タグ付けされた質問 「iptables」

iptablesは、Linux 2.4.xおよび2.6.x IPv4パケットフィルタリングルールセットの構成に使用されるユーザースペースコマンドラインプログラムです。システム管理者を対象としています。iptablesについて質問する場合は、次のコマンドの出力を追加してください:iptables -L -v -n

7
iptables複数のソースIP
複数のソースIPアドレスを使用するiptablesで単一のルールを作成したい(可能な場合)。これは可能ですか?
31 iptables 
9
外部インターフェイスへのローカルIPトラフィックを強制する
たとえば、必要に応じて構成できるいくつかのインターフェイスを持つマシンがあります。 eth1:192.168.1.1 eth2:192.168.2.2 これらのローカルアドレスの1つに送信されたすべてのトラフィックを、他のインターフェイスを介して転送したいと思います。たとえば、192.168.1.1のiperf、ftp、httpサーバーへのすべてのリクエストは、内部でルーティングされるだけでなく、eth2を介して転送される必要があります(外部ネットワークがeth1にパケットを再ルーティングします)。 iptables、ip routeなどのいくつかのコマンドを試してみましたが、何も機能しませんでした。 私が得ることができる最も近い行動は、 ip route change to 192.168.1.1/24 dev eth2 内部でルーティングされている192.168.1.1を除き、eth2ですべての192.168.1.xを送信します。その後、eth1で偽の192.168.1.2に向けられたすべてのトラフィックのNAT転送を行い、内部的に192.168.1.1に再ルーティングできますか?私は実際にiptablesで苦労していますが、それは私にとってあまりにも難しいです。 このセットアップの目標は、2台のPCを使用せずにインターフェイスドライバーのテストを行うことです。 私はLinuxを使用していますが、Windowsでそれを行う方法を知っていれば、それを購入します! 編集: 外部ネットワークは、eth1とeth2間の単なるクロスオーバーケーブルです。私のマシンにhttpサーバーがあるとします。ここで、同じマシンからこのサーバーにアクセスしたいのですが、TCP / IPトラフィックがこのeth1 / eth2ケーブルを通過するようにします。このためにインターフェイスをどのように構成すればよいですか?
2
Ubuntu ufw:インターフェースごとにルールを設定する
eth1のすべてのユーザーがポート80にアクセスできるようにするルールを作成したいのですが、UFWはこれを実行できますか、それともShorewallの使用に戻る必要がありますか? 明確にするために:これは機能の質問ですが、ufwはインターフェイスをターゲットとして処理できますか?
9
ベンチマークの目的でTCPトラフィックを1つまたは複数のリモートサーバーに複製する方法
インフラストラクチャ:データセンターのサーバー、OS-Debian Squeeze、ウェブサーバー-Apache 2.2.16 状況: ライブサーバーは毎日お客様によって使用されているため、調整や改善をテストすることはできません。そのため、ライブサーバー上のインバウンドHTTPトラフィックをリアルタイムで1つまたは複数のリモートサーバーに複製したいと考えています。トラフィックは、ローカルWebサーバー(この場合はApache)およびリモートサーバーに渡す必要があります。これにより、構成を調整し、現在のライブサーバーとのベンチマークと比較のためにリモートサーバーで異なる/更新されたコードを使用できます。現在、ウェブサーバーは約をリッスンしています。クライアント構造のため、80および443以外に60個の追加ポート。 質問:1つまたは複数のリモートサーバーへのこの複製をどのように実装できますか? 私たちはすでに試しました: agnoster duplicator-これには、ポートごとに1つのオープンセッションが必要ですが、これは適用されません。(https://github.com/agnoster/duplicator) kklisプロキシ-トラフィックをリモートサーバーに転送するだけで、lcoal Webサーバーには渡しません。(https://github.com/kklis/proxy) iptables-DNATはトラフィックを転送するだけで、ローカルWebサーバーには渡しません iptables-TEEはローカルネットワーク内のサーバーにのみ複製します->データセンターの構造上、サーバーは同じネットワークに配置されていません stackoverflow(https://stackoverflow.com/questions/7247668/duplicate-tcp-traffic-with-a-proxy)の「プロキシでtcpトラフィックを複製する」という質問に対して提供された代替案は失敗しました。前述のように、TEEはローカルネットワーク外のリモートサーバーでは機能しません。teeproxyは使用できなくなり(https://github.com/chrislusf/tee-proxy)、他の場所で見つけることができませんでした。 2番目のIPアドレス(同じネットワーク内にある)を追加し、それをeth0:0に割り当てました(プライマリIPアドレスがeth0に割り当てられています)。この新しいIPまたは仮想インターフェイスeth0:0をiptables TEE機能またはルートと組み合わせても成功しません。 「debian squeezeで着信TCPトラフィックを複製する」(Debian Squeezeで着信TCPトラフィックを複製する)の質問に対して提供された代替案は失敗しました。cat | ncセッション(cat / tmp / prodpipe | nc 127.0.0.1 12345およびcat / tmp / testpipe | nc 127.0.0.1 23456)は、クライアントによるすべての要求/接続後に、通知またはログなしで中断されます。キープアライブはこの状況を変えませんでした。TCPパッケージはリモートシステムに転送されませんでした。 socatに関するの異なるオプションで追加の試行(手引き:http://www.cyberciti.biz/faq/linux-unix-tcp-port-forwarding/、https://stackoverflow.com/questions/9024227/duplicate-input- unix-stream-to-multiple-tcp-clients-using-socat)および同様のツールは、提供されたTEE機能がFSのみに書き込むため、失敗しました。 もちろん、この「問題」またはセットアップのグーグル検索は失敗しました。 ここでオプションが不足しています。 IPTABLESを使用する場合、TEE機能の「ローカルネットワークのサーバー」の実施を無効にする方法はありますか? IPTABLESまたはRoutesをさまざまに使用することで目標を達成できますか? これらの特定の状況でテストされ、機能するこの目的のための別のツールを知っていますか? tee-proxyの別のソースはありますか(要件に完全に適合すると思いますが)。 返信ありがとうございます。 ---------- 編集:05.02.2014 pythonスクリプトは、必要な方法で機能します。 import …
1
HTBの最小レートおよびデフォルトクラスの問題
私が使用しているHTB構造については疑問があります。 私の目的は、ローカルネットワークのユーザーのダウンロードとアップロードの速度を制限することです。ネットワークの各ユーザーには、ドメインの個人用リストがあり、ドメインの速度は上下できません。 つまり、user1はslashdot.orgでのアクセスをダウンロードで8KB、アップロードで3KBに制限でき、user2はslashdot.orgでのアクセスを4KBから1KBに制限できます。 現時点では、うまく機能するiptables / tcカップルをセットアップしますが、非常に小さな規模で、同時に2つまたは3つの仮想ホストを使用します(残念ながら、実際のサイズテストは実行できません)。 現在の構造は次のとおりです(LANの出口にあるもののみを表示します。アップロード用のものは、単にこの「コピー」です) インターフェイスにアタッチされたHTB qdisc(ハンドル2 :)、デフォルトのトラフィッククラスはクラスFFFFです。 HTB qdiscの直下にあるルートクラス2:1は、DOWNLINKキャパシティのレートと上限を持っています。 2:1の子としてのデフォルトクラス2:FFFF。レートは1kbspで、上限はDOWNLINK容量です。 次に、特定のドメインのユーザーに新しい制限がある場合、他のクラスが動的に追加され、そのドメインからのダウンロード速度を制御するために新しいtcクラスが追加されます。 今のところ、私がやったことは次のとおりです。 一意のIDを持つ新しいtcクラスを作成します(ここではポイントではなく、データベースから取得します)。クラス2:1の親として、レート値は1bps、ceil値は制限されたダウンロード速度に設定されます。 tcコマンドは次のとおりです。 -------------- BEGIN SCRIPT -------------- DOWNLINK=800 ## Setting up the static tc qdisc and class $tc qdisc add dev $LAN_IFACE root handle 2: htb default 0xFFFF # Main class so the default class can …
4
IPTABLESでさまざまなIPを許可するにはどうすればよいですか?
ここに私のiptablesがあります。ETH1(10.51.xx)でipの範囲を許可できるようにする方法 # Generated by iptables-save v1.4.4 on Thu Jul 8 13:00:14 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT …
29 iptables 
4
iptablesのマングルテーブルとは何ですか?
Ubuntuサーバーでパケットをフィルタリングおよび操作するためにiptableルールを使用しています。しかし、マングルテーブルは理解できません。 このiptablesチュートリアルから引用: このテーブルは、既に述べたように、主にパケットのマングリングに使用されます。言い換えれば、TOS(Type Of Service)フィールドなどを変更するために使用できるマングルマッチなどを自由に使用できます。 このテーブルをフィルタリングに使用しないことを強くお勧めします。この表ではDNAT、SNAT、マスカレードも機能しません。 誰でもマングルテーブルを説明して、いつ使用するかを理解するための例を提供できますか?
28 iptables 
2
RHEL 7およびFedora 18で(firewalldの代わりに)iptablesサービスを有効にする方法
最新のfedoraには、新しいファイアウォールアプリケーションとしてfirewalldがあります。古いiptablesサービスが好きでした。私は彼らを取り戻したいが、それをどうやってやるかわからない 私が試してみました : systemctl disable firewalld.service systemctl stop firewalld.service systemctl enable iptables.service systemctl enable ip6tables.service systemctl start iptables.service systemctl start ip6tables.service しかし、それは機能しません!wikiやgoogleでヘルプが見つかりませんでした。 firewalldの無効化は問題ありませんが、iptables.serviceを有効にしようとすると次のようになります: systemctl enable iptables.service Failed to issue method call: No such file or directory
3
IPTablesを使用したFTPの許可
現在のシナリオではさまざまなルールを許可していますが、どこからでもftpにアクセスできるようにする必要があります。OSはCent 5であり、VSFTPDを使用しています。構文が正しいように思えません。他のすべてのルールは正しく機能します。 ## Filter all previous rules *filter ## Loopback address -A INPUT -i lo -j ACCEPT ## Established inbound rule -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## Management ports -A INPUT -s x.x.x.x/24 -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -s x.x.x.x/23 -p icmp …
26 linux  centos  iptables  ftp 
1
Torを除くすべてのトラフィックをブロックするにはどうすればよいですか?
Linuxシステムでは、Torネットワークを通過しない限り、すべての送受信トラフィックをブロックする方法があります。これには、TCP接続だけでなく、あらゆる形式のIP通信が含まれます。たとえば、UDPはTorを通過できないため、完全にブロックされます。このシステムでのインターネットの使用は完全に匿名であり、アプリケーションのリークは望ましくありません。 Tor自体が何らかの形でリレーノードと通信する必要があるため、これは複雑かもしれません。
26 linux  iptables  tor 
2
iptablesと複数のポート
これは私にはうまくいきません: # iptables -A INPUT -p tcp --dports 110,143,993,995 -j ACCEPT iptables v1.4.7: unknown option `--dports' Try `iptables -h' or 'iptables --help' for more information. しかし、マニュアルページにはオプションがあります--dports...何かアイデアはありますか?
1
2つのインターフェース間のiptables転送
だから私は2つのワイヤレスインターフェースを備えたLinuxボックスを持っています。1つはステーションで、もう1つはAPです。 wlan0(station)-インターネット接続に接続されています wlan1(AP)-他のクライアントがそれに接続します。 wlan1に接続しているクライアントがwlan0でインターネットにアクセスできるようにしたいと思います。そして、私のカーネルにはブリッジのサポートがないので、iptablesでこれを行いたいです... ここに私がこれまでiptablesで試したものがありますが、うまくいきません: iptables -A FORWARD -i wlan0 -o wlan1 -j ACCEPT iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT 助けていただければ幸いです。
3
ICMP Redirect Hostが発生するのはなぜですか?
Debianボックスを4つのサブネットのルーターとして設定しています。そのために、LANが接続されているNICに4つの仮想インターフェイスを定義しました(eth1)。 eth1 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.1.1 Bcast:10.1.1.255 Mask:255.255.255.0 inet6 addr: fe80::960c:6dff:fe82:d98/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6026521 errors:0 dropped:0 overruns:0 frame:0 TX packets:35331299 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:673201397 (642.0 MiB) TX bytes:177276932 (169.0 MiB) Interrupt:19 Base address:0x6000 eth1:0 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.