タグ付けされた質問 「iptables」

毎回Fail2Banを再起動せずにIPアドレスのブロックを解除しようとしていますが、これを行う最善の方法は何ですか？または、有用なガイドの方向を教えていただけますか？ 以下に示すように、削除しようとしているIPアドレスは89.31.259.161です。 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 …

11 iptables  fail2ban 

iptablesモジュール、たとえばip_conntrackやip_conntrack_ftpをどこにロードすればよいですか。 私が見つけた場所は候補者かもしれませんが、そうですか？ /etc/init.d/iptablesのIPTABLES_MODULES変数 /etc/modprobe.conf内 /etc/modprobe.d/xxxx.conf

11 centos  iptables  centos6  modprobe 

次の状況：私たちは、地元の居住者ホールのインターネット接続を管理する学生のグループであり、合計で約2000人のエンドユーザーがいます。 トラフィックポイントシステムがあり、MBごとにダウンポイントまたはアップロードコストポイントがあり、新しいポイントは1時間ごとに追加されます。現時点では、ユーザーがすべてのポイントを費やしたとき（DebianゲートウェイルーターのiptablesのREJECTポリシーにユーザーを配置することにより）ユーザーのインターネットアクセスをブロックします。 ユーザーの帯域幅を制限したいだけです。これを行う最良の方法は何ですか？ 簡単な答えは、ユーザーのスイッチポート（主にCisco Catalyst 3550）にレート制限を設定することです。ただし、これは望ましくありません。当社のネットワーク内および大学のネットワークへのトラフィックは無制限のままである必要があるためです。Cisco IOSで特定の宛先または送信元IP範囲（つまり、出力と入力の両方）を持つパケットに対してのみ帯域幅を制限する方法はありますか？何も見つかりませんでした。 もう1つの方法は、ゲートウェイルーター上のトラフィックを制御することです。いくつかの解決策が思い浮かびます。 tcまたはtcng-どちらもかなり難解な構文を持ち、IPごとのトラフィック制御を行うための優れた機能を提供しないようです。非常に多くの人々に専用のQDiscを使用すると、おそらくルーターの速度が大幅に低下します。さらに、両方のドキュメントはかなり時代遅れです。 shorewall-構成にはかなりきちんとした構文があるようですが、この量のトラフィックとユーザーを処理できるかどうか、およびIPごとのトラフィック制限に適しているかどうかはわかりません pfSense-私たちのような目的のために意図されたOSのように見えます。ただし、ゲートウェイルーターを完全に再インストールする必要があります。他のBSDシステムはなく、pfSenseには非常に優れたトラフィックアカウンティング機能が必要です（現時点ではfprobe-ulogとulog-acctdを使用しています）。 あなたの経験は？どのソリューションが私たちのニーズに合い、最も簡単に保守できますか？他にアイデアはありますか？ システムに関する追加情報が必要な場合は、お気軽にお問い合わせください。 前もって感謝します。 編集：私はシステムを実装しているiptablesとtc。 すべてのユーザーは、/ 28-subnet、VPN IP（両方とも10.0.0.0/8から）、および外部IPを持ち、すべて1つのiptablesチェーンを介して操作されます。このチェーンには、単純なルールが1つだけありRETURNます。 5分ごとに、Pythonスクリプトがこれらのルールのバイトカウンターを読み取ります。PostgreSQLデータベースのカウンターをリセットし、ユーザーのトラフィックポイントアカウントを更新します。 ユーザーのポイントバランスが特定のしきい値を下回った場合、このユーザーに対して2つのtcクラス（ゲートウェイルーターの受信用、送信インターフェイス用）が作成され、これらのクラスに属するtcフィルターにIPが入力されます。クラスはHTBによって速度制限されています。 以前のシステムと比較してfprobe-ulog、ulog-acctdこれはバイトカウントがiptablesによって行われるため、はるかに高速です。 ユーザーのネットワーク速度が大幅に向上しました。

11 linux  networking  cisco  iptables  traffic-shaping 

私は誰かが次のiptablesルールで私を助けることができるかどうか疑問に思っていました： ローカルで発生する（iptablesを実行しているサーバー上など）トラフィックのANYおよびALLを許可します。 DNS、HTTPなど...それすべて。iptablesを実行しているサーバーによって開始された接続はすべて許可する必要があります。 現在、基本的にOUTPUTデフォルトポリシーACCEPTを使用しています。これは正しいです？入力がブロックされているので、これは、私たちの側がOUTPUTポリシーに到達する前に接続がドロップされるため、接続（許可されているものを除く）を開始できないことを想定していますか？ 申し訳ありませんが、私のiptablesスキルは弱いです;） 誠にありがとうございます。

11 iptables 

SSH のみを許可し、他のトラフィックの送受信を許可しないようにIPTablesをどのように構成しますか？ 誰もが推奨できる安全対策はありますか？ 私は、そのサーバー持っていると信じて成功したのGoDaddyから離れて移行されたが、私は信じていません使用されなくなりました。 しかし、私は…あなたが決して知らないからといって確認したいと思います。:) これはGoDaddyの仮想専用サーバーであることに注意してください...つまり、バックアップも事実上サポートもありません。

11 firewall  iptables  godaddy 

CentOS環境にTomcatサーバーをデプロイしようとしていますが、リクエストを受信して​​いません。 startup.shを実行すると正常に動作し、ログにtomcatが実行されていることが示されます 16-Dec-2016 13:36:58.440 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [http-nio-8080] 16-Dec-2016 13:36:58.444 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [ajp-nio-8009] 16-Dec-2016 13:36:58.445 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 14803 ms netstatを実行してリスニングポートを確認すると、listenと表示される $netstat -atnp|grep LISTEN tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 3321/java ファイアウォールをスキップするために、iptablesにカスタムルールを追加しました。 $iptables -nL Chain INPUT (policy ACCEPT) target prot opt source …

10 centos  iptables  firewall  tomcat 

ええと、これはおそらく回答されました。残念ながら、私はそれが解決策であると思われるものを見つけていません。 私はこれらのページを見て、それらにはいくつかの有用な情報がありますが、完全な解決策ではありません： Linuxでの複数のISP接続の負荷分散とNAT処理 2つのインターネット接続と1つのNICが可能ですか？ Linux分割アクセス（複数のインターネット接続と負荷分散） Linuxファイアウォール+負荷分散ISP接続 私はDebian 8、Ubuntu 16.04デスクトップまたはUbuntu 16.04サーバー（正直なところ、おそらくDebian）を使用します。 では、2つのギガビットと3つのNICを搭載し、100 MbpsのオンボードLAN接続をオンボードにします。ISP接続は、両方のNICでPPPoE認証を介してギガビットLANカードを使用します（これが可能でない場合でも、DSLモデムの非ブリッジモードを使用します）。また、両方のネットワークに静的IPが割り当てられます。現在（変更されます）、プライマリ接続には5つのグループがあります。これらのIPアドレスのいずれかに着信するトラフィックを、ネットワーク上の適切なサーバーにルーティングする必要があります。 ここに私の質問があります： どうすれば設定できますか？NATing、IP Chans、IPマスカレード、ルーティングなどを使用していますか？ システムに入ってくるトラフィックを外部からネットワーク上の特定のIPアドレスにルーティングするにはどうすればよいですか？ 優しくしてください、これは私が以前にこのようなことを試みたのは初めてです:)。 編集1 ネットワークトポロジを追加するのを忘れました： 編集2 何かに気付いた... PPPoE認証を行うために、特定のインターフェイスで資格情報の認証を強制する必要があります。これはどのように行われますか？ 私はその質問をここに投稿しました： 2つのインターネット接続と1つのLAN接続を備えたマルチホームLinuxロードバランサーを作成する アップデート1 それでもマルチホップラウンドロビンを機能させることができません。次のサイトに記載されている手順を試してもうまくいきませんでした。 Linuxでの複数のISP接続の負荷分散とNAT処理 Linux-デュアルインターネット接続/負荷分散 HOWTO：Linuxでのマルチルーティング ファイルが既に存在するか、デバイスが無効であるというメッセージが表示され続ける。ここに/私の設定/情報があります IFCONFIG eth0 Link encap:Ethernet HWaddr ec:08:6b:04:8e:ac inet addr:172.16.0.2 Bcast:172.16.0.255 Mask:255.255.255.0 inet6 addr: fe80::ee08:6bff:fe04:8eac/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 …

10 networking  iptables  load-balancing  linux-networking  nat 

昨日、ここに質問を投稿しましたが、言葉でははっきりしていなかったと思います。ところで、この質問は重複ではありません。 以下のようにAWS VPCセットアップがあります。 目標/問題：インターネットからサーバーAにSSH接続します。そしてそれは働いていません。 サーバーAはプライベートサブネットにあるため、インターネットから直接サーバーAにSSH接続できるように、NATインスタンスでiptables NATを有効にしたい これとこれをフォローしています NATインスタンスで以下のコマンドを実行しました。 NAT# iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.1.243:22 NATインスタンスでIP転送が有効になっています。 NAT# sysctl -p net.ipv4.ip_forward = 1 MASQUERADEはNATインスタンスで実行されています： NAT# iptables -t nat -vnL POSTROUTING Chain POSTROUTING (policy ACCEPT 6 packets, 312 bytes) pkts bytes target prot opt in …

10 linux  iptables  nat  linux-networking  amazon-vpc 

サーバーを再起動したところ、奇妙な問題が発生しました。私はArchLinuxで実行しています。クライアントはUbuntu、Android、Macです。 問題は、クライアントを介したインターネットへのアクセスが遅く、約2ko / sで、ゆっくりと停止することです。 しかし、サーバーからクライアントに直接何かをダウンロードすることは、フルスピードで行われます。そして、明らかに、サーバーからのインターネットは彼の全速力（40mo / s）です。 再起動から何が起こったかはわかりませんが、この問題はすべてのクライアントで発生しており、openvpnがインターネットに転送するトラフィックにのみ関連しています。 編集：tcpで試して、解決しませんでした。編集：さまざまなフラグメント/ mtu設定をテストしました。変更はありません。 ここにすべての私のconfsがあります： ╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇ ╰─➤ cat Alduin.conf ccd/Thunderaan local 212.83.129.104 port 1194 proto udp dev tun ca keys/ca.crt cert keys/Alduin.crt key keys/Alduin.key dh keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" client-to-client keepalive 5 60 ping-timer-rem comp-lzo persist-key persist-tun status …

10 linux  iptables  routing  ip  openvpn 

MySQLサービスを提供するサーバー上にかなりシンプルなiptablesファイアウォールがありますが、iptablesは非常に一貫性のない結果を与えているようです。 スクリプトのデフォルトポリシーは次のとおりです。 iptables -P INPUT DROP その後、次のルールでMySQLを公開できます。 iptables -A INPUT -p tcp --dport 3306 -j ACCEPT このルールを設定すると、サーバー上の任意のソースIPから任意の宛先IPに問題なくMySQLに接続できます。しかし、上記の行を次のように置き換えることでアクセスを3つのIPのみに制限しようとすると、問題が発生します（xxx =マスクされたオクテット）。 iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.184 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -m state --state NEW -s 208.XXX.XXX.196 -j ACCEPT iptables -A …

10 mysql  iptables  ip-aliasing 

私たちは最近IPv6の実験を開始しました。私たちが対処しなければならない最初の問題の1つは、2つのプロトコルスタックのファイアウォール（Linux iptables / ip6ables）ルールの完全に別個のセットを処理することです。私たちのファイアウォールロジックは、主にいくつかの目的固有のネットワークに基づいています（たとえば、10.0.0.0 / 24はスタッフワークステーションネットワーク、10.1.0.0 / 24はデータベースネットワーク、10.2.0.0 / 24はWebサーバーネットワークなど） ）、IPv6とIPv4の両方のロジックは、ほとんど同じで、モジュロが異なるネットワークプレフィックスになります。 このような状況を管理するために、人々は何をしていますか？理想的には、同じソースファイルからiptablesとip6tableの両方のルールセットを生成できるようにしたいと考えています。私はすでにbashを使用して何かを一緒に投げましたが、それは必ずしもきれいではなく、もっと良い解決策がどこかに存在しているはずだと思います。 ルール（またはルールのグループ）の相対的な順序を実装するためにPuppetの独自の依存メカニズムをうまく活用するPuppetベースのソリューションに特に興味があります。

10 linux  firewall  iptables  ipv6 

iptablesPuppetでルールを管理するという考えが浮上しました。私はそれaugeasがiptablesレンズを持っているのを見ますが、それは現在実験的です。 これをどのように処理するかについて誰かが何か提案はありますか？理想的には、サーバーのクラスに基づいてチェーンを構築したいと思います。

10 linux  iptables  configuration  puppet 

VirtualBox VM（ホストとゲストの両方にUbuntu Maverick）を持っています。私のVPNプロバイダーはOpenVPNを使用してTUNを設定しています。VMからのトラフィックがVPNのみを経由し、VPNがダウンした場合にのみドロップされるように設定します（それが発生した場合）。提案？私のiptables-fuは少し弱い 私が試したこと：VirtualBoxの「ホストオンリーネットワーキング」を使用して、ホスト上のvboxnet0ループバックインターフェイスをゲストに提供しますが、iptables / routesを正しく取得できませんでした。VMでのNATは避けたいと思います。すでにNATが2倍になっている（ISPとホームルーター）ので、もう1つレベルを上げると頭が躍ります。 その他の可能性：TAPへの切り替え（方法）およびVMへのブリッジ。VM内にVPNを作成し、VPN以外のすべてのeth0トラフィックをフィルタリングするiptablesで接続する（ただし、以下を参照） ボーナスポイント：ホストのVPNを介してゲストからのトラフィックを二重トンネリングせずに、ホストとゲストで異なるVPN出口ポイントを使用する方法を教えていただければ。

10 networking  virtualization  vpn  iptables  virtualbox 

CentOS 5.3を実行していて、nf_conntrackモジュールを無効にしてhaproxyのネットワークパフォーマンスを向上させたいと考えています。いくつかの単純なルールでiptablesを実行しています。接続追跡は本当に必要ありません。 Rackspaceクラウドサーバーで実行しているため、カスタムカーネルを実行できません。modprobeを実行してみましたが、うまくいきません。 [mmarano@w1 w1]$ sudo modprobe -n -r nf_conntrack FATAL: Module nf_conntrack is in use. [mmarano@w1 w1]$ uname -a Linux w1.somewhere.com 2.6.24-23-xen #1 SMP Mon Jan 26 03:09:12 UTC 2009 x86_64 x86_64 x86_64 GNU/Linux [mmarano@w1 w1]$ cat /etc/redhat-release CentOS release 5.3 (Final) これを取り除いた後も引き続きiptablesを実行したいので、すべてのnetfiltersを完全に破棄することはできません。誰もが何か考えを持っていますか？

10 linux  centos  iptables  kernel-modules 

Linuxサーバーのセキュリティ、特にブルートフォース攻撃とfail2banとカスタムiptablesの使用に関するコミュニティの頭脳を取り上げたいと思います。 似たような質問がいくつかありますが、どれも私の満足するトピックには対応していません。手短に言えば、ブルートフォース攻撃からインターネットに公開されているLinuxサーバー（通常のサービス、ssh、web、メールを実行している）を保護するための最良のソリューションを決定しようとしています。 私はサーバーのセキュリティにまともなハンドルを持っています。つまり、ルートまたはパスワードのログインを許可しない、デフォルトのポートを変更する、ソフトウェアが最新であることを確認する、ログファイルをチェックする、特定のホストのみがサーバーにアクセスできるようにすることでsshをロックし、セキュリティを利用する一般的なセキュリティコンプライアンスのためのLynis（https://cisofy.com/lynis/）などの監査ツールなので、入力やアドバイスはいつでも歓迎しますが、この質問は必ずしもそれに関するものではありません。 私の質問は、どのソリューションを使用するか（fail2banまたはiptables）、それをどのように構成するか、または両方の組み合わせを使用してブルートフォース攻撃から保護するかです。 トピックに関して興味深い応答があります（Denyhosts対fail2ban対iptables-ブルートフォースログオンを防止する最善の方法？）。私個人にとって最も興味深い答えは（https://serverfault.com/a/128964）であり、ログファイルを解析するためにユーザーモードツールを使用するfail2banとは対照的に、iptablesルーティングはカーネルで発生します。Fail2banはもちろんiptablesを使用しますが、アクションを実行するまで、ログファイルを解析してパターンを照合する必要があります。 次に、iptablesを使用し、レート制限（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）を使用してIPからのリクエストを一定期間ドロップすることは理にかなっていますか接続しようとしていたプロトコルに関係なく、特定の期間中に接続試行が多すぎる時間の割合 もしそうなら、ここでそれらのパケットにドロップと拒否を使用することについていくつかの興味深い考えがあります（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject）、それについての考えはありますか？ Fail2banでは、デフォルトの構成では対応できない可能性のあるサービスのカスタム「ルール」を記述できる形式でカスタム構成が可能です。インストールと設定は簡単で強力ですが、xの量を超えてサービス/プロトコルで2回失敗した場合、サーバーからIP を「ブロック」するだけで済むとしたら、やりすぎかもしれません。時間の？ ここでの目標は、毎日のログウォッチレポートを開くことであり、サーバーへの接続に失敗したページをスクロールする必要はありません。 お時間をいただきありがとうございます。

10 ssh  security  iptables  fail2ban  brute-force-attacks