server1 – eth0 – 192.168.1.212(192.168.1.0/24) – eth1 – 192.168.5.1(192.168.5.0/24) – > router2 – > DSL server2 – eth0 – 192.168.1.223(192.168.1.0/24) – eth1 – 192.168.123.223(192.168.123.0/24) (DSL)router2 < – > server1 < – > server2 在server1上 route add -net 192.168.123.0/24 gw 192.168.1.223 dev eth0 iptables -A FORWARD -s 192.168.123.0/24 -d 0/0 -j ACCEPT iptables -A FORWARD -m […]
networking 我正在build立以下networking,有三个系统,VPN应该介于防火墙和卡利之间。 让我们假设所有的系统都使用Ubuntu 16.04(最终我将在Ubuntu上安装Kali工具): 我的Kali能够访问VPN服务器,但是无法ping通防火墙。 我看到一个请求防火墙的VPN服务器的ARP请求,但没有回复。 我想在VPN服务器中使用NAT。 编辑:似乎防火墙能够build立与Kali系统的新会话,但它不能以另一种方式工作。 奇怪的是,因为所有的Iptables策略默认都是ACCEPT。 题 当询问有关防火墙的ARP地址时,为什么没有来自VPN的回复? 我期待防火墙回复自己的MAC地址。 我应该做些什么来启用VPN服务器中的NAT? 路线 卡莉: http : //pastebin.com/bWhasRwv VPN服务器: http : //pastebin.com/9FYSkV2R 防火墙: http : //paste.ubuntu.com/23215621/ iptables的 Iptables的VPN服务器: iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i enp0s3 -j ACCEPT iptables -A INPUT -m state –state […]
我有fail2ban设置与以下设置: bantime = 86400 findtime = 600 maxretry = 2 这很好,因为它阻止任何在10分钟内暴力强制3次的IP。 但是,每隔30分钟就有一些IP正在尝试。 要捕获这些IP,我将设置更改为: bantime = 86400 findtime = 3600 maxretry = 2 现在,它每隔一小时检查一次,并捕捉那些每20-30分钟尝试一次的IP。 然而,现在我的VPS并没有赶上那些可能会在一个小时内强行逼人的IP。 因此,有什么办法可以设置findtime = 3600 ,每10分钟还有fail2ban检查吗?
我想每个源IP(我有很多)将永远是相同的SNAT(我有两个,这对我来说可以第一次randomaly)。 例如: 10.0.0.1 > 8.0.0.1 10.0.0.2 > 8.0.0.2 10.0.0.3 > 8.0.0.1 10.0.0.4 > 8.0.0.2 10.0.0.1 > 8.0.0.1 10.0.0.2 > 8.0.0.2 等。 有可能的?
最近我一直在使用各种iptablesconfiguration,我注意到,添加一个涉及smtps –dport 465 (通常保留为smtps )的规则,导致在用iptables -L列出规则时出现人类可读的dpt:urd 。 我从来没有听说过这个协议,一个(不可否认的)networkingsearch没有透露太多。 什么是URD,为什么iptables显示这个,而不是(可以说是更知名的,或者至less有更好的文档) smtps ?
我需要通过删除所有不满足最低速率的数据包,将最小带宽从IP限制到特定的服务/端口。 我看到Linux tcstream量整形工具的HTB类中的属性rate应该这样做; 这是正确的工具或其他工具build议(请注意,我正在从一个运行Linux的networking工作)?
我有一个pptp服务器,发出一个本地IP给成功的身份validation每个用户。 这些IP的范围是10.1.1.2-10.1.1.254。 这一切都可以,但是我有一套128个公共IP地址,我想用这些IP地址,当他们在互联网上看到他们拥有不同的公有IP(或者每个私有IP至less有一个公共IP)。 我没有在IPTables MASQUERADE,因为这将打败我的观点,所以我添加了一些POSTROUTING分配的IP,但这是行不通的,你可以给我一个为什么? 这是我在IPTABLES路由: iptables -t nat -A POSTROUTING -s 10.1.1.2 -o enp2s0f0 -j SNAT –to-source 111.222.62.131 iptables -t nat -A POSTROUTING -s 10.1.1.3 -o enp2s0f0 -j SNAT –to-source 111.222.62.131 iptables -t nat -A POSTROUTING -s 10.1.1.4 -o enp2s0f0 -j SNAT –to-source 111.222.62.132 iptables -t nat -A POSTROUTING -s 10.1.1.5 -o enp2s0f0 -j […]
我有一个脚本,在晚上11点(23:00)后自动阻止上网,并在上午6点(06:00)恢复。 该脚本添加和删除iptables中的一些丢弃规则。 不幸的是,过滤规则是指IP地址。 由于用户可以很容易地用手改变其IP地址,所以他可以绕过该filter。 问题是如果有可能定义一个IP地址表过滤以太网地址的DROP规则? PS:我期待一个例子作为答案,不是一个简单的是或否! ;)
下面的脚本不工作没有iptables -P INPUT,OUTPUT,FORWARD ACCEPT。 我必须错过一条规则,但找不到它。 我是新来的iptables,所以我希望这里的天才之一可以帮助我。 ETH0是WAN,ETH1是LAN。 //编辑2在sysctl.conf中启用转发。 #downen network interfaces ifconfig eth0 down ifconfig eth1 down #droppen traffic iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -t nat -F #verkeer naar buiten toe laten en nat aanzetten iptables -A FORWARD […]
我们正在运行绑定作为caching名称服务器,这是我们的设置处理DNSfunction的3条规则: iptables -A INPUT -s $OUR_NETWORK -p udp –destination-port 53 -j ACCEPT iptables -A INPUT -s $OUR_NETWORK -p tcp –destination-port 53 -j ACCEPT iptables -A INPUT -p udp –source-port 53 -m state –state ESTABLISHED,RELATED -j ACCEPT 前两条规则是为我们的客户。 请注意,即使我们不允许区域传输,我也包含了TCP,因为我们没有托pipe任何区域(但是我注意到一些合法的客户端正在通过TCP进行查询),这就是我包含它的原因。 我的问题是关于第三行。 这条线用于来自上游DNS服务器的响应(对recursion查询的响应)。 我认为这条线是足够的,但后来我注意到在日志(我丢弃的数据包不符合任何允许线),有数十个UDP数据包来自源端口UDP / 53。 我最初的想法是: 1)这些是来自其他DNS服务器的合法响应,我的系统的连接跟踪未被识别为“相关” 2)这些是合理的回应,但是他们是“迟到的回应”,因此我的系统不认识他们。 你使用什么规则来caching域名服务器的响应? 我应该允许ANY通过只匹配传入的源端口udp / 53而不pipe状态如何? 你使用udp的连接跟踪机制(ESTABLISHED,RELATED)吗? 一切顺利,JFA