タグ付けされた質問 「iptables」

Iptablesのubuntuサーバーでは、特定のポートで1つのIPアドレスのみを許可できますか？ ありがとう

25 linux  ubuntu  security  iptables 

jail.localファイルは、jail.confのオーバーライドまたはjail.confの置換として機能しますか？ 私がチュートリアルからFail2Banについて学んでいたとき、それらのほとんどは通常、jail.confをjail.localにコピーしてそこで編集することを言い、一部は新しいjail.localファイルを作成し、コピーする設定の束を与えると言います貼り付けます。しかし、彼らが対処していないのは、jail.localがjail.confとどのように機能するかです。これらは2つのシナリオです。 オーバーライド： jail.localがjail.confファイルのオーバーライドとして機能する場合、必要なのは、jail.confで指定されているデフォルトにオーバーライドする必要な構成を追加することだけです。この場合、SSH configなどを追加する必要はありません。すでにjail.confに含まれているためです。 置換： jail.localが存在するときにjail.confが無効になった場合、jail.localにすべてのルールを追加してから、変更したいルールを編集する必要があります。 jail.localが存在するときにjail.confがどうなるかを確認できますか？jail.localがjail.confファイルの上のオーバーライドのように動作する場合、追加したい数行のルールだけを保持する方が簡単です。これにより、メンテナンスと読みやすさが容易になります。これに対する最善のアプローチは何ですか？

25 iptables  firewall  debian-wheezy  fail2ban  jail 

iptablesを使用して、特定のIPへのすべてのトラフィックを許可したい。 行を追加してみました： /sbin/iptables -A INPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -s XXX.XXX.XXX.XXX -j ACCEPT ...ただし、リモートIP（XXX.XXX.XXX.XXX）にはアクセスできません。 何かアドバイス？ advのtnx！ 編集：あなたのアドバイスで私はiptablesを変更しました。それでも私はリモートサーバーに接続できません。iptablesのステータスは次のようになります。 [root@myserver ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination …

25 iptables 

私のホームサーバーには、2つの主要なインターフェイスeth1（標準的なインターネット接続）とtun0（OpenVPNトンネル）があります。私はiptablesUID 1002が所有するローカルプロセスによって生成されたすべてのパケットを強制的に通過しtun0、他のすべてのパケットを通過して終了したいと思いますeth1。 一致したパケットを簡単にマークできます。 iptables -A OUTPUT -m owner --uid-owner 1002 -j MARK --set-mark 11 ここで、11でマークtun0されたパケットと一致するルールをPOSTROUTINGチェーン（おそらくマングルテーブル）に入れて送信し、その後、すべてのパケットと一致するルールを送信しますeth1。 ROUTEターゲットを見つけましたが、それはソースインターフェイスを書き換えているだけのようです（間違って読んでいない限り）。 iptablesはこれに対応していますか？代わりに、ルーティングテーブルを（ip routeまたは従来のrouteコマンドだけで）混乱させる必要がありますか？ 編集：多分もっと情報を提供すべきだと思った。現在、他のiptablesルールはありません（将来、無関係のタスクを実行するためにいくつかのルールを作成する可能性があります）。また、の出力ip routeは次のとおりです。 default via 192.168.1.254 dev eth1 metric 203 10.32.0.49 dev tun0 proto kernel scope link src 10.32.0.50 85.17.27.71 via 192.168.1.254 dev eth1 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.73 …

25 iptables  routing 

Dockerコンテナ内で実行されているMySQLに問題があります。私のテストイメージは、次のDockerfileから構築されています。 # See: https://index.docker.io/u/brice/mysql/ FROM ubuntu:12.10 MAINTAINER Joni Kahara <joni.kahara@async.fi> # Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024 RUN dpkg-divert --local --rename --add /sbin/initctl RUN ln -s /bin/true /sbin/initctl RUN apt-get update RUN apt-get upgrade -y RUN apt-get -y install mysql-server RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = 0.0.0.0/" /etc/mysql/my.cnf RUN /usr/bin/mysqld_safe & \ …

24 iptables  docker 

（Ubuntuサーバー）実行中 sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 4/sec -j ACCEPT その後 sudo iptables-save iptablesルールの機能を取得するには、上記のコマンドのみを実行する（iptablesを再起動せずに）だけで十分ですか？

24 iptables 

ラップトップからwww.google.comドメインでトレースを行うとき、icmpまたはudpを使用していますか？ 私はそれがicmpタイプ11であると思いましたが、何か他のものを探しているときに、icmpタイプ30が使用されているルールに出会い、udpが使用されているルールを見ました。 誰かがそれがどのように機能するかを私に説明できますか？ 仮想専用サーバーのファイアウォール（iptables）で作業しています。

24 iptables  udp  networking  icmp 

多くの場合、すべてのパケットを関連接続に許可し、特定のサービスポートを新規接続に許可するように構成されたiptablesが表示されます。 NEWと表示する理由は何ですか？接続が新規でない場合、関連していると思われるため、特定のポートルールはどちらも実行しません。それでは、プロトコルとポート番号だけでなく、サービスポートを明示的にNEWで定義するのはなぜですか？

23 iptables 

service iptables status2 CentOSサーバーで実行する場合、 1台のサーバが持っているpolicy ACCEPT中で Chain INPUT、Chain FORWARDと Chain OUTPUT 別のサーバが持っているpolicy DROPに Chain INPUTしてChain FORWARD、中 policy ACCEPTにChain OUTPUT 何の意味policy ACCEPTとpolicy DROP？ ...とどのように変更することpolicy ACCEPTにpolicy DROPしてからpolicy DROPにpolicy ACCEPT？

23 security  iptables 

1962、999、12020を除くすべてのポートをブロックするにはどうすればよいですか？ SSH用の1つのポートと、ある種のスクリプト用の2つのポート。だから、これらのポートでの発信を許可する必要がありますよね？ 私のiptables： # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *mangle :PREROUTING ACCEPT [643521:136954367] :INPUT ACCEPT [643521:136954367] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [645723:99904505] :POSTROUTING ACCEPT [645723:99904505] COMMIT # Completed on Sat Feb 25 17:25:21 2012 # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 …

22 ubuntu  iptables 

クライアントが100万個未満の個々のIPアドレス（サブネットなし）のセットをブラックリストに登録する必要があり、ネットワークパフォーマンスが懸念される状況に遭遇しました。IPTablesルールは、ルートよりもパフォーマンスへの影響が少ないと推測しますが、それは単なる推測です。 IPアドレスの長いリストをブラックリストに登録するためのソリューションとして、IPTablesまたはnullルーティングのいずれかを支持する確固たる証拠やその他の正当性はありますか？この場合、すべてが自動化されているため、使いやすさは実際には問題になりません。 11月26日編集 いくつかのテストと開発の後、これらのオプションはどれも機能しないようです。ルート検索とiptablesの両方がルールセットを介して線形検索を実行し、この多くのルールを処理するのに時間がかかりすぎるようです。最新のハードウェアでは、iptablesブラックリストに100万個のアイテムを入れると、サーバーの速度が1秒あたり約2ダースまで低下します。そのため、IPTablesとnullルートが出ています。 ipset、Jimmy Hedmanが推奨しているように、セットで65536個を超えるアドレスを追跡できないことを除いて、素晴らしいと思います。 このように多くのIPをブロックする唯一の解決策は、アプリケーション層でインデックス付きルックアップを実行することです。そうではありませんか？ 詳しくは： この場合の使用例は、IPアドレスの「既知の攻撃者」リストがWebサーバー上の静的コンテンツにアクセスするのをブロックすることです。FWIWでは、Apacheを介したブロックの実行Deny fromは、線形スキャンも実行するため、同様に遅くなります（そうでない場合）。 参考までに：最終的な作業ソリューションは、Apacheのmod_rewriteをberkeley DBマップと組み合わせて使用​​して、ブラックリストに対してルックアップを行うことでした。バークレーDBのインデックス付きの性質により、リストはO（log N）のパフォーマンスに合わせてスケーリングできます。

22 iptables  route  blacklist 

サーバーに接続できるようにするIP範囲と、接続するユーザーがいくつかあります。それ以外はすべてブロックする必要があります。 iptablesでどのようにすればよいですか？ 私のOSはDebianベースのLinuxディストリビューションです。

21 linux  iptables  blacklist 

1つのポイントからiptablesを管理し、ローカルサーバー上で何かを編集する機能を持つ最良の方法は何ですか。 すべてのサーバーに集中するいくつかのルールを追加する必要がありますが、独自のルールセットを持つ特定の要件を持つ特定のサーバーがあります。 ansibleで一元管理され、ローカルサーバーで管理される複数のincludeを持つbashスクリプトについて考えました。それは良いアプローチですか？それとももっと良いものがありますか？ 特定のホスト間で差が大きすぎるため、ansible用のyml2テンプレートを作成できません。 iptablesの集中管理の例を提供してください。

20 iptables  ansible 

最近、インターネットアクセスを特定のプログラムに制限する問題に遭遇しました。特定のソフトウェアを使用せずに、誰かがそれを行う良い方法をお勧めできますか？

20 linux  iptables  linux-networking 

DNSサーバーへのDNSクエリを許可するようにiptablesを（何時間も）構成しようとしましたが、使用していたルール追加オプションのためにiptablesがアクセスをブロックし続けることがわかりました。ほとんどのフォーラムは、次のようなルールを提案しています。 iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT しかし、私の場合、ルールを機能させるには、ルールをinsertタイプに変更する必要がありました。 iptables -I INPUT -p udp -m udp --dport 53 -j ACCEPT あるルールは追加用であり、別のルールは挿入用であり、両方の用語の意味を知っていますが、誰かが2つの違いを説明し、どのオプションをいつ使用するかを説明してもらえますか？Ubuntuのiptablesの使い方を調べましたが、あまり情報がありません。

20 linux  iptables