タグ付けされた質問 「iptables」

Red Hat Enterprise Linux Server release 7.2 (Maipo)再起動時にiptableルールをリセットするRedhatサーバー（）があります。 バージョン6のドキュメンテーションによると、私は実行します： /sbin/service iptables save これは次を返します： The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. メッセージを正しく理解した場合、次のことを試みました。 sudo systemctl iptables save これは次を返します： Unknown operation 'iptables'. 特に、IPテーブルの保存に関するバージョン7のドキュメントは見つかりませんが、以前のバージョンでは同じコマンドがサポートされています。 iptables設定を保存するにはどのコマンドを実行すればよいですか？ 参考のために： Firewall d …

10 iptables  rhel7 

外部ソースからmysqlへの接続を許可しないサーバーがあります。私のデータベースと接続はすべてlocalhostで行われます。iptablesのデフォルトポリシーは、指定していないポートの接続をドロップすることです（現在、iptableルールでポート3306が指定されていないため、このポートへのすべての接続がドロップされます）。 それで問題ありませんが、今度はAmazon RDSの外部にあるmysqlデータベースに接続したいと思います。 ポート3306は、次のように外部に開放できます。 iptables -t filter -A INPUT -p tcp --sport 3306 -j ACCEPT iptables -t filter -A OUTPUT -p tcp --dport 3306 -j ACCEPT これにより、Amazon RDS上のデータベースに接続できますが、サーバー上のデータベースへのリモート接続も可能になります。 サーバーがAmazonのデータベースに接続できるようにするが、サーバー上のデータベースへの外部接続を制限するにはどうすればよいですか？ また、Amazon RDSインスタンスのIPアドレスは定期的に変更される可能性があることにも注意してください。

10 iptables 

各パケットは異なるコアで処理されますか？それともシングルスレッドプロセスですか？

10 iptables 

TL：DR iptablesの設定を変更したところ、SSHがすべての接続を拒否しています。ホスティング会社に連絡せずにこれを修正できますか？ ロングバージョン わかりました、これはおそらく100％私自身のせいです... Webサイトを専用サーバーに移動する準備として、CentOS 5.6を実行する新しいホストマシンを入手しました。マシンにはiptablesがかなりロックダウンされており、ssh（22）とhttp（80）のみが許可されていますが、ポート20 en 21でFTPを受け入れるためにも必要です。 今日の午後、ポート20と21への着信接続を受け入れるために、iptablesにreject all行を追加しました。ftpに追加した行の上に行があったため、最初は機能しませんでした。そのため、その行を下に移動し、iptablesを保存して再起動すると、ftpが機能していました。 2時間後、もう一度接続しようとすると、port 22: Connection refused http でも同じです。 SSH経由でサーバーにアクセスできないので、ホスティング会社に連絡せずにこれを修正する方法はありますか？

10 centos  ssh  iptables 

で/proc、私はnf_conntrack_maxのための2つのエントリがあります。 / proc / sys / net / netfilter / nf_conntrack_max / proc / sys / net / nf_conntrack_max 一方を変更するともう一方も変更されるのと同じ値を指しているようです。これらの両方で設定/etc/sysctl.conf： net.netfilter.nf_conntrack_max = 65528 net.ipv4.netfilter.ip_conntrack_max = 65535 再起動後も値は32764のままなので、変更は機能しません。これまでに誰かに遭遇したことがありますか？私の推測では、これらの値は関連するモジュールがロードされる前に適用されますが、誰かがすでにソリューションを知っていることを望んでいました。

10 linux  iptables  ubuntu-9.10  sysctl 

私は多かれ少なかれ、AWSの設定に従っています： 3台のマシンまたは3つの異なるアベイラビリティーゾーンを備えたElastic Load Balancer。私のセキュリティグループでは、Railsアプリケーション（nginx、unicorn）であるため、0.0.0.0 / 0：80を許可しています。 特定のパブリックIPアドレスへのアプリへのアクセスを拒否する方法があるかどうか疑問に思っていましたか？私はAWSのドキュメントを読んでいますが、SGは「すべて拒否」であるため、特定のIPアドレスを1つだけ拒否する方法はありません。 何か案は？ロードバランサーの背後にある3台のマシンのiptables？ ありがとう！

10 amazon-ec2  iptables  ip  amazon-web-services  deny 

Linux Debianでポート「5901」に接続または接続しようとしているすべてのIPアドレスをログに記録することはできますか？ どうやってやるの？

10 linux  debian  iptables  firewall 

（SOから移動） 私はsipサーバーを保護するiptablesを持っています。私が特別に開いたものを除くすべてのIPをブロックし、ほとんどすべての人で機能するようです。ホワイトリストに載っていない多くのIPアドレスからテストしましたが、すべて期待どおりにドロップされます。 しかし、私はiptablesルールを迂回できると思われる「ハッカー」を拾いました。彼の調査中のINVITEはそれを成功させ、私はそれがどのように、あるいはそれが可能であったかさえ知りません。10年間、私はこれを見たことがない。 自分がやったことだと思いますが、見えません。 このように作成されたiptables（MYIPは上部で定義されています-編集済み）： iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -d $MYIP --dport 22 -j …

9 linux  iptables  firewall  voip  sip 

nmap標準スキャンでフィルタリングされたポートが他のユーザーに表示されないようにしたい（非特権）。次のポートを開いているとします。22、3306、995、およびファイアウォールは次のように構成されています。 -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -p tcp -m tcp --dport 3306 -j DROP -A INPUT -p tcp -m tcp --dport 995 -j DROP これはnmapスキャンの結果です： [+] Nmap scan report for X.X.X.X Host is up (0.040s latency). Not shown: 90 closed ports PORT STATE …

9 linux  security  iptables  tcp  tcpip 

サーバー上のIPのセット全体をブロックしたいと思います。 iptables -A INPUT -s 77.0.0.0/8 -j DROP 私が走ると iptables -L そのレコードでは、IPの代わりに奇妙なドメインを取得します DROP tcp -- x4d000000.dyn.telefonica.de/8 anywhere

9 iptables 

サービスが実行されていないポートを閉じることには利点がありますか？ 次に何をするかではなく、iptablesレベルで接続を終了することで何が得られますか（私はOSを推測します）。

9 linux  networking  iptables  firewall  port 

OpenBoxSwitchを使用してvirtualBoxゲストマシン間のスイッチドネットワークを作成しています。ホストOS（Ubuntu 12.04）をこのネットワークに参加させ、この仮想ネットワークのゲートウェイとして構成します。 最初に、vswitchを作成し、デバイスをタップするためにポートを追加しました（その仮想マシンはそれらをブリッジインターフェイスとして使用します）。 ovs-vsctl add-br sw0 ovs-vsctl add-port sw0 tap0 その後、私はLubuntu 12.04仮想マシンのIPを静的に設定しました： ifconfig eth0 192.168.1.3/24 up route add -net 0.0.0.0/0 gw 192.168.1.1 ホストOS側では、IPアドレスも設定します。 ifconfig sw0 192.168.1.1/24 up 現在、LubunutからUbunutuにpingを送信できます。ここで、ホストマシンでIPマスカレードを使用して、ネットワーク192.168.1.0/24から物理的なインターフェイス（インターネットに接続されている）にトラフィックを転送します。 sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE したがって、Lubuntu（仮想マシン）から、Ubuntu eth1インターフェイスにpingを実行できますが、実際のネットワーク（例：実際のLAN上のゲートウェイ）に到達できません。 nslookup google.com dig @8.8.8.8 yahoo.com dig …

9 iptables  ip-forwarding  openvswitch 

私はiptablesルールをセットアップして、IPによる1分あたり3回の試行のみを許可し、SSHを介してサーバーに接続し、その後SSH攻撃を防ぐためにすべての接続をドロップします。しかし、私は何か間違っているようです！ -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP -A INPUT -p tcp -m state --state …

9 ssh  iptables  brute-force-attacks 

ポートフォワードで問題が発生しています。NATは問題なく動作しているようで、ポート転送のうち1つが動作しているようです（UDPポート7887からマシン192.168.1.100へ）。しかし、他のものではありません。 重要ではないかと思いますが、eth1とeth2はデュアルポートNICにあります。 WANインターネットアクセスはdhcpで提供されるため、可能であればソリューションはWAN_IPに依存しないようにする必要があります。 /opt/firewall.sh #!/bin/sh WAN="eth1" LAN="eth2" #ifconfig $LAN up #ifconfig $LAN 192.168.1.1 netmask 255.255.255.0 echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i …

9 iptables  nat  port-forwarding 

iptablesバイトカウンターはいつリセットされますか？再起動または他のローテーションで？

9 linux  ubuntu  iptables