我一直在试图把一个基本的服务器iptables脚本放在一起,这个脚本可以在大多数使用HTTP(S)和SSH(端口80,443和22)的网站上运行。 毕竟,大多数VPS只需要这些起始端口规则,并可以根据需要添加邮件或游戏端口。 到目前为止,我有以下规则集,我想知道是否有人知道更好的脚本或可以添加的任何改进。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # […]
我一直在尝试(几个小时)configurationiptables允许DNS查询到我的DNS服务器,只是发现我的iptables保持阻止访问由于我一直使用的规则添加选项。 大多数论坛build议的规则类似于以下内容: iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT 然而,在我的情况下,我不得不改变规则到一个inserttypes为了它的工作: iptables -I INPUT -p udp -m udp –dport 53 -j ACCEPT 我知道一个规则是为了插入,另一个是插入,还有两个术语是什么意思,但是有人可以解释两者之间的区别,以及何时使用哪个选项? 我查了一下Ubuntu的iptables怎么样,但是在那里看不到很多信息。
这是关于理解和debuggingLinux系统上的软件防火墙的一个build议性 规范问题 。 为了回应EEAA的回答和@Shog的评论,我们需要一个合适的典型问答来解决关于iptables的一些相对简单的问题。 什么是结构化的方法来debuggingLinux软件防火墙的问题, netfilter包过滤框架,通常由userland interface iptables引用? 什么是常见的陷阱,反复出现的问题和简单或稍微模糊的事情来检查偶尔的防火墙pipe理员可能会忽略或从知道获益? 即使使用UFW , FirewallD (aka firewall-cmd ), Shorewall或类似的工具,也可以从这些工具所提供的抽象层之下查看底层。 这个问题不是作为构build防火墙的方法:查看产品文档 ,例如为iptables提供食谱,或者search带标记的iptables ufw firewalld firewall-cmd问题,以获得现有频繁和高度评价的高分 Q&A的。
正如标题所述,我有一个Linux的盒子。 据我可以告诉我可以使用hosts.allow / hosts.deny或iptables来保护。 有什么不同? 有没有可以使用的另一种机制?
我必须在Linux服务器上设置防火墙(我以前的经验都是在Windows上)。 我的规则是相当简单的 – 禁止所有,允许一些端口与所有,允许一些特定的IP子网端口,而networking是小而复杂的(每个主机的IP至less有2 192.168 …网,每个人都可以互连许多不同的方式)。 我认为使用iptables包装可以过度复杂的逻辑上引入许多不必要的实体的系统,它会更好地保持简单,直接使用iptables。 你能推荐一个很好的介绍如何写iptables规则吗?
我正在使用iptable规则来过滤和操纵我的Ubuntu服务器中的数据包。 但我不明白的mangle表。 引用这个iptables教程 : 这个表格应该和我们已经注意到的一样,主要用于包装。 换句话说,你可以自由地使用可以用来改变TOS(服务types)字段等等的mangle比赛等等。 强烈build议您不要使用此表进行任何过滤; 本表中也不会有任何DNAT,SNAT或伪装。 任何人都可以向我描述mangle表,并提供一些例子来了解我应该使用它吗?
有人告诉我这是可能的,但我无法find谷歌或手册页上的任何东西。 我需要禁止一段时间的IP,然后自动解除绑定。
我需要configuration我的机器只允许来自serverfault.com的HTTPstream量。 所有其他网站,服务端口都不可访问。 我想出了这些iptables规则: #drop everything iptables -P INPUT DROP iptables -P OUTPUT DROP #Now, allow connection to website serverfault.com on port 80 iptables -A OUTPUT -p tcp -d serverfault.com –dport 80 -j ACCEPT iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT #allow loopback iptables -I INPUT 1 -i lo -j ACCEPT 这不太合适: 在我放下所有东西后,继续进行规则3: iptables […]
我想要允许所有stream量到特定的ip,使用iptables。 尝试通过添加行: /sbin/iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT …但仍然无法访问远程IP(XXX.XXX.XXX.XXX)。 任何build议? tnx in adv! 编辑:与您的build议我已经改变了iptables。 我仍然无法连接到远程服务器。 iptables状态如下所示: [root@myserver ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination Chain […]
我正在使用的环境是一个大型的networking托pipe操作(pipe理几百个服务器,几乎所有的公共地址等等 – 所以谈论pipe理ADSL链接的任何事情都不太可能奏效),而且,重新寻找可以轻松pipe理核心规则集(当前计数的iptables中大约12,000个条目)以及我们为客户pipe理的基于主机的规则集。 我们的核心路由器规则集每天更改几次,基于主机的规则集每月可能会更改50次(在所有服务器上,所以每五台服务器每月可能会更改一次)。 我们目前使用的是filtergen(通常是球,在我们的规模上是超级球),而且我在其他工作中使用过shorewall(这对于filtergen来说更好一些,但是我认为有必要在那里比那更好)。 我们为任何替代系统提出的“必须”是: 必须快速生成一个规则集(在我们的规则集上运行filtergen需要15-20分钟;这只是疯狂的) – 这与下一点有关: 必须生成一个iptables-restore样式文件,并在一次命中中加载,而不是每个规则插入调用iptables 在规则集重新加载时,不得长时间取下防火墙(这也是上述结果) 必须支持IPv6(我们没有部署任何与IPv6不兼容的新function) 必须是无DFSG的 必须使用纯文本configuration文件(因为我们通过版本控制来运行所有的东西,使用标准的Unix文本操作工具是我们的SOP) 必须同时支持RedHat和Debian(包装首选,但至less不能公然敌视发行版的标准) 必须支持运行任意iptables命令来支持不属于系统“本地语言”的function的能力 任何不符合所有这些标准的将不被考虑。 以下是我们的“很高兴”: 应该支持configuration文件的“片段”(也就是说,你可以把一堆文件放在一个目录中,然后对防火墙说“在规则集中包含这个目录中的所有内容”);我们广泛使用configurationpipe理,并希望使用此function自动提供服务特定的规则) 应该支持原始表格 应允许您在传入数据包和拒绝规则中指定特定的ICMP 应该优雅地支持parsing到多个IP地址的主机名(我们已经被filtergen捕获了几次,这是一个相当大的痛苦) 该工具支持的更多的可选/奇怪的iptablesfunction(本地或通过现有的或易于写入的插件)更好。 我们现在使用的是iptables的奇特function,而那些“正常工作”的function越多,对大家越好。