タグ付けされた質問 「iptables」

問題と狙い ISPからIPv6を取得していないため、IPv6トンネルは正常に動作しますが、もちろん非常に高速ではありません。そして、本当に信頼できません。「念のため」にIPv6を使用できるようにしたいのですが、特定のホスト（ドメイン）をIPv4のみで接続する必要があります。 デフォルトのプロトコル すべてのアプリケーションが最初にIPv6を試すように思えます。これはおそらくglibcの設定です。このデフォルトが（すべてのアプリケーションに対して）逆にされれば、私は問題ありません。 ネットフィルター NetfilterでIPv6アドレス/ネットワークをブロックすることは可能ですが、2つの問題があります。 アプリがIPv4を試す前にIPv6タイムアウトを待機するため、遅延が発生しますか？ いくつかのドメインは混沌としたように混ざっているようです。google.comとyoutube.comを分離することは、それを回避できるのであれば望ましくないように思えます。 私はただのmanページがあることに注意しip route、ルーティングタイプのために言いますunreachable： ローカル送信者はEHOSTUNREACHエラーを受け取ります。 NetfilterのDROPまたはREJECTでも同じことが起こりますか？このようなエラーが原因で遅延が発生することはありません。 DNSフィルタリング 別の解決策（それが可能であればかなり簡単な解決策）は、特定のドメインのAAAAレコードをフィルタリングすることです。それが（簡単に）できない場合：DNSサーバーとNetfilterを接続して、「IPアドレスXがドメインYに属している」ことを確認して、それをNetfilterに追加できますか？すべてをログに記録してログをgrepするよりもエレガントなものはありますか？ 行く方法？ どの（その他の）可能性があり、最も簡単なものは何ですか？

8 linux  domain-name-system  iptables  ipv6  glibc 

CentOSマシンのDNS設定のためにポート53を開くときに問題が発生します。 これが私のiptables設定です -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT マシンのnmapスキャンを実行すると、ポート80だけが開いていると表示されました。何か不足していますか？ 編集： 完全なiptable *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p udp -m state --state NEW,ESTABLISHED -m udp --dport 53 -j ACCEPT -A …

8 centos  iptables  firewall 

10.0.3.2ホストでLXCコンテナ（）を実行しています。ポート上のコンテナー内でサービスが実行されています7000。 ホスト（10.0.3.1、lxcbr0）から、サービスにアクセスできます。 $ telnet 10.0.3.2 7000 Trying 10.0.3.2... Connected to 10.0.3.2. Escape character is '^]'. コンテナー内で実行されているサービスを、外部の世界からアクセスできるようにしたいと思います。したがって、7002ホストのポート7000をコンテナのポートに転送したいと思います。 iptables -t nat -A PREROUTING -p tcp --dport 7002 -j DNAT --to 10.0.3.2:7000 結果は（iptables -t nat -L）になります： DNAT tcp -- anywhere anywhere tcp dpt:afs3-prserver to:10.0.3.2:7000 それでも、転送されたポートを使用してホストからサービスにアクセスできません。 $ telnet 10.0.3.1 7002 Trying 10.0.3.1... telnet: Unable …

8 iptables  port-forwarding  lxc 

ユニット＃1（192.168.1.1）からユニット＃2（.1.2）にudpビデオストリームを送信する独自​​のシステムがあります。このシステムに変更を加えることはできません。別のプログラムでアクセスできるように、このudpストリームを複製しようとしています。このプログラムはビデオを処理し、マルチキャストストリームとして再度送信します。 3つのネットワークカードを備えたLinuxマシン（Ubuntu Server 12.04を実行中）を使用してこれを実行したいと思っています。ユニット＃1と＃2をLinuxマシンの2つのネットワークカード（eth0とeth1）に接続し、ブリッジを使用して、それらを通信させます。私の/ etc / network / interfacesは次のようになります： # The loopback network interface auto lo iface lo inet loopback # The external interface auto eth3 iface eth3 inet static address 192.168.10.2 netmask 255.255.255.0 # The bridge interface auto br0 iface br0 inet manual bridge_ports eth0 eth1 これは機能し、tcpdumpを使用して、udpパケットが＃1から到着し、ポート6000で＃2に向かっていることを確認しました。 次のステップは、iptablesを使用して、192.168.1.1から＃2のポート6000に送信されるすべてのudpパケットを複製することです。私はiptablesにあまり詳しくありませんが、オンラインとマニュアルを読んだ後、これはうまくいくと思いました： iptables …

8 iptables  udp  video-streaming 

私は、外側に10GBeインターフェース、内側に結合されたギガビットイーサネットインターフェースを持つLinuxルーターを持っています。 現在、2GBit / sの予算があります。1か月の平均速度が5％を超えると、10ギガビット/秒の容量全体が課金されます。ドルでかなりのステップアップ。 したがって、これを10GBeインターフェースで2GBit / sに制限したいと思います。 TBFフィルターが理想的かもしれませんが、このコメントは心配です。 Alphaを除くすべてのプラットフォームでは、理想的な最小限のバースト性で最大1mbit / sの通常のトラフィックを形成し、構成されたレートで正確にデータを送信できます。 このレートをインターフェイスに適用するためにTBFまたは他のフィルターを使用する必要がありますか。ここに示されている例が理解できません 。TrafficControl HOWTO 特に「例9. 256kbit / s TBFの作成」 tc qdisc add dev eth0 handle 1:0 root dsmark indices 1 default_index 0 tc qdisc add dev eth0 handle 2:0 parent 1:0 tbf burst 20480 limit 20480 mtu 1514 rate 32000bps …

8 linux  iptables  routing  traffic-shaping 

SSHポートを22から23453に変更すると、sshでログインできなくなります。 詳しくは、Amazon Web ServicesでRed Hat EC2インスタンスを使用しています。これは、フレッシュインストールで行った2番目の変更です（最初の変更は非rootユーザーを追加することでした）。 Git Bashとローカルの.ssh / configファイルを使用してうまくsshできます。/etc/ssh/sshd_configの現在の行を編集します #Port 23453 言う Port 23453 次にsshdを再起動します sudo service sshd restart 次に、.ssh / configファイルに「Port 23453」という行を追加します。 Host foo Hostname my-ec2-public-DNS Port 23453 IdentityFile my ssl key （既存の接続を閉じずに）別のGit Bashシェルを開き、（ssh fooを使用して）インスタンスにSSH接続しようとすると、次のエラーが表示されます。 ssh: connect to host my-ec2-public-DNS port 23453: Bad file number このインスタンスにアタッチされているセキュリティグループには2つのエントリがあり、どちらもTCP 22 (SSH) …

8 ssh  amazon-ec2  iptables  redhat  amazon-web-services 

更新： そこで解決策を見つけました：http : //www.linuxfoundation.org/collaborate/workgroups/networking/bridge#No_traffic_gets_trough_.28except_ARP_and_STP.29 # cd /proc/sys/net/bridge # ls bridge-nf-call-arptables bridge-nf-call-iptables bridge-nf-call-ip6tables bridge-nf-filter-vlan-tagged # for f in bridge-nf-*; do echo 0 > $f; done しかし、私はこれについて専門家の意見を持ちたいのです。すべてのbridge-nf- *を無効にしても安全ですか？彼らは何のためにここにいるのですか？ 更新の終わり LXCコンテナーをホストの物理インターフェイス（eth0）にブリッジし、テーマに関する多数のチュートリアル、ドキュメント、ブログ投稿を読む必要があります。 コンテナーに独自のパブリックIP（以前にKVM / libvirtを実行したもの）が必要です。 2日間検索して試した後でも、LXCコンテナーで動作させることができません。 ホストは、新しくインストールされたUbuntu Server Quantal（12.10）を実行し、libvirt（ここでは使用していません）とlxcのみがインストールされています。 私はコンテナを作成しました： lxc-create -t ubuntu -n mycontainer したがって、彼らはUbuntu 12.10も実行しています。 / var / lib / lxc / …

8 networking  iptables  bridge  lxc 

CentOS 5および6 Linuxのiptablesで、root、apache、または誰も実行していないプロセスが発信接続を開始しないようにするにはどうすればよいですか？ CentOS 5 Linuxでは、次の行を/ etc / sysconfig / iptablesに入れてみました。 -A OUTPUT -m owner --uid-owner root -j DROP -A OUTPUT -m owner --uid-owner apache -j DROP -A OUTPUT -m owner --uid-owner nobody -j DROP しかし、残念ながらエラーが発生します： # sudo service iptables restart iptables: Flushing firewall rules: [ OK ] iptables: Setting …

8 centos  firewall  iptables  centos5  centos6 

特定のタイプのICMPパケットは有害である可能性があることを読みました。質問： どれがなぜですか？ 各タイプのICMPパケットを処理するには、iptablesルールセットをどのようにレイアウトすればよいですか？ これらのタイプのICMPパケットをレート制限する必要がありますか？そしてどうやって？ [¹]私が読んだタイプ：リダイレクト（5）、タイムスタンプ（13）、アドレスマスクリクエスト（17）。あなたの答えでこれらだけを考えないでください。 詳細 これは、Ubuntu Serverを備えたVPS上のWebサーバーです。 私がシステムをより安全にし、いくつかのD / DoS攻撃と一般的な乱用のリスクを軽減しようとしている目標。 関連 Linuxファイアウォールは安全ですか？ ICMPをブロックしないのはなぜですか？

8 linux  networking  security  iptables  icmp 

Ubuntu Serverでiptablesを使用しています。これはVPS上のWebサーバーです。 パケットをレート制限する必要があるかどうか知りたいのですが。もしそうなら、私は何をレート制限すべきですか？また、グローバルに、またはIPアドレスごとに行う必要がありますか？ リファレンス 私はこれを示唆している人々を見ました： # Limit packet traffic on a TCP or UDP port: iptables -A INPUT -p $proto --destination-port $port --syn -m state --state NEW -m limit --limit $lim/s --limit-burst $lb -j ACCEPT # Limit established/related packet traffic: iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit …

8 linux  networking  firewall  iptables  rate-limiting 

SSLの透過プロキシ（Squidではない）をセットアップする方法について、私は何時間も探してきました。一般的な答えはできませんが、いくつかの方法があることはわかっています。私の目的は以下のみです： ブラックリスト/ホワイトリストドメイン名（IP番号ではない）。コンテンツはフィルタリングまたは変更されません。 これらのリストを使用してユーザーを強制します。Webブラウザーでこのような設定を変更すると、元に戻すことができます。 次のページでは、トラフィックを変更せずに通過させることができますが、方法はわかりません： iptables https透過プロキシとprivoxy？ 次のページは、私が自分で機能させることができなかった443のiptablesルールを示しています。http：//alien.slackbook.org/dokuwiki/doku.php？id = slackware： proxy 次のページでは、これをSquidでのみ機能させる方法を説明しています。http： //www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https 編集：ある人がここで言う： IPTABLESを使用してSquidの周りにHTTPS（443）パススルーを作成するにはどうすればよいですか？ 「あなたにとって最善のことは、ポート443への直接アクセスをブロックし、HTTPSを使用したい場合は、プロキシを使用するようにブラウザを設定する必要があることをユーザーに伝えることです。」しかし、私は443を完全にブロックする方法を知っています。プロキシの下でそれを機能させるためではありません。

8 ssl  iptables  https  transparent-proxy 

一部のAPI統合（トロポ、ペイパルなど）をテストするために、リモートサーバーからローカルマシンにWebトラフィックを転送しようとしています。基本的に、私はtunnlr.comが提供するものと同様のものをセットアップしようとしています。 コマンドでsshトンネルを開始しました $ssh –nNT –R :7777:localhost:5000 user@server 次に、サーバーがポート7777でリッスンしていることがわかります。 user@server:$netstat -ant | grep 7777 tcp 0 0 127.0.0.1:7777 0.0.0.0:* LISTEN tcp6 0 0 ::1:7777 :::* LISTEN $user@server:curl localhost:7777 Hello from local machine これでうまくいきます。curlリクエストは実際にはローカルマシンから提供されます。 では、server.com：8888をそのトンネル経由でルーティングできるようにするにはどうすればよいですか？ 私はnginxを次のように使ってみました： upstream tunnel { server 0.0.0.0:7777; } server { listen 8888; server_name server.com; location / { access_log …

8 ssh  nginx  iptables  ssh-tunnel  tunneling 

bashスクリプトから読み込まれた実質的に同じiptablesルールを持つ3つのノードがありますが、特定の1つのノードがポート53でトラフィックをブロックしていますが、それを受け入れています。 $ iptables --list -v チェーン入力（ポリシーDROP 8886パケット、657Kバイト） pktsバイトターゲットプロトオプトインソース宛先 0 0すべて受け入れ-どこでもどこでもlo 2 122 ACCEPT icmp-どこでもどこでもicmp echo-r​​equest 20738 5600Kすべてを受け入れる-どこでも、どこでも、状態関連、確立 0 0 ACCEPT tcp-eth1任意の場所node1.comマルチポートdports http、smtp 0 0 ACCEPT udp-eth1任意の場所ns.node1.com udp dpt：domain 0 0 ACCEPT tcp-eth1任意の場所ns.node1.com tcp dpt：domain 0 0すべて受け入れ-eth0任意のnode2.backendをどこでも 21 1260 ACCEPT all-eth0 any node3.backend wherewhere 0 0すべて受け入れ-eth0任意のnode4.backendどこでも チェーンフォワード（ポリシーDROP 0パケット、0バイト） pktsバイトターゲットプロトオプトインソース宛先 チェーン出力（ポリシーACCEPT 15804パケット、26Mバイト） …

8 domain-name-system  firewall  iptables 

これは非常に基本的な質問のように思えますが、どこにも答えが見つからないようですman iptables。 Linuxボックスに2つのNIC-eth0とeth1-があり、NICの1つからのすべての送信トラフィック（すべてのポートでのTCPおよびUDP）をブロックして、トラフィックがルーターに戻らないようにします。 このためのコマンドは何ですか？特定のポートを使用した例を見たことがあるだけです。 前もって感謝します。

8 linux  iptables  router  linux-networking 

私の別のスレッドでは、iptablesのポリシーと状態に関するいくつかの興味深いことについて話していましたが、DHCPがどのように機能し、iptablesがそれをどのように理解するかについて詳しく知りたいと思います。 ETH0は、ルーターから動的IPを受信するメインスイッチに接続され、インターネットアクセスだけでなく、外部ネットワークへのアクセスも取得します。 ETH1は、XクライアントがこのサーバーからIPSを受信する内部スイッチに接続されている内部カードです ETH1ネットワークは192.168.1.0/255.255.255.0で、サーバーIPは192.168.1.254です。 私が理解したところによると、dhcpはbootpプロトコルであるため、ファイアウォールポリシーですべてを削除する場合でも、ネットワークはDHCPを受信します。これは、私が行ったテストではtrueのようです。 tcpdumpから： root@test:~# tcpdump -i eth1 port 67 or 68 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 11:34:03.943928 IP 192.168.1.2.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:0c:29:29:52:8b (oui Unknown), length 303 11:34:03.957647 …

8 iptables  dhcp  linux  bootp