タグ付けされた質問 「iptables」

私は誤ってオープンリゾルバDNSサーバーをセットアップしました。このサーバーは、ロシアから/ロシアへのどこかで発生する多数のDDoS攻撃にすぐに使用されました。そのため、信頼できるIPを除き、すべてのDNSサーバーのポート53を完全にブロックしました。それは機能しますが、もうそれらに接続することはできませんが、私にとって奇妙なのは、eth1（公開インターネットを備えたサーバー上のインターフェース）でtcpdumpを実行すると、攻撃者からポート53への多数の着信パケットが表示されることです。 iptablesがそれらをドロップしても、tcpdumpがこれらのパケットを表示するのは正常ですか？または、iptablesを間違って設定しましたか？ 一方、以前に行ったサーバーからの送信パケットは表示されないため、ファイアウォールが機能していると思われます。カーネルがパケットを完全にドロップしないのは驚きですか？またはtcpdump、パケットがiptablesに到達する前であってもパケットを見るようにカーネルにフックされていますか？

48 networking  iptables 

インターネットからtcpポートへの接続をブロックするルールをiptablesに追加する必要があります。 私のスクリプトは複数回呼び出される可能性があり、ルールを削除するスクリプトがないため、iptablesルールが既に存在するかどうかをチェックしてから挿入します。 iptablesルールが既に存在するかどうかを確認するにはどうすればよいですか？

41 iptables 

OSX Mountain Lion 10.8.3を使用していますが、Macを再起動しました。 サービス（ポート80のApacheなど）を開始したいのですが、ポート80で既に何かが進行しています： telnet localhost 80 Trying ::1... Connected to localhost. Escape character is '^]'. 待って、私はあなたが言うことを聞く、あなたはlsofまたはnetstatでそれを見つけることができます。そこに何もないことを除いて netstat -an | grep LISTEN | grep '\.80' *comes back blank* lsof -i :80 | grep LISTEN *comes back blank だから私はUnixシステムについて知っていることから、これはパケット転送ルールでなければならないと思いますか？すなわち、パケットはインバウンドポート80から、そのサービスをリッスンしている他の何かに転送されています。 ipfw show 65535 0 0 allow ip from any to any …

34 macos  networking  port-forwarding  port  iptables 

私のテスト環境では、すべての着信トラフィックを受け入れたいのですが、追加できるiptableルールを教えてください。 現在のiptables -L -nの出力は次のようになります チェーンINPUT（ポリシーACCEPT）ターゲットprot optソース 宛先 ACCEPT all-0.0.0.0/0 0.0.0.0/0 状態RELATED、ESTABLISHED ACCEPT icmp -0.0.0.0/0 0.0.0.0/0 ACCEPT all-0.0.0.0 / 0 0.0.0.0/0 ACCEPT tcp-0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt：22 REJECT all-0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited ACCEPT tcp-0.0.0.0/0 0.0.0.0/0 tcp dpt：8443 ACCEPT tcp-0.0.0.0/0 0.0.0.0/0 tcp dpt：8080 ACCEPT tcp-0.0.0.0/0 0.0.0.0/0 tcp dpt：9443 ACCEPT tcp-0.0.0.0/0 0.0.0.0/0 …

34 linux  firewall  iptables 

ファイアウォールがntpトラフィックを許可しないため、サーバーの時計が間違っています。ntpクライアントが出入りできるようにするために必要なiptablesルールは何ですか？ Ubuntuでこれらのルールを実装する方法についての提案も歓迎します。

27 ubuntu  iptables  ntp 

Linuxデスクトップでアウトバウンド接続を開始するプロセスを追跡したいと思います。私が思いつくことができる最高のものはこれです： iptables -A OUTPUT -m state --state NEW -j LOG --log-uid これにより、接続を開始するuid / gidが記録されますが、プロセス/コマンド名、またはpidさえ記録されません。pidを取得できれば、おそらくログが書き込まれたときにプロセス名を取得するスクリプトを作成することができますが、それも不可能なようです。 理想的には、着信接続も受け入れるプロセスも記録したいと思います。 Linuxボックス上のiptables（または他の何か）でこれがどのように可能になるか考えはありますか？

27 linux  firewall  iptables 

これらの2つのツールの違いは何ですか？ Linuxの背後にあるネットワークの主なワークフロー（IPv4パケットフィルタリング、NAT、およびIPルーティングテーブルに関して）を教えてください。

26 linux  networking  iptables  routing 

iptables -LUbuntu 12.04でネットワークインターフェースを表示する方法はありますか？ を実行すると、iptables -L次のような出力が得られます。 Chain INPUT (policy DROP) target prot opt source destination ... ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ... それはどういうわけか誤解を招くです。最初に、このルールがインターフェースlocalhostにバインドされていることを発見するまで、すべてを許可するという素晴らしいルールを考えていました。 ルールとインターフェースを一度に表示する概要を取得する方法はありますか？

21 ubuntu  iptables 

CentOSを使用しており、次のiptablesコマンドを入力するとき： iptables -L -v 出力は次のとおりです。 Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes) pkts bytes target …

17 linux  centos  firewall  iptables 

すべての着信接続を拒否し、発信を許可する単純なiptablesルールを作成します。どうやってやるの？

17 linux  firewall  iptables 

-A PREROUTING -s 10.0.10.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 -A PREROUTING -s 10.0.10.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8080 -A POSTROUTING -s 10.0.10.0/24 -o eth0 -j MASQUERADE COMMIT 上記のコードは、Linuxでトラフィックを転送するために使用したコードです。 Mac OSXでも同じことをする必要があります。10.8重要な場合。 それで、ここに取引があります。 以前は、プロキシを使用してLinuxマシンに接続し、そのプロキシを使用して、mitmproxyを使用してトラフィックを監視できました 今、Macでは、組み込みのインターネット共有を使用していて、ポート8080からのみをリッスンするmitmproxyを使用したいと考えています。 bridge0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500 ether ac:de:48:81:1d:4a inet …

16 mac  command-line  port-forwarding  iptables 

よく知られているポート番号のエイリアスの代わりにiptablesにポート番号を表示させるにはどうすればよいですか（例：80はhttp、443はhttpsなど）。常にポート番号だけを表示する方法はありますか？

16 centos  iptables 

複数の例で感嘆符（！）を使用している人を見てきましたが、使用しようとするとエラーが発生します。 私がしようとしているルール： -A OUTPUT -m owner --gid-owner 1006 -d ! 192.168.1.0/24 -j DROP エラー： Bad argument '192.168.1.0/24' これの正しい構文は何ですか？

16 linux  iptables 

Linux Redhatバージョン6.8マシンで実行する場合-サービスiptablesステータス ルールテーブルを取得します（iptablesが実行されているかどうかはわかりません） 以下はiptablesが実行されていることを示していますか？ # service iptables status Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 …

15 linux  iptables  rhel-6 

この質問にはすでに回答があります： ipchainsおよびiptablesでSSH / HTTPを除くすべてのポートをブロックする （2つの回答） 5年前に閉鎖されました。 すべてのポート（インとアウト）をブロックするのは簡単ですが、「except」という言葉では難しいです。条件を満たすルールがわからない。 PS：私はこの質問が新しいものではないことを知っています。しかし実際、私は何も助けを見つけませんでした。だから、私を助けてください！

14 linux  android  port  iptables  blocking