タグ付けされた質問 「iptables」

接続を処理するプロセスがストリームを取得する前に、既知のtcp host：portからの着信トラフィックに小さな変更を加える必要があります。 たとえば、192.168.1.88をWebサーバーを実行するリモートホストとします。 ローカルホストのプロセスが192.168.1.88:80（例：ブラウザー）からデータを受信すると、データはまず次のようにに置き換えtext-Aられて変更されtext-Bます。 127.0.0.1：...は192.168.1.88:80に接続します 127.0.0.1：...は192.168.1.88:80に送信します。 GET / 192.168.1.88:80は127.0.0.1に送信します：...： HTTP/1.0 200 OK Content-Type: text/plain Some text-A, some other text そのデータはシステムによっていくらか傍受され、出力が次のようなプログラムに渡されます。 HTTP/1.0 200 OK Content-Type: text/plain Some text-B, some other text システムは、変更されたデータを、192.168.1.88：80からのように、127.0.0.1：...を処理するプロセスに渡します。 ストリームベースの方法でこの変更を行う（sedたとえば、使用する）と仮定すると、着信tcpストリームを前処理する最も簡単な方法は何ですか？ これにはが含まれると思いますが、iptables私はあまり得意ではありません。 アプリケーションは元のホストを処理するように感じる必要があるため、プロキシの設定はおそらく解決策ではないことに注意してください。

9 iptables  tcp  transparent-proxy 

制限モジュールはソースIPごとであると誤って考えましたが、すべてのリクエストに基づいているようです： 577 36987 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 3/sec burst 5 46 3478 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 46 3478 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 ... …

9 linux  networking  iptables  router 

/ etc / network / interfacesでIPTABLESを使用しています pre-up iptables-restore /etc/firewall.txt /etc/init.d/iptablesUbuntuのようなものを検索してみましたが、それは存在しないようです.sysadminの作業のために一時的にIPTABLEを停止する必要がある場合、どうすればよいですか？

9 ubuntu  iptables 

私は2つのイーサネットカード、つまりeth0とeth1が2つのまったく関係のないLANに接続されているLinuxシステム（Aとします）を使用しています。 基本的にeth0は通常のアプリケーショントラフィックに使用され、eth1はデバッグ目的でのみ使用されます。デバッグとは、クロスケーブルを使用してeth1がWiresharkを実行する別のLinuxボックス（Bとする）にリンクされていることを意味します。WiresharkがAのeth0を移動するアプリケーションパケットを処理できるようにしたい。 基本的に、ボックスBのWiresharkがパケットを傍受できるように、eth0インターフェイスからインターフェイスeth1に移動パケットをコピーする必要があります（何らかの理由で、LAN eth0に物理的にアクセスできません）。また、いくつかの規則に従って（ところでTCP / IPフィールドのみに基づいて）eth0からeth1にコピーするパケットを指定する必要があります。 また、Aを宛先とするパケットのサブセットのみをコピーしたいので、Aのeth0を無差別モードにする必要がないことにも注意してください。 iptablesだけを使用してこれを達成する方法はありますか？または、これを機能させるためにアプリケーションを作成する必要がありますか？パケットを「コピー」するにはどうすればよいですか？

9 linux  networking  iptables  packet-capture 

私のログには次のようなことが頻繁に見られます。 カーネル：ip_conntrack：テーブルがいっぱいで、パケットをドロップしています。 現在、ip_conntrack_maxを65536に設定しています（デフォルト、RHEL5）。 メモリ使用量を念頭に置いて、この値を安全にどれだけ増やすことができますか？このボックスには4GBのRAMがあります。このマシンが提供する機能の1つは、おそらく接続数が多いことを説明する静的コンテンツサーバーとしての機能であり、キャッシュに使用するOSメモリをできるだけ多く保持したいということでもあります。 また、次の2つの違いは何ですか？/ proc / sys / net / ipv4 / netfilter / ip_conntrack_max / proc / sys / net / ipv4 / ip_conntrack_max どちらを編集する必要がありますか？ ありがとう！

9 networking  iptables 

Dockerコンテナーのiptablesルールをセットアップしようとしています。nsenterを使用して、コンテナーのネットワーク名前空間内でiptablesコマンドを実行しています。 # log access to port 8080 PID=$(docker inspect --format "{{.State.Pid}}" $ID) /home/ubuntu/nsenter -n -t $PID iptables -A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j LOG このアプローチは、LOGルールを除いて完全に機能します。それらはどこにも記録しないようです。ホストシステムに適用される同じルールが機能し、にログを記録することに注意してください/var/log/kern.log。 これらのログルールの出力はどこにありますか？これはネットワーク名前空間の既知の問題/制限ですか？

9 networking  iptables  docker  containers 

このスクリプトをさまざまな場所からまとめました。私が期待しているのは、一度実行すると次のことを行うことです： ポート80と443のすべての「新しい」httpトラフィックを一時停止します-それらを「一時停止」するだけで、エラーは発生しません すべての「処理中」の要求が完了したときにhaproxyを正常に再起動します httpトラフィックを一時停止解除し、通常どおりビジネスを継続します。 これはどのように実行されますか？何か逃したことがありますか？ipに基づく何千ものaclルールがhaproxyが参照するファイルに保存されており、毎分数回リロードする必要があります。 #!/bin/sh # hold/pause new requests iptables -I INPUT -p tcp --dport 80 --syn -j DROP iptables -I INPUT -p tcp --dport 443 --syn -j DROP sleep 1 # gracefully restart haproxy /usr/sbin/haproxy -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -sf $(cat /var/run/haproxy.pid) # allow new requests to come …

9 iptables  bash  haproxy 

相互にIPSec接続をセットアップしようとしている2つのホストがあります。このため、UDPポート500と4500で通信する必要があるため、両端のファイアウォールでそれらを開きました（関連部分に表示）。 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -m udp -p udp --dport 500 -j ACCEPT -A INPUT -m udp -p udp --dport 4500 -j ACCEPT #..... -A INPUT -j REJECT --reject-with icmp6-port-unreachable ただし、鍵交換は成功しません。どちらの側も、UDPパケットを何度も再送信しようとし続け、最終的にあきらめるまで応答を聞くことはありません。 私はtcpdump一方の端から始めて、UDPパケットがフラグメント化されていて、2番目のフラグメントが入った後に到達不能なICMPポートが返されているのを観察しました。 このような失敗した交換の例（保護のためにサニタイズ）： 04:00:43.311572 IP6 (hlim 51, next-header Fragment (44) payload length: 1240) 2001:db8::be6b:d879 …

9 linux  iptables  ipv6  ip-fragmentation 

取得している悪意のあるトラフィックの特定のパターンを監視し、関連付けられているIPアドレスを禁止するようにfail2banを構成しました。 すべてがうまく機能しているようです-正規表現はパターンに適切に一致しており、問題のあるIPアドレスがiptablesに追加されています。 ただし、Apacheのログを確認すると、禁止されているIPアドレスからのヒットがまだあります。iptablesがまったく実行されていないようです。 したがって、すべてが正しく構成されていることを確認するために、いくつかの詳細を共有します。 まず、iptablesルールをクリアしてリロードします。 $ sudo iptables -F $ cat /etc/iptables.firewall.rules *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m …

9 ubuntu  iptables  fail2ban 

IPTablesでFTPサーバーを転送しようとしています。FTPサーバーはWindows 2008ボックス（Cerberus）で実行されています。 詳細勝利ボックス： IP：192.168.220.51 FTPポート：21 PASVポート：11000-13000 FTPサーバーはLANでうまく機能します。 ルーターは他のクライアント（NAT、DHCP、ファイアウォールなど）で問題なく機能しています。FTPサービスを外部に転送する必要がありますが、ポート20〜21は使用できません（既に使用済み）。 私はこれを試しましたが、うまくいきませんでした： iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 2121 -j DNAT --to 192.168.220.51:21 現在のIPTables構成： [root@router ~]# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt …

9 iptables  ftp  port-forwarding 

ネットワークにクライアントがあり、arpspoofのあるコンピュータを介してルーターに接続しています。パケット転送を停止したい場合は、次のコマンドを実行します。 iptables -A FORWARD -j REJECT それは私が期待したように働いています。しかし、私が次のようなことをしようとすると： iptables -A FORWARD -j ACCEPT パケットを最初のように通過させることができません。 私は何か間違ったことをしているのですか、それとも「承諾」とは異なる他の引数を使用する必要がありますか？

8 iptables  forwarding 

047で始まるiptablesのIPアドレスを禁止しようとしていますが、それは039に変更されます。 iptables -v -w -I INPUT 1 -s 047.75.162.122 -j DROP しかし、IPアドレスは39.75.162.122として禁止されます。 なぜこれが起こっていると思いますか？

8 iptables 

私のiptablesにこのルールがあります： iptables -A INPUT -p tcp -m tcp --dport 9191 -j DROP 「-m tcp」は本当に必要ですか？「-p tcp」を既に使用しているので、「-m tcp」を使用してより安全にする必要がありますか？

8 centos  iptables  firewall 

この質問ではmywebsite.comと呼ぶ新しいサイトにmonitを設定しています。monitのWebインターフェースページにアクセスするように設定をセットアップしましたが、接続できません。iptablesで実行している基本的なファイアウォールがあり、monitに穴を開けたと思いますが、monitのWebインターフェースに接続できず、その理由がわかりません。 まだ監視するものを何も設定していません。私のモニター構成は次のようになります。 ## Start monit in the background (run as a daemon): set daemon 120 # check services at 2-minute intervals set httpd port 2812 and use address mywebsite.com allow localhost allow admin:password これらのルールでmonitを再起動しました。 次のようなiptables構成で、monitのルールを作成しました。 #monit interface -A OUTPUT -p tcp --dport 2812 -j ACCEPT -A INPUT -p tcp --dport …

8 linux  iptables  http  monit 

主要なメディアのアップロード/ダウンロードサイトを運営していますが、次のことに気づきました。 これはファイルサイズが大きいために深刻なノイズですか、それともバックグラウンドノイズですか？/etc/sysctl.confに追加して問題を改善および防止するための微調整はありますか？ [8822139.804040] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822140.944041] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822143.224052] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822147.776079] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822156.896049] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822175.136049] TCP: Peer …

8 linux  networking  iptables  tcp  kernel