タグ付けされた質問 「iptables」

背景には、長い間、TCPがタイムアウトするまでHTTPリクエストが部分的にロードされたままになることがあるというファイアウォールの問題がありました。 ファイアウォールでトラフィックをトレースした後、特定のタイミング条件でのみ発生することに気付きました。たとえば、クライアントがペイロードで2番目のACKを送信する前にWebサーバーが応答全体を送信した場合です。[SYN、SYN / ACK、ACK]が交換され、REQUESTが送信され、ACKされ、最初のRESPONSEパケットが受信され、ACKされた後、ウェブサーバーは残りの応答本文を1ショットで送信します（8パケット最後のFIN、PSHを含み、クライアントがそれらのいずれかにACKを返す前に、ファイアウォールはWebサーバーに対してRSTで拒否し、クライアントを無限にハングさせ続けます。 これは、ファイアウォールの両側からのパケットを含むWiresharkトレース全体です。192.168.126.161は、クライアントのプライベートNAT'et IPアドレスです。172.16.1.2はWebサーバーIP（実際のパブリックIPを表示しない）であり、10.1.1.1はファイアウォール外部IP（実際のパブリックIPを表示しない）です 2105 0.086275 192.168.126.161 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2106 0.000066 10.1.1.1 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2107 0.002643 172.16.1.2 10.1.1.1 TCP http > 37854 [SYN, ACK] Seq=0 Ack=1 …

20 firewall  iptables  ubuntu-8.04 

serverfault.comとの間でのみHTTPトラフィックを許可するようにマシンを構成する必要があります。他のすべてのWebサイト、サービスポートにはアクセスできません。これらのiptablesルールを思いつきました。 #drop everything iptables -P INPUT DROP iptables -P OUTPUT DROP #Now, allow connection to website serverfault.com on port 80 iptables -A OUTPUT -p tcp -d serverfault.com --dport 80 -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT #allow loopback iptables -I INPUT 1 -i lo -j ACCEPT …

20 domain-name-system  iptables  loopback 

私はいくつかのiptablesルールに苦労しています。私は初心者ですiptables。に関連する次のコマンドを取得するリソースが見つかりましたiptables。これは、実行されるファイルに保存されます。 [0:0] -A PREROUTING -s 10.1.0.0/24 -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.1.0.6:3128 [0：0]の意味を誰か説明してもらえますか？また、これに関連するリンクiptablesも歓迎します。 前もって感謝します！ PSより多くのルールが必要な場合は、お知らせください。

20 iptables 

私のシステム管理者は、iptablesルールを含むファイルをくれました。これをロードするには、どのコマンドを入力しますか？ 私は彼が前にそれをするのを見ました、そして、彼は1行でそれをしました！... iptables> thefile.datのようなもの????

20 iptables 

私の目標は、Dockerコンテナへのアクセスを少数のパブリックIPアドレスに制限することです。目標を達成するためのシンプルで繰り返し可能なプロセスはありますか？Dockerのデフォルトオプションを使用しながら、iptablesの基本のみを理解すると、非常に難しいことがわかります。 コンテナを実行し、パブリックインターネットから見えるようにしますが、選択したホストからの接続のみを許可します。REJECTのデフォルトのINPUTポリシーを設定し、ホストからの接続のみを許可する予定です。しかし、DockerのNATルールとチェーンは邪魔になり、私のINPUTルールは無視されます。 以下の仮定を前提として、誰かが私の目標を達成する方法の例を提供できますか？ eth0でホストパブリックIP 80.80.80.80 eth1でホストプライベートIP 192.168.1.10 docker run -d -p 3306:3306 mysql ホスト4.4.4.4および8.8.8.8を除く、ホスト/コンテナ3306へのすべての接続をブロックする コンテナをローカルIPアドレスのみにバインドできてうれしいですが、ドッカープロセスとホストの再起動に耐えるiptables転送ルールを適切に設定する方法についての指示が必要です。 ありがとう！

20 iptables  docker 

iptablesを知っています。私はUFWを知っています。セットアップと使用が簡単だという理由だけで、過去にufwを使用していました。 ただし、どちらを使用する必要がありますか？iptablesはより安全ですか？ufwはより安定していますか？ 私にはわからないので、なぜここで尋ねているのですか。

19 ubuntu  iptables  ufw 

コマンドiptablesは、ルールを定義するときに最も一般的に使用されるオプションの1つを認識しなくなりました--dport。 私はこのエラーを受け取ります： [root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. 上記のルールの追加コマンドは、Terraria接続を有効にするための単なる例です。 ここに私がベアボーンiptables構成として現在持っているもの（listiptables別名iptables -L -v --line-numbers）があり--dport、過去に機能していたことは明らかです： root@dragonweyr /home/calyodelphi]# listiptables Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source …

19 linux  networking  iptables  firewall 

Dockerコンテナからホストプライベートインターフェイス（ip）にアクセスするのに問題があります。Iptablesルール（またはルーティング）に関連していると確信しています。に--net=hostフラグを追加するとdocker run、すべてが期待どおりに機能します。同様に、INPUTポリシーがリベラル-P INPUT ACCEPTに従っていることを指定すると、物事は期待どおりに機能します。ただし、これらは望ましくない、安全でないオプションです。 私のサービス（DNS）に固有ではないため、ドッカーと組み合わせて検索すると別の（人気のある）問題領域が得られ、検索結果にノイズが追加されるため、問題から除外しました。 また、特定のコンテナを--net = hostオプションで実行する必要があるため、Dockerコンテナのリンクは実行可能なオプションではありません。リンクを防止し、可能な限り一貫した状況を作りたいと思います。 次のIptablesルールがあります。CoreOS、Digital Ocean、Dockerの組み合わせだと思います。 -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N DOCKER -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j …

18 iptables  docker 

私はこのiptableルールを持っています： -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp …

18 ubuntu  iptables 

これは、Linuxシステムでのソフトウェアファイアウォールの理解とデバッグについて提案された 正規の質問です。 EEAAの回答と@Shogのコメントに応えて 、iptablesに関する一般的な比較的単純な質問を閉じるために適切な正規のQ＆Aが必要であると述べました。 Linuxソフトウェアファイアウォール、一般にユーザーランドインターフェイスiptablesで参照されるnetfilterパケットフィルタリングフレームワークの問題をデバッグするための構造化された方法は何ですか？ よくある落とし穴、繰り返し発生する質問、簡単な、またはやや不明瞭なものは何ですか？ファイアウォール管理者が時折見逃したり、知っていることで利益を得たりすることを確認しますか？ UFW、FirewallD（別名firewall-cmd）、Shorewallなどのツールを使用する場合でも、これらのツールが提供する抽象化レイヤーなしで内部を見るとメリットがあります。 この質問は、ファイアウォールを構築する方法を目的とするものではありません。そのための製品ドキュメントを確認し、たとえば、iptables Trips＆Tricksにレシピを投稿するか、タグ付けされたiptables ufw firewalld firewall-cmdの質問を検索して、既存のよく知られている高得点を探しますQ＆A。

18 linux  iptables  firewall  ufw  firewalld 

iftopは、source-ip source-port destination-ip宛先ポートによって区別される、ほぼライブの帯域幅使用量を表示するための優れたツールです。 どのクライアントのIPがほとんどの帯域幅を使用しているかを確認するために使用しています。ここで、出力をどこかに保存したいと思います。 iftopはncursesを使用します iftop > log.txt 期待どおりに動作しません。結果ファイルは読み込めません。 出力をテキストファイルにパイプするために使用できるこのようなツールはありますか？

18 linux  networking  debian  iptables  bash 

これは可能だと誰かが言ったが、グーグルやマニュアルページには何も見つからない。 一定期間IPを禁止する必要があり、その後自動的に禁止を解除しました。

18 linux  centos  iptables 

発信DNSを許可するためによく使用される次の2つのiptablesルールを見てみましょう。 iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 私の質問は次のとおりです。UDPのESTABLISHED状態をどの程度正確に理解すべきですか UDPはステートレスです。 ここに私の直観があります-これが間違っているかどうか、どこで知りたいですか： マニュアルページはこれを教えてくれます： 状態 このモジュールは、接続追跡と組み合わせると、 このパケットの接続追跡状態。 --state ... それで、iptablesは基本的に、発信パケットに使用されたポート番号を記憶し（UDPパケットの場合は他に何を記憶できますか？）、その後、短い時間内に返送される最初の着信パケットを許可しますか？攻撃者はポート番号を推測する必要があります（本当に難しいですか？） 競合の回避について： カーネルは、（他のサービスまたは以前の発信UDPパケットによって）ブロックされているポートを追跡し、これらのポートが時間枠内で新しい発信DNSパケットに使用されないようにしますか？（時間枠内で誤ってそのポートでサービスを開始しようとした場合、どうなりますか？その試みは拒否/ブロックされますか？） 上記のテキストですべてのエラーを見つけてください:-)ありがとう、 クリス

18 linux  domain-name-system  iptables  udp 

CentosサーバーでFail2Banを実行しています。（以下の構成） 私のvar / log / messagesで、本当に奇妙なことに気付きました。 Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 禁止されたIPをiptablesに追加するようにFail2Banを構成しました。 私のjail.conf： [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 私のpostfix.conf： [INCLUDES] before = common.conf [Definition] failregex …

17 iptables  postfix  fail2ban 

これは非常に嫌なことだと思うので、許してください。私はubuntu 10.04のポート8080でnode.jsサーバーを実行しようとしています。 サーバー上のiptables -Lの結果は次のとおりです。 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination そして、nmap -p 8080の結果がここにあります（すべてが広く開かれているか、または開かれるべきであるため、IPアドレスを編集しました） nmap 173.203.xxx.xxx -p 8080 -A Starting Nmap 5.00 ( http://nmap.org ) at 2011-05-19 22:52 PDT Interesting …

17 ubuntu  iptables  port  node.js