口redirect(DNAT)到本地DNS服务器。 这是我所想到的: iptables -t nat -A PREROUTING -i eth5 -p udp –dport 53 -j DNAT –to 192.168.1.1:53 iptables -A FORWARD -d 192.168.1.1 -i eth5 -p udp –dport 53 -j ACCEPT 面向NATnetworking的接口是eth5 。 上述规则不适合我。 有没有更好的解决scheme? 编辑1:我的目标是实施Opndnsfilter,以防止networking上的Bittorrentstream量。 目前该filter运行良好,用户使用DHCP获得本地dns服务器。 但我担心,他们可能会发现一个工作,例如,手动指定IP地址和DNS服务器IP地址。 编辑2:以下代码实现番茄固件上的function: if (nvram_match("dns_intcpt", "1")) { ipt_write("-A PREROUTING -p udp -s %s/%s ! -d %s/%s –dport 53 […]
我一直在防火墙阻塞最近两台服务器之间的stream量一些麻烦,并希望检查iptables如何处理多个规则适用于相同的IP。 如果我运行iptables -L -n | grep 1.2.3.4 iptables -L -n | grep 1.2.3.4我看到这个输出: ACCEPT all — 1.2.3.4 0.0.0.0/0 DROP all — 1.2.3.4 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 1.2.3.4 DROP all — 0.0.0.0/0 1.2.3.4 iptables将如何处理这些规则? 所有来自1.2.3.4的stream量是否会被丢弃?
我有这些放置规则: iptables -t mangle -P FORWARD DROP iptables -P FORWARD DROP iptables -t mangle -P INPUT DROP iptables -P INPUT DROP iptables -t mangle -P OUTPUT DROP iptables -t nat -P OUTPUT DROP iptables -P OUTPUT DROP iptables -t nat -P PREROUTING DROP iptables -t mangle -P PREROUTING DROP iptables -t nat -P POSTROUTING DROP […]