タグ付けされた質問 「iptables」

私はサーバーに関するまったくの初心者なので、謙虚な質問を言い訳します:-) 誰かが私のためにWebサーバーとして機能するpythonアプリケーションを開発しました。このTCPアプリケーションは、ポート8080をリッスンする必要があります。 [root@blabla jll]# netstat -tanpu | grep ":8080" tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 18209/python サーバーファイアウォールで8080が開かれていないようです。それを開くために、私はこのようなiptablesルールを変更しようとしました： /sbin/iptables -A RH-Firewall-1-INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT ただし、http：//my.server.name：8080にはまだ何もありません。 （「RH-Firewall-1-INPUT」または「INPUT」についてもわかりません） 今何ができますか？そのようなことに対する何らかの一般的な手順はありますか？ 次の役立つ情報を提供します。 /sbin/iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source …

17 iptables 

Linuxサーバーを実行しています-時々-重い負荷に直面し、conntrackテーブルがオーバーフローします。iptablesファイアウォールルールセットは非常に単純なので、ステートレスモードに切り替えたいと思います。iptablesはステートフル接続追跡モードとステートレスモードで動作できることを知っています。 私のファイアウォールルールはすべて整っていますが、それらはステートレスであると確信していますが、私の質問は、ファイアウォールが本当にステートレスモードで動作していることを確認するにはどうすればよいですか？

17 linux  firewall  iptables 

私たちの施設では、300台以上のコンピューターをインターネットで異なるLANに接続していました。ここには、学生向けのOfficies LANとInternet Laboratoryが含まれています。そして、トレントやあらゆるP2Pプロトコルを制御したいのです。この問題に対する以前の解決策は、KerioWinRoute 6.5.xで、ほとんどの要件を満たします。 問題は、Webmin Platformを使用してUbuntu 8.04 LTSに移行したことです。

17 linux  iptables 

iptablesの設定には多くのルール（ルーティング、sshの禁止など）があります。また、禁止するIPのリストをhttp://blacklist.linuxadmin.orgから選択しましたが、今では非常に複雑になっています。 私/etc/sysconfig/iptablesは本当に長いです。外部ファイルのルールを含めることでルールを管理する方法はありますか？ 例えば： #include "pre_routing_rules" #include "ssh_bans" これには、ファイル「pre_routing_rules」と「ssh_bans」に追加されたルールが含まれます。この方法で、を探し回ることなく簡単にルールを管理できますcat /etc/sysconfig/iptables。

17 linux  iptables  fedora 

ufwDebian VPS を使用した着信接続と発信接続の両方を拒否しました。SSHポートへの接続を許可するルールが1つだけ定義されています。 ufw が有効で動作しています。 それでも、IPを使用してラップトップからサーバーにpingを実行できます。着信接続と発信接続の両方がブロックされている場合（SSHを除く）pingがまだ機能しているのはなぜですか？

17 debian  iptables  vps  ping  ufw 

2台のサーバーがあります。最初のプログラムは、ポート2194で2番目のプログラムと通信する必要があります。 私はそれが機能していないことを知っています、なぜなら私がするとき： root@server1 [~]# telnet myserver2.com 2194 Trying 123.123.123.98... telnet: connect to address 123.123.123.98: Connection timed out telnet: Unable to connect to remote host: Connection timed out server1# iptables -L -n Chain INPUT (policy DROP) ... ... Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) …

17 linux  iptables  redhat  connection 

私はこれらの簡単なルールを持つファイアウォールを持っています： iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp --dport 6000 -j REJECT ここで、次のようにTCPDUMPを使用していると仮定します。 tcpdump port 6000 そして192.168.16.21、ポートに接続しようとしているホストがいます6000。 tcpdumpいくつかのパケットを出力し192.168.16.21ますか？

17 firewall  iptables  tcp  tcpdump 

Ubuntuマシンでは、/ etc / network / interfacesに次の行を追加して、ユーザーアカウントの1つへのインターネットアクセスをブロックしようとしました。 pre-up iptables -A OUTPUT -p tcp -m owner --uid-owner 1001 -j DROP Youtubeやその他のGoogleプロパティがブロックされないことを除いて、これはうまく機能します。 私はiptablesの専門家ではありませんが、上記のコマンドは指定されたユーザーからのすべての発信要求をドロップすると想定しました。Googleのプロパティについて、何らかの理由で免除される特別なものはありますか？ 参考のために、ここに私のiptablesリストがあります： $ sudo iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt …

16 iptables 

ほとんどのサーバーと同じように（私は推測します）、24時間年中無休でサービスをブルートフォースしようとする人々がいます。私はcpHulkのIPをブラックリストに登録していますが、そもそもそこまで届かなかった方が良いと思われます。80以外のポートでサーバーに接続するのは自分とホストだけなので、ポート80を除く米国以外のすべての国からの接続をブロックしたいと思います。ホストに連絡して設定しましたが、サーバーの負荷が非常に高くなると言っていたため、heしていました。CentOS 6.6とiptablesを実行する32GB RAMを備えた専用Xeon 1230サーバーです。 まず、これをしない理由はありますか？第二に、私のホストは私に言ったことは正しいですか？第三に、パフォーマンスに大きな影響を与えずにこれを達成する方法はありますか？

16 iptables 

sshに対するブルートフォース攻撃を防ぐために、iptablesルールをいくつか追加しました（以下）。問題は、ブロックされたIPアドレスを一覧表示するにはどうすればよいですか？ (1) iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

16 linux  iptables 

現時点で私にとって役に立つ奇妙で複雑な一連のルールがあるように見えます。物事が台無しになった場合に後で復元できるように、それらを「エクスポート」してファイルに保存する方法はありますか？

16 linux  iptables  redhat 

iptablesに、WANに面している1つのインターフェースeth0のみをフィルタリングさせたい。これをどのように行うことができますか？そして、eth0でftpおよびsshポートを開いたままにします。

16 iptables 

ポート80へのすべてのリクエストを8020に転送する必要があります。Googleで検索したところ、次のようになりました。 iptables -t nat -I PREROUTING --source 0/0 --destination 0/0 -p tcp --dport 80 -j REDIRECT --to-ports 8020 今後、元に戻す必要がある場合、システムを再起動する以外に何をすればよいですか？

16 iptables  port-forwarding 

私は次のように実行されているドッカーコンテナを持っています： docker run --name some_container_1 -p 8080:80 -d some_image それはうまくいきます。コンテナはポート80から8080を公開し、localhostからアクセスできます。 しかし、何らかの理由でINPUT iptablesルールを完全に無視しており、外部からアクセスすることもできます。 Dockerコンテナへのアクセスを制限して、IP 123.456.789.0が外部からのみアクセスできるようにするにはどうすればよいですか？ ありがとう。 sudo iptables -L -n -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 2 …

15 docker  iptables 

トンネルモードでIPSECを使用しています。 IPSECトンネル経由で到着したパケットのみに一致するiptablesルールを作成する方法（つまり、IPSECがパケットを復号化した後 - 到着時および復号化前のIPSECパケットではない）。 ポイントは、IPSECを介してのみアクセス可能であり、他の世界からはアクセスできない特定のポートを持つことです。

15 linux  iptables  ipsec