Articles of iptables

iptables -A PREROUTING -i usb0 -t mangle -p tcp –dport 8080 -j MARK –set-mark 1 iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination //将标记1的stream量路由到myusb0表 ip rule add fwmark 1 table myusb0 IP路由LS 192.168.0.0/24 dev […]

我即将使用UFWconfiguration防火墙。 我通过SSHlogin，因此我不知道terminal是否会被locking， sudo ufw default deny incoming 如果是这样，我怎么能拒绝所有传入（locking整个事情）SSH除外，并在同一个命令做这一切？

我想： 删除外部networking中除80和443之外的所有传入连接 允许192.168.0.0/16上的内部机器连接到：9000：8080 以下是我通过firewall-cmd设置我的drop区的过程： echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf sysctl -p systemctl start firewalld.service systemctl enable firewalld firewall-cmd –set-default-zone=drop firewall-cmd –permanent –zone=drop –add-service=ssh firewall-cmd –permanent –zone=drop –add-port=80/tcp firewall-cmd –permanent –zone=drop –add-port=443/tcp firewall-cmd –zone=drop –permanent –add-rich-rule='rule source address="192.168.0.0/16" port port="9000" protocol="tcp" accept' firewall-cmd –zone=drop –permanent –add-rich-rule='rule source address="192.168.0.0/16" port port="8080" protocol="tcp" accept' firewall-cmd –reload 以下是活动drop区的外观： [root@machine ~]# […]

我一直在努力通过一些奇怪的 （对我）firewalld错误，但现在看到我想要的防火墙行为。 但是，对我来说，有什么作品似乎是drop区和trusted [root@douglasii ~]# firewall-cmd –get-active-zones drop interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e trusted sources: 192.168.0.0/16 [root@douglasii ~]# firewall-cmd –zone=drop –list-all drop (default, active) interfaces: eth0 veth879317c vethaff7c39 vethb2fec6e sources: services: ssh ports: 443/tcp 80/tcp masquerade: no forward-ports: icmp-blocks: rich rules: [root@douglasii ~]# firewall-cmd –zone=trusted –list-all trusted interfaces: sources: 192.168.0.0/16 services: ssh ports: 443/tcp 80/tcp […]

我有一台PC（运行Fedora 20），被用作“软件开关”来控制一些外部设备的networking连接。 有八个这样的设备; PC除了具有与外界的以太网连接之外，还具有两个4端口以太网卡。 缺省情况下，8个设备接口转发到外部接口，不进行过滤。 所需的function是阻止所有来往于给定设备的stream量。 目前，我们正在使用bridge link set dev <device> state 0来设置设备的网桥状态为“禁用”。 但是，这似乎也阻止来自设备的DHCPstream量。 networking的DHCP服务器可以通过外部接口访问，所以看起来网桥阻塞了这个stream量，这意味着如果设备试图更新它的IP，就会失败。 这在我试图在设备上执行的testing方面是有问题的。 我想要做的是阻止所有的桥梁， 除了DHCP的交通，给定的设备。 看起来bridge命令不能做到这一点，所以我可能想永远离开桥接状态作为“转发”。 经过一番研究，似乎ebtables是我需要的工具，但configuration它似乎需要更多关于DHCP和networking的知识。 从阅读几个ebtables教程，我想我需要允许端口67和68（我相信这些是用于DHCP的唯一端口？）的stream量，并阻止所有其他stream量。 所以我的问题是： 是否有可能configurationebtables做我想要的？ ebtables是这个工作的最佳工具，还是在它上面有任何抽象层，可以使configuration更容易？ （我正在考虑使用iptables的ferm 。） 假设我正朝着正确的方向前进，那么我将如何configurationebtables来阻止所有stream量栏DHCP？

我有一个networking如下。 路由器 – > Windows服务器 – >客户端 我希望能够在路由器的局域网上访问位于Windows Server后面的不同子网上的客户端，并启用networking和策略访问。 我在我的路由器A上设置一个静态路由如下。 目的地10.200.0.0/16网关192.168.20.100 但我不知道要在Windows上设置什么，以获得静态路由工作。 我尝试在窗口上的路由和远程服务的静态路由选项卡上的每个接口上，但没有运气。 我错过了什么，以便我可以从192.168.20.1/24的路由器端访问10.200.0.0/16networking？ 谢谢！ Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.100 266 10.200.0.0 255.255.0.0 On-link 10.200.0.1 266 10.200.0.1 255.255.255.255 On-link 10.200.0.1 266 10.200.255.255 255.255.255.255 On-link 10.200.0.1 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 […]

我有一个我自己托pipe的网站，我使用bind9作为我的DNS服务器（托pipe我自己的域名服务器等）。 我有一个stream量带宽的问题，我的系统日志充满了以下types的问题： error (unexpected RCODE REFUSED) resolving 'target-express.com/AAAA/IN': 193.95.142.60#53 error (unexpected RCODE REFUSED) resolving 'target-express.com/A/IN': 2001:7c8:3:2::5#53 在今天的系统日志中，有144258个这样的实例，都与target-express.com相关。 我的问题是： 有什么我可以做防火墙明智或绑定configuration来阻止这个？ 为什么我的绑定设置试图解决target-express.com（这不是我的域名，与我无关）。 我已经在named.conf中检查了我的转发器，它们都不匹配日志中显​​示的IP（它们基本上都是不同的IP，不仅仅是193.95.142.60）。 我的iptables读取： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere loopback/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere […]

我有一个运行Proxmox的专用服务器，以及运行Debian 7 （Wheezy）的Proxmox中的虚拟机。 由于我只有一个IP地址，所以我使用iptables将端口转发给虚拟机。 我的/etc/network/interfaces ： # The loopback network interface auto lo iface lo inet loopback # For routing auto vmbr1 iface vmbr1 inet manual post-up /etc/pve/kvm-networking.sh bridge_ports dummy0 bridge_stp off bridge_fd 0 # vmbr0: Bridging. Make sure to use only MAC adresses that were assigned to you. auto vmbr0 iface vmbr0 inet static […]

我想testing我的iptables，并certificate它只允许给定的协议/端口组合的stream量。 我如何将其用作端口扫描的目标？

如果你不给iptables一个目标，它只是计算有多less字节和数据包符合规则。 我想统计所有来自外部的数据包，即不匹配10.0.0.0/8，不匹配192.168.0.0/16。 我的第一个直觉是： iptables -A INPUT ! -s 10.0.0.0/8,192.168.0.0/16 然而，这增加了两个规则，其中每个规则分别计数，并且外部分组的计数是不可察觉的。 那么如何计算外部数据包？