タグ付けされた質問 「iptables」

新しいcentos 5.4サーバーをインストールしていますが、mu iptablesを起動するための一連のクリーンなルールが必要です。 最初に良いルールは何でしょうか？ これは良い出発点ですか？ # Allow outgoing traffic and disallow any passthroughs iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Allow traffic already established to continue iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow ssh, ftp and web services iptables -A …

12 iptables 

私のdebian 5.0サーバーでは、以下のようなiptablesルールを設定しました： ACCEPT tcp -- eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80 DROP tcp -- 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80 aaa.bbb.ccc.dddは私のサーバーのIPアドレスであり、eee.fff.ggg.hhhはポートへのアクセスが許可されている唯一のサーバーです。私のサーバーにはinet6 addrがセットアップされていることに気付きました。また、netstatはapache2がtcp6アドレスをリッスンしていることを示しています。 tcp6 0 0 :::80 :::* LISTEN ipv6アドレスには個別のiptablesルールが必要ですか？もしそうなら、どうすればできますか？ipv6については何も知りません。ありがとう！そうしなければなりませんか？ip6tablesを使用しない場合、誰かがiptableルールをバイパスし、ipv6アドレスを介して私の：80ポートに接続しますか？

12 linux  firewall  iptables  ipv6 

Ubuntu 14.04サーバーで実行中。 したがって/var/log/auth.log、SSHログイン試行を処理するようにfail2banが正しく構成されています。 3回失敗すると、fail2banログに次のように表示されます。 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L このチェーンを示します： Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere それでも、そのIPからは問題なくSSH経由でログインできます。 同じ話がすべての私のfail2ban刑務所に当てはまります。たとえば、Apacheは、fail2banがログを正しく検出し、IPを禁止すると主張するのを見ることができます。IPは最終的にiptablesチェーンになりますが、IPは実際には拒否されません。 これらのケースでは、SSHが標準ポート上にないためだと感じています。別のポートにあります。 ssh jailルールに新しいポートを使用するように強制する場合： [ssh] enabled = true port = 32323 filter = sshd …

12 ubuntu  iptables  fail2ban 

2つの質問があります。 質問1：私のdebianマシンには、IP 192.168.57.28のインターフェースeth3があります。誰かが192.168.57.28:1234に接続しようとした場合、リクエストを別のマシンにリダイレクトするにはどうすればよいですか：192.168.57.25:80？ 質問2：私のdebianマシンに192.168.57.28のeth3といくつかの動的IPのppp0の2つのインターフェースがあり、誰かがポート1234でppp0経由で接続しようとする場合、リクエストを192.168.57.25:80にリダイレクトするにはどうすればよいですか？ 私はこれを試しました： $ iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 192.168.57.25:80 $ echo 1 > /proc/sys/net/ipv4/ip_forward しかし、それは機能しません。

12 debian  iptables  point-to-point-protocol 

iptablesルールが起動時に自動的にロードされるようにします。DebianのWikiによると、これはiptablesという名前のスクリプトを/etc/network/if-pre-up.d/に配置することで実行できます。 cat /etc/network/if-pre-up.d/iptables #!/bin/sh /sbin/iptables-restore < /etc/firewall/iptables.rules /sbin/ip6tables-restore < /etc/firewall/ip6tables.rules このスクリプトは機能します。ルートとして実行すると、ファイアウォールルールが適用されます。ただし、再起動時にはファイアウォールルールはありません。私は何を間違えていますか？ リクエストに応じて：/ etc / network / interfaces（このファイルには触れませんでした） user@DebianVPS:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface …

12 networking  debian  iptables 

私のファイアウォールには、次のようなiptablesルールがいくつかあります。 iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT すべてのアドレスに対して、tcp用とudp用の2つのルールを設定するためのショートカットはありますか？私はこのようなことをすることができます： iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT

12 iptables  firewall  tcp  udp 

既定のポリシーと-j DROP最後のポリシーで一致しないパケットをドロップするのに違いはありますか？ お気に入り： iptables -P INPUT DROP iptables -A INPUT --dport 80 -j ACCEPT 対 iptables -A INPUT --dport 80 -j ACCEPT iptables -A INPUT -j DROP 私が気にする理由は、ログを使用してチェーンを作成し、それをデフォルトポリシーとして割り当てることができないため、2番目の例を使用する必要があるためです。

12 linux  iptables 

tldr：iptablesで1つのチェーンだけを表示するにはどうすればよいですか？ iptablesでテーブルを1つだけ表示できますが、テーブルは複数のチェーンで構成されています。チェーン内のどこでINPUTが最後のルールであるかを見つける必要があります（通常、常にではありませんが、すべてのルールを拒否します）。 私はawkといくつかのgrepを試しましたが、それらのスキルは衰えているに違いありません。私はawkを使用して1つの段落だけを取得しようとしましたが、iptables --line-numbers -n -L -t filterおそらくそれらの空白行が実際には空白ではないため、の出力では機能しないようです。 CentOS 6の最小環境にインストールされる通常のgnuツールを使用したソリューションを探しています。

12 iptables  firewall  awk 

Snortをインストールし、ローカルゲートウェイ（次の部屋に歩いて触れられるように）でNFQUEUEを介してインラインモードで実行しています。私には次のルールがあります/etc/snort/rules/snort.rules： alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) このルールは、一部のDLinkルーターにあるバックドアに関連しています。このルールを選択したのは、簡単にテストできるように見えたからです。ルール自体は、新しい脅威からpullporkによって追加されたため、ルールの構文が正しいと推測します。 テストのために、インターネットに面したポート80でlighttpdを使用してゲートウェイを構成し、アクセス可能であることを確認しました。次に、リモートマシンでコマンドを実行しましたcurl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。これにより、lighttpdからの応答がすぐにコンソールに出力され、終了します。ゲートウェイでSnortアラートは生成されません。 また、netfilterは、実行中の4つのsnortプロセスのうち2つのみを使用しているようです。htopCPU 1と2のsnortプロセスがbittorrentでテストするときに重い負荷を発生させるので、これを見ることができます...しかし、CPU 0と3のsnortプロセスは完全にアイドル状態のままです。 私のテスト方法論は間違っていますか？または、snortは、必要なときに警告を発していません（つまり、構成エラーのため）。netfilterが4つのキューすべての間でトラフィックのバランスをとっていないのはなぜでしょうか？ 構成 My Snort / Netfilter Config 私のnetfilterチェーンの特定の関連部分は次のとおりです。 Chain wan-fw (1 references) pkts bytes …

11 iptables  snort  ips 

同じネットワーク上に2つのゲートウェイが存在するとします。正しく理解できれば、送信者のコンピューターのIPルーティングテーブルが、どのパケットがどのゲートウェイを経由してルーティングされるかを決定します。 IPルーティングテーブルには、ゲートウェイのIPアドレスが含まれています。 IPパケットを送信するときに、ゲートウェイのこのIPアドレスはどのように使用されますか？

11 iptables  ip-routing 

開発サーバーに最小限のCentOS 7バージョンをインストールして、kvm / qemuで一部のLinuxゲストを仮想化しました。 firewalld私がインストールiptables-serviceして実行する代わりにiptablesを使用するには： systemctl stop firewalld systemctl mask firewalld systemctl enable iptables systemctl start iptables SELinuxは編集により無効になります/etc/sysconfig/selinux。 iptablesの私のルールは次のとおりです。 iptables -Z iptables -F iptables -X iptables -t nat -Z iptables -t nat -F iptables -t nat -X iptables -t nat -A POSTROUTING -o enp6s0 -j MASQUERADE iptables -A FORWARD -i …

11 linux  centos  iptables 

私はRHEL7を使い始め、systemdに伴う変更について少し学びました。 /sbin/service iptables savefirewalldで実行する方法はありますか？ $ /sbin/service iptables save The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. ドキュメントから見つけることができる最も近い類似点は--reload次のとおりです。 Reload the firewall without loosing state information: $ firewall-cmd --reload しかし、それが保存されているかどうかを明示的に言っていません。

11 iptables  systemd  firewalld  rhel7 

ddos攻撃を防ぐために、IPごとに200以上のリクエストをドロップします。これは、IPごとのリクエストカウントを検出するために使用したコマンドです。 netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr 今、私は入力と出力を削除するためにIPtablesに200以上のリクエストを行ったすべてのIPアドレスを追加したい。

11 networking  security  iptables  command-line-interface 

実際のファイアウォール構成を変更せずにiptablesルールスクリプトの構文をテスト/チェックする方法はありますか（各ルールを追加および削除することは最良の方法ではないと思います...）。 -Cオプションについては知っていますが、チェーンなどのオプションはチェックしません。また、1が構文が正しいことを常に意味するわけではないため、戻りコードについて少し注意が必要です。 THX！

11 iptables 

IPtablesのTRACEターゲットを使用しようとしていますが、トレース情報をログに記録できないようです。ここで説明されているものを使用したい： Debugger for Iptables。 TRACEのiptables男から： This target marks packes so that the kernel will log every rule which match the packets as those traverse the tables, chains, rules. (The ipt_LOG or ip6t_LOG module is required for the logging.) The packets are logged with the string prefix: "TRACE: tablename:chain- name:type:rulenum " …

11 linux  debian  iptables  logging  log-files