Articles of iptables

我在Amazon EC2 VPC的Linux服务器上安装了桥接OpenVPN。 （花费在文档上的时间，阅读类似的问题，在这里，OpenVPN论坛，没有运气。） 桥接口已经启动，并且包含两个子接口： # brctl show bridge name bridge id STP enabled interfaces br0 8000.0e7c15e787b0 no eth0 tap0 VPN服务器上的路由显然是OK的; 我可以通过SSH进行ping，响应来自客户端的VPN请求： # netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 br0 10.0.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0 我可以从Windows和Mac客户端ping到VPN服务器的IP，但不能到VPC子网上的任何其他IP。 （其他IP也可以，VPN服务器可以ping通） […]

我将不胜感激一些帮助configurationfirewalld请。 这里有一些背景。 我所要做的就是阻止所有的访问 – 除了列入白名单的IP地址到https上运行的Web应用程序。 我做了很多Googlesearch。 了解了一些东西，但没有一个工作。 这是我所做的： 我可以告诉firewalld正在运行 # systemctl status firewalld firewalld.service – firewalld – dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) Active: active (running) 也与 # firewall-cmd –state running 我有默认区域 # firewall-cmd –get-zones block dmz drop external home internal public trusted work 我的活动区域包括： # firewall-cmd –get-active-zones public sources: 192.72.0.193 192.72.0.0/22 94.27.256.190 我的默认区域是公开的： […]

随着networking访问和黑客攻击的可能性的增加，我想阻止特定的IP地址访问互联网，但允许局域网访问。 例如，我使用Logitech Harmony遥控器通过1个button控制立体声，卫星和电视机。 我也可以用我的iPad通过本地networking进行控制。 但我不希望黑客操作我的电视，所以我想用IP桌面防火墙阻止分配给和声远程的IP地址。 以下是我用来编辑IP表configuration的当前脚本。 这是在我的Fedora 20盒上使用2个网卡。 第6部分是我试图插入规则的地方。 其他一切都按预期工作。 我包括整个脚本，希望它可以帮助别人，即使与我的问题无关。 毕竟，这一切都是从我自己的search中获得的知识build立起来的！ #!/bin/sh # # A script for creating an iptables firewall # # # Start by clearing iptables # iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # # Define our interfaces, […]

我在使用公共WiFi时出于隐私目的运行OpenVPN-Server（Debian 8）。 因此，客户端的所有networking通信量都将通过VPN连接进行处理。 服务器和客户端configuration如下。 服务器configuration： port 1194 proto tcp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem tls-auth /etc/openvpn/tlsauth.key 0 user nobody group nogroup server 10.11.12.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" persist-key persist-tun comp-lzo status openvpn-status.log verb 3 客户端configuration： client […]

我刚刚在我的Centos反向代理服务器上完成了fail2ban的设置。 我能够得到它阻止所有要求，如果一定的标准得到满足（非常简单）。 但是，现在我想redirect违规用户，而不是阻止他们。 我知道这是可能的使用自定义操作文件，但我似乎无法让它正常工作。 我想redirect到服务器上的另一个端口（也许运行Apache与一个自定义的网页，说明为什么他们被redirect）或完全到另一个网站。 有什么想法吗？ 这是我尝试redirect到另一个端口（意图是将违规用户redirect到同一台服务器上的端口8080）。 该操作称为防火墙redirect，它来自firewallcmd-ipset。 # Fail2Ban action file for firewall-cmd/ipset # # This requires: # ipset (package: ipset) # firewall-cmd (package: firewalld) # # This is for ipset protocol 6 (and hopefully later) (ipset v6.14). # Use ipset -V to see the protocol and version. # # IPset was a feature […]

我想将传入的外部stream量redirect到在127.0.0.1上侦听的服务。 redirect很简单 – 只是： iptables -t nat -A PREROUTING \ -d local_ip –dport 80 \ -j DNAT –to-destination 127.0.0.1:port 但是这会把数据包留在eth0 ，而且只是logging为martian，并且默认情况下会被丢弃。 我可以在eth0上启用route_localnet来解决这个问题，但是这暴露了整个接口的奇怪的路由技巧。 如何在没有route_localnet情况下正确转发它？

我设置了Fail2ban来保护ssh，我使用firewalld，我看到很多人推荐使用anaction = iptables-multiport和其他使用iptables的解决scheme，而不是firewalld声称它更快或消耗更less的资源。 正如我之前所说，我已经configuration了firewalld（实际上我只是阻止了所有的端口，除了我用了3分钟），我想知道是否应该使用iptables或firewalld通过设置firewallcmd-ipset而不是上述configuration（以较快者为准）。 另外我注意到，我有一个安装的iptables软件包，甚至很难，我不记得安装它，但它不运行，也不能运行。 所以只是为了澄清： 哪一个更好的performance？ 哪个是fail2ban在centos7上使用的默认防火墙？ Firewalld取代了Iptables，还是仅仅是一种与之交互的不同方式？ 谢谢！

我正在尝试将Ubuntu 14.04configuration为专用networking和公用networking之间的NAT网关。 公共接口 – > eth0 (178.xxx) 专用接口 – > eth0:0 (192.168.206.190/17) 我已经尝试了许多iptables规则的组合，但我无法获得stream量路由出去。 我已经确认网关可以看到networking，而且私网的主机可以看到网关，并且默认网关设置正确。 net.ipv4.ip_forward=1在sysctl设置。 我的iptables规则如下。 我的iptables经验是微不足道的，所以很可能我错过了一些东西。 # Generated by iptables-save v1.4.21 on Thu Apr 21 12:38:44 2016 *security :INPUT ACCEPT [215:14912] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [133:16208] COMMIT # Completed on Thu Apr 21 12:38:44 2016 # Generated by iptables-save v1.4.21 on Thu Apr […]

我有iptables在Centos 7上工作，使用v1.4.21版本，但也testing了v1.6.0（请注意，我没有重build内核，因为它说我不再需要扩展）。 我build立了一个配额，并被使用： # iptables -nvx -L 192.168.2.5 Chain 192.168.2.5 (2 references) pkts bytes target prot opt in out source destination 3639 3999378 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 quota: 4000000 bytes 142 175468 DROP all — * * 0.0.0.0/0 0.0.0.0/0 # 然后，当我添加任何其他规则到这个链，现有的规则“重置”字节的使用，并再次用尽配额： # iptables -I 192.168.2.5 -m quota –quota 1000 -j ACCEPT # […]

我想要的是 我必须用squid，dansguardian和nginx来实现一个非常具体的设置。 在这里我非常具体，因为类似的问题经常要求更多的信息来给出准确的答案。 此外，我通常不会做networking的东西，我目前的解决scheme是从其他Stack Exchange的问题和答案中挑选拼图的结果，所以请原谅/纠正我迄今为止所犯的任何错误/误解。 本质上，我想阻止通过端口80和443访问互联网的任何尝试，除非通过端口3128上的代理访问所述端口。原因是这样，代理和Dansguardian可以过滤/阻止不受欢迎的网页。 我们决定使用非透明的代理，以便我们可以使用非阻塞SSL阻塞。 这部分已经在工作了。 但是，如果客户端尝试直接访问Web，而不是放弃尝试，Magic Box应该将客户端redirect到关于如何设置代理的分步指南。 我们设置了wpad来消除手动configuration客户端设备的需要。 不过，OSX和Linux，更重要的是iOS和Android没有默认启用的wpad支持（或者完全不支持）。 我们的第一个想法是留下客户的指示，如何设置在纸上的设备。 然而，我的老板要我设置redirect的变体，因为客户立即明白为什么互联网不能马上工作。 这是对所需设置的视觉帮助。 没有描绘的事实是， enp1s0和enp2s0是桥br0一部分。 networking图显示了所有相关的物理设备。 标有红色的是我们无法触摸或configuration的设备。 标记为绿色是我们的设备。 “魔盒内”图表显示了所需的路由决策 目前的情况 我们原来的ebtables / iptables规则，我们将在纸上留下一步一步的configuration指南，看起来像这样 ebtables -A FORWARD -p ipv4 -i lo -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j ACCEPT ebtables -A FORWARD -p ipv4 -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j DROP ebtables -A […]