タグ付けされた質問 「iptables」

Dockerコンテナからの帯域幅を追跡する方法を見つけようとしています。 通常--uid-owner、特定のユーザーの帯域幅使用量を追跡するためのマークとして使用します。ただし、Dockerコンテナー内のユーザー--uid-ownerが機能していないため、すべてのプロセスを実行してもです。を使用する代わりに--uid-owner、Dockerが作成する仮想イーサネットデバイスから送信されるすべてのパケットを追跡するだけでした。 しかし、これは結局何もしませんでした。何をしようとしても、パケットはキャッチされません。 まったくの絶望から、私はすべてのチェーンにルールを置くだけでしたが、結果もありませんでした。 Chain PREROUTING (policy ACCEPT 3041 packets, 7849454 bytes) num pkts bytes target prot opt in out source destination 1 0 0 MARK tcp -- veth5a36 any anywhere anywhere MARK set 0x1 Chain INPUT (policy ACCEPT 273 packets, 23305 bytes) num pkts bytes target prot opt in …

13 iptables  bandwidth  docker 

Linuxルーターをで構成していますiptables。私は次のようなことを断言する構成の受け入れテストを書きたいです： インターネット上の誰かからのトラフィックは転送されません。 企業LANのホストからDMZのWebサーバーのポート80へのTCPが転送されます。 古代のFAQはiptables -C、「XからYへのパケットをポートZで与えられた場合、受け入れられるか、ドロップされるか」といった質問をすることができるオプションを暗示しています。FAQはこのように動作することを示唆していますが、（例で使用しているようにではiptablesないかもしれませんがipchains）-Cオプションは、すべてのルールを実行するテストパケットをシミュレートするのではなく、正確に一致するルールの存在をチェックするようです。これはテストとしてはほとんど価値がありません。規則が存在するというだけでなく、規則が望ましい効果を持っていると断言したいと思います。 テスト用の仮想マシンと仮想ネットワークをさらに作成しnmap、エフェクトなどのツールでプローブすることを検討しました。ただし、これらの追加の仮想マシンをすべて作成する複雑さのため、このソリューションは避けています。これは、テストトラフィックを生成するための非常に重い方法です。また、実稼働環境の実サーバーでも機能する自動化されたテスト方法論があると便利です。 この問題を他にどのように解決できますか？任意のトラフィックを生成またはシミュレートするために使用するメカニズムがあり、それがドロップまたは受け入れられるiptablesかどうかを知っていますか？

13 iptables  automated-testing 

ホワイトリストに登録されているいくつかのサイトを除き、私のネットワークは完全にロックされています。これはすべてiptablesを介して行われ、次のようになります。 # Allow traffic to google.com iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j …

13 domain-name-system  iptables  firewall  ip-address  hostname 

私は古き良きIPV4ベースのiptablesファイアウォールスクリプトを変換しています。CLASSA / B / C / D / Eの予約済みアドレススペースをIPV6で見つかったものに置き換えたいと思います。私の目標は、これらのアドレスから発信されるパケットを拒否することです。これらのパケットはパブリックネットに到達できないため、偽装する必要があります。 私はこれをこれまで見つけましたが、IPV6 Webサーバーにデータが届かない予約スペースはありますか？ ループバック:: 1 グローバルユニキャスト（現在）2000 :: / 3 一意のローカルユニキャストFC00 :: / 7 リンクローカルユニキャストFE80 :: / 10 マルチキャストFF00 :: / 8

13 networking  iptables  ipv6 

Linuxでiptablesを使用して1つのポートを別のポートに再ルーティングする方法を多くのサイトで読んでいます。たとえば、ポート80から8080への再ルーティングは次のようになります... iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 8080 私の懸念は、気が変わったらどうなりますか？私はそれを修正するための構文を提供する場所を読んでいません。私はそれを行うための（簡単な？）方法があると思いますが、OSを再インストールせずにポート80を元の動作に復元する方法を直感的に理解するにはLinuxがあまりにも新しいです。

13 linux  iptables 

iptablesをセットアップするとき、ポート22を使用するポートsshに名前を付けることができます。すべての名前付きポートのリストはありますか？具体的には、ssh、http、https、mysqlが必要です。

13 linux  firewall  iptables 

ファイアウォール/ルーターがあります（NATを実行していません）。 私はグーグルで調べて、矛盾する答えを見ました。UDP 500が一般的なもののようです。しかし、他の人は混乱しています。1701、4500。 また、gre 50、47、または50＆51も許可する必要があると言う人もいます。 OK、IPSec / L2TPがNATなしのルーテッド環境で動作するための正しいポートはどれですか？つまり、組み込みのWindowsクライアントを使用して、このルーター/ファイアウォールの背後にあるVPNに接続したいのです。 おそらくここでの良い答えは、さまざまな状況でどのポートを開くかを指定することです。これは多くの人に役立つと思います。

13 linux  iptables  firewall  ipsec  l2tp 

次の違いは何ですか？ iptables ... -m state --state NEW そして iptables ... --syn 最初の接続は新しい接続を選択する必要がありますが、新しい接続はTCP synフラグを送信することで作成されます。もう1つは、synフラグを持つパケットだけを意味します。 上記のコマンドが異なる結果を返す場合、実用的な例を挙げることができますか？

13 linux  iptables 

iptablesのは認識していないよう--dportで-p all。 iptables -A INPUT -p all --dport www -j ACCEPT 収量： iptables v1.4.4: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. --destination-port doesn't work either: iptables v1.4.4: unknown option `--destination-port' 以下のための2つの別々のルールを追加-p tcpし、-p udp罰金を動作しますので、なぜそれが機能しませんか-p all？ 重要な場合、これはiptablesパッケージバージョン1.4.4-2ubuntu2を使用するUbuntu 10.04 LTSサーバー上にあります

13 ubuntu  iptables 

MySQLの検索エンジンとfail2banでインターネットを検索すると、fail2banログをMySQLに入れることで多くの結果が得られますが、失敗したMySQLのログイン試行とそれらのIPの禁止を監視したいと思います。 アプリケーションでは、MySQLのポートを開いたままにしておく必要がありますが、セキュリティを強化するためにデフォルトポートを変更しています。ただし、セキュリティを強化するために、fail2banでMySQLログを監視したいと思います。 MySQLのfail2banを構成するためのクイックガイドはありますか？すでにインストールされており、他のいくつかのサービスで作業しているので、インストール部分をスキップして、構成ファイルの構成またはその他必要なものにすぐにジャンプできます。

13 mysql  security  iptables  fail2ban 

RHEL7 / CentOS7は、新しいfirewalldファイアウォールサービスを備えてiptables serviceおり、これは（両方ともiptablesツールを使用してカーネルのNetfilterと対話します）を置き換えます。 firewalld着信トラフィックをブロックするように簡単に調整できますが、1.5年前のThomas Woernerが述べているように、「現時点では単純な方法でfirewalldを使用して発信トラフィックを制限することはできません」。そして、私が知る限り、それ以来状況は変わっていません。それともありますか？で発信トラフィックをブロックする方法はありますfirewalldか？そうでない場合は、iptablesツールを使用して手動でルールを追加する以外に、発信トラフィックをブロックする他の「標準」方法（RHEL7ディストリビューション）がありますか？

12 linux  centos  iptables  redhat  firewalld 

今日、ホストシステム上のiptables nat が機能しなくなり、何が起こったのかわかりません。（それは非常に悪いことです、私は知っています） すべてのコマンドは、rootユーザーとして実行されます。 実行する$ iptables -t nat -Lと、次のエラーメッセージが表示されます。 $ iptables -t nat -L iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 利用可能なアップデートはありません。また、いくつかの古いカーネルでサーバーを再起動しましたが、常に同じエラーメッセージが表示されます。 私のサーバーは、最新バージョンの公式OpenVZカーネルを使用してCentOSで実行されています。 $ uname -r 2.6.32-042stab088.4 テスト済みのカーネルバージョン：2.6.32-042stab85.20および2.6.32-042stab084.26 grub.confの最初のカーネル： title OpenVZ (2.6.32-042stab088.4) …

12 centos  iptables  nat  openvz 

誰かが最近これを私に尋ねました、そして、私はそれに対する答えがありませんでした。これは一種の自由回答形式の質問ですが、テーブル/チェーンにインストールできるルールの数に制限はありますか？もしそうなら、どうすればそれを見つけることができますか？マシンによって異なると思います。

12 iptables 

のように入力するとsudo apt-get install firefox、要求されるまですべてが機能します。 After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y 次に、エラーメッセージが表示されます。 Failed to fetch: <URL> 私のiptablesルールは次のとおりです。 -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT …

12 security  iptables  firewall 

インターネット、サーバー、ローカルネットワーク内のワークステーションへの接続を維持するルーターを備えた小規模なネットワークがあります。 サーバーはインターネットからアクセスするためのもので、ルーターのiptablesには次のようないくつかのDNATエントリが設定されています。 -A PREROUTING -i ppp0 -p tcp -m multiport --dports 22,25,80,443 -j DNAT --to-destination 192.168.2.10 外部パケットはppp0インターフェースを介してルーターに到着し、内部パケットはから送信されますbr-lan。実際には、スイッチとWLANアダプターが含まれます。問題は、外部アクセスが正常に機能する一方で、DNSで解決された外部IP（に割り当てられたppp0）によってLAN内からサーバーにアクセスしようとすると失敗することです。 私が発明できた唯一の解決策は、ルーターの/etc/hosts内部IPを指す静的エントリを追加することですが、ワイルドカードがないため（そして、そのシステムには少なくとも3つのトップレベルドメインが割り当てられ、数十のサブドメインはカウントされません）、それはかなりカリカリで失敗しやすいです。もっと良いものを提案できますか？ 私はこの質問を見つけましたが、あまり役に立ちませんでした。 関連する場合、ルーターはdnsmasqでOpenWRT 10.03 Kamikazeを実行します。

12 linux  iptables  nat