タグ付けされた質問 「iptables」

ネットワーク内からインターネットへのすべての接続をルーティングするサーバーを備えたネットワークがあるとします。インターネットへの着信接続をルーティングする代わりに、ローカルホストポート8080にルーティングするようにiptablesを設定するにはどうすればよいですか。すべての助けを歓迎します。

13 networking  iptables 

Linuxでファイアウォールを無効にするには、次の手順に従いました。再起動後、再びファイアウォールが有効になります。ファイアウォールを永久に無効にする方法は？ rootユーザーとしてログインします。 次に、次の3つのコマンドを入力してファイアウォールを無効にします。 service iptables save service iptables stop chkconfig iptables off IPv6ファイアウォールを無効にします。 service ip6tables save service ip6tables stop chkconfig ip6tables off

13 firewall  iptables  redhat-enterprise-linux 

Webサイトのテストを行うには、Centosサーバーを無効化またはブロックして、電子メールを送信しないようにする方法があります。 さて、コマンドラインで実行すると mail xxx@gmail.com メールを送信できます。これはWebサイトのテストには適していません。サイトのユーザーに迷惑をかけたくありません。 iptablesと関係があるのでしょうか？誰でも道を開拓できますか？ Centosを最小限のパッケージでインストールしました。配信ジョブを行うのはqmailだと思う locate qmail /usr/share/logwatch/scripts/services/qmail /usr/share/logwatch/scripts/services/qmail-pop3d /usr/share/logwatch/scripts/services/qmail-pop3ds /usr/share/logwatch/scripts/services/qmail-send /usr/share/logwatch/scripts/services/qmail-smtpd

13 email  iptables 

Windows 10でiptables機能を取得する方法を探しています。IPルーティングを有効にし、tcpデータを別のホスト（ポート8080）に転送し、IPをマスカレードしながら応答を転送する必要があります。Linuxでは、以下を使用してこれを行うことができました（$ 1 = <内部IP>、$ 2 = 80、$ 3 = 8080、$ 4 = tcp） iptables -t nat -A PREROUTING -p $4 --match multiport --dports $2 -j DNAT --to-destination $1:$3 iptables -A FORWARD -p $4 --match multiport --dports $2 -d $1 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE Windows …

13 windows  iptables  nat  port-forwarding  windows-10 

専用のLinux（Debian 7.5）ルートサーバーがあり、多数のゲストがセットアップされています。ゲストはKVMインスタンスであり、bridge-utils（NAT、内部IP、ホストをゲートウェイとして使用）を介してネットワークアクセスを取得します。 たとえば、1つのKVMがWebServerゲストであり、次の方法でホストIPを介してアクセスできます。 iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z --dport 80 -j DNAT --to-destination 192.168.100.X:80 私は他のサービスについても同じことを行い、それらを自己完結型で、NATで分離された状態に保ちます。 ただし、1人のゲストはネットワークモニターであると想定されており、ネットワークトラフィック検査（IDSなど）を実行します。通常、非仮想セットアップでは、トラフィックをミラーリングするためにVACLまたはSPANポートを使用します。もちろん、この1つのホスト内では、これを行うことはできません（複雑な仮想スイッチングアプローチを使用したくないため、簡単にできます）。 iptablesを使用してポートミラーを取得し、すべての入力および出力トラフィックを1つのKVMゲストにリダイレクトできますか？すべてのゲストには、などの専用インターフェイスがありますvnet1。 プロトコルに基づいて、トラフィックを選択的に転送することは可能ですか（HTTPのみを取得するVACL転送ルールなど）。 vnet1管理インターフェース（IPを使用）として維持する必要がある場合、ゲストは特定のインターフェース設定を必要としますか？ 私は正しい方向へのポイントを喜んでいるでしょう： iptables 1.4.14-3.1 linux 3.2.55 bridge-utils 1.5-6 どうもありがとう ：）

11 networking  iptables  linux-kvm 

system-config-firewallによって記述されたファイアウォール構成 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

11 linux  firewall  iptables 

自宅では、IPv6アドレスに接続しています。さらに、プロバイダーはNATのようなセットアップを提供しており、それを介して他の顧客と共有するパブリックIPv4アドレスを受け取ります（理由は、明らかにIPv4アドレスが不足しているためです）。 その結果、IPv4ネットワークを使用している場合、自宅（VPNゲートウェイなど）のデバイスに到達できません。ただし、IPv4とIPv6の両方のアドレスを持つサーバーがあります。したがって、サーバーを経由した場合、自宅のデバイスに到達できるはずです。 これが私がこれまでに心に留めていることです。IPv6では各デバイスが独自のIPを取得するため、自宅のサーバーは静的IPv6 IPを取得します。私のリモートサーバーには既に静的IPv4とIPv6の両方が搭載されています。 自宅のOpenVPNサーバーに到達したい場合、以前はルーターのポート1194を開き、NATはそこのサーバーに接続を渡していました。私の新しいシナリオでは、リモートサーバーのポート1194（または別の種類でも構いません）に接続し、その接続を使用してホームサーバーにトンネル接続する必要があります（両方にIPv6があるため）。 グラフィカルに、これは意味します： モバイルデバイス（IPv4）->リモートサーバー（IPv4 + IPv6）->ホームサーバー（IPv6） しかし、これは選択されたポートでのみ発生するはずです（またはポートで選択するよりも賢い方法がありますか？）。 私の質問は、このセットアップをどのように達成するのですか？ これはどのレベルで動作しますか？ポート単位で行う場合は、TCP / UDPレイヤーでパケットを転送する必要があります。私の最初のアイデアはiptablesですが、iptablesはパケットをリモートIPに転送できますか？それともできる他のソフトウェアはありますか？または、2つのサーバー間にトンネルを作成してから、ローカルに転送する必要がありますか？どうすればいいですか？

11 linux  networking  vpn  iptables  ipv6 

したがって、http（80）およびhttps（443）ポートを除くすべてのポートへのすべてのトラフィックをドロップし、国xからの他のすべてのポートでのトラフィックのみを許可するスクリプトをネットで探していました（国xは米国です）。 すべての国のすべてのIPを追加するのではなく、自分の国のIPを許可して、外の世界からのほとんどすべての他のトラフィックをブロックします。国外の誰もssh、ftp、smtpなどにアクセスするべきではありません。私以外に。これが変わる場合は、近づいたときに特別なケースを追加します。 サイドノート IPテーブルを使用して国ごとにIPを禁止するスクリプトが含まれている質問を見つけたのに注意する必要がありますが、それは私がしなければならない追加の挿入の多くです。 ベストアンサーとしてマークされたスクリプトは、それらのIPからのすべてのトラフィックをブロックします。80と443以外のすべてのポートへのアクセスをブロックしたいだけです。 更新 次のルールで、 iptables -A OUTPUT -m geoip --dst-cc CN -j DROP それを変更して次のようなことができるでしょうか iptables -A OUTPUT -m geoip --dst-cc CN --dport 80 -j ACCEPT iptables -A OUTPUT -m geoip --dst-cc CN --dport 443 -j ACCEPT iptables -A OUTPUT -m geoip --dst-cc CN -j DROP これにより、中国からのIPがポート80とポート443にアクセスできるようになり、残りは破棄されると思います。この仮定は正しいでしょうか？そうでない場合、なぜでしょうか？ アップデート2 …

10 networking  ssh  firewall  iptables  http 

この質問にはすでに回答があります： SSHを介してVMware仮想マシンにアクセスできない （4つの回答） 4年前休業。 現在ssh、インターネット経由でsshホストから仮想マシンにホストできます。私がやりたいのはssh、外部から直接ゲストマシンにアクセスすることです。 私はこれを使ってこれをやろうとしましたiptables： iptables -t nat -A PREROUTING -m tcp -p tcp --dport 2222 -j DNAT --to-destination 192.168.130.128:22 また、この関連ポートをで開きましたUFW： ufw allow routed ufw allow outgoing ufw deny incoming ufw allow 2222/tcp ファイアウォールをリロードsshすると、リモートがフリーズしdebug1: Connecting to x.x.x.x [x.x.x.x] port 2222、使用すると次のようになりtcpdump -i vmnet8 'port 22'ます。 listening on vmnet8, link-type EN10MB …

9 linux  macos  ssh  iptables  vmware-player 

私のPCには2つのネットインターフェイスwlan0＆が装備されeth0ています。WiFiポートをのアクセスポイントとして使用したいと思いますwlan0。 私はhostapdファシリティを使用しましたが、ローカルネットワーク内のルーティングモードで適切に機能します。ユーザーはアクセスポイントに接続でき、DHCPは両方のセグメントで正しく機能します。 を搭載したPCにhostapdはファイアウォールやiptablesルールがありません（iptablesファイアウォールは無効になっています）。これは、ADSLルーターの組み込みファイアウォールのみを使用したいためです。 私のネット構成は次のとおりです： PC with hostapd -> cable connection -> ADSL router wlan0 -> eth0 <-> 192.168.0.1 <-> internet 192.168.10.1 -> 192.168.0.7 -> static routing to 192.168.10.X PC ifconfig： eth0 Link encap:Ethernet HWaddr 00:12:3F:F2:31:65 inet addr:192.168.0.7 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::212:3fff:fef2:3165/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX …

9 linux  iptables  nat  hostapd 

新しいVPN接続（openvpnを使用）があり、ISPの制限を迂回できるようになっています。正常に動作している間、VPN上のすべてのトラフィックを取得しています。これにより、ダウンロード（vpnで許可されているよりもインターネット接続の方がはるかに速い）とリモートアクセスの問題が発生します。私はsshサーバーを実行しており、携帯電話経由でダウンロードをスケジュールできるデーモンを実行しています。 eth0に既存のイーサネット接続があり、tun0に新しいVPN接続があります。 192.168.0.0/24ネットワークで既存のeth0接続を使用するようにデフォルトルートをセットアップし、デフォルトゲートウェイを192.168.0.1に設定する必要があると思います（何年もこれを行っていないので、私の知識は不安定です）。それが正しい場合、私はそれを行う方法を正確にわかりません！。私の現在のルーティングテーブルは： Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface MSS Window irtt 0.0.0.0 10.51.0.169 0.0.0.0 UG 0 0 0 tun0 0 0 0 10.51.0.1 10.51.0.169 255.255.255.255 UGH 0 0 0 tun0 0 0 0 10.51.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 0 0 …

8 linux  routing  iptables  openvpn 

私の目的は、すべてのポートおよびプロトコルでeth0に到達するすべてのIPアドレスをこの方法でNAT（変換）することです：192.168.55.x-> 192.168.42.x（IP転送が有効になっており、192.168.42.0 / 24サブネットワークがeth1にあります）。たとえば、x = 20の場合、次のような行のペアごとに1つのホストに対してこれを実行できます。 iptables -t nat -A PREROUTING -i eth0 -d 192.168.55.20 -j DNAT --to 192.168.42.20 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.42.20 -j SNAT --to 192.168.55.20 しかし、253の可能なホストすべてを翻訳する方法を見つけることができません。私はこれを試しました： iptables -t nat -A PREROUTING -i eth0 -d 192.168.55.0/24 -j DNAT --to 192.168.42.0-192.168.42.255 iptables -t nat -A …

7 linux  iptables  nat 

地下のLinuxマシンでOpenVPNをセットアップしました。 ローカルネットワークに接続している場合、問題なくWindows 8.1マシンから接続できます。 この例では、使用する構成ファイルを設定します remote 192.168.0.111 1194 ローカルネットワークを離れると、その構成ファイルを次のように変更します。パブリックIPはremote 63.xxx.x.xxx 1194 どこですか63.xxx.xx.xx。 ローカルネットワークの外にいると、接続できません。これは、外部ネットワークから接続しようとする最近の試みのログエントリです。 Mon Oct 06 13:59:54 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 2 2014 Mon Oct 06 13:59:54 2014 library versions: OpenSSL 1.0.1g 7 Apr 2014, LZO 2.05 Mon Oct 06 13:59:54 2014 MANAGEMENT: …

5 networking  iptables  vpn  openvpn  port-forwarding 

質問は簡単ですが、答えは具体的な回答なしで無数の関連トピックを通り抜けたので、答えはそうではないと思う。 私はポートを転送したい1234からx.x.x.xにy.y.y.y（すなわち、異なる場所で、インターネット上の両方y.y.y.yのような内部IPではない10.a.b.c方法で、など）y.y.y.yに接続している元のソースIPを取得することができますx.x.x.x。 現時点ではx.x.x.x、通常のSNATまたはMASQUERADEルールを使用するソースIP と見なされます。場合はy.y.y.y（上で実行されているLXCコンテナのようないくつかの内部IPをあるx.x.x.x同じルールが動作）とコンテナが実際のソースIPを見ることができますが、ない場合はy.y.y.y、外部です。 これは何らかの方法で達成できますか？

4 linux  networking  routing  port-forwarding  iptables 

良い一日、 私はLinuxでうまく動作する多くのWINEアプリを使用していますが、私が特に探しているのは、ごく少数のワインアプリケーションを除いて、インターネットへのアクセス（発信）をブロックすることです。 システム上で新しいユーザーを作成し、Iptablesとのイーサネットインターフェースへのすべての送信トラフィックを拒否し、ブロックしたいWINEアプリを実行したいときにこのユーザーを使用することができます。そのようです： iptables -I OUTPUT -o ethX -m owner --uid-owner UserB -j DROP ただし、この例のために、インターネットに接続する1つのWINEアプリが欲しいとしましょう...簡単にするために、WINEでFirefoxを使用します（例として）。 したがって、WINEでFirefoxを実行するにはインターネットを持つUserAを使用し、他のすべてのWINEアプリを実行してブロックするにはUserBを使用します。 これは良いことですが、これを何らかの方法で回避できると主張する人もいます。「Linux対応」アプリやそのような高度なマルウェアについては心配していません。これらはWindowsアプリであり、ブロックを回避しようとしないようなリスクを負うことになるからです。 chroot刑務所、それは私にとって非常に基本的でありすぎて複雑すぎる。 最後に、WINEはアプリがトラフィックを自分で送信できるようにしますか？WINEはネットワーク上で正確にどのように機能しますか？アプリがそれ自体で送信する場合、パケットにはUserB uuidがあり、簡単にドロップされるためです。しかし、アプリが... wineserverまたは他のデーモンと通信するために何かを使用し、デーモンが実際のネットワークトラフィックを送信する場合...明らかに失敗しますが、パケットにはUserB uuidがありません。 どうすれば確認できますか？私がブロックしたいアプリのほとんどは、些細なデータを送信するだけでも、それ自体は「信頼」しないアプリです。彼らは明らかにそれについて沈黙しているので、私の知る限りこれを簡単に監視することはできません。したがって、これを監視し、それが機能するかどうか（または、知っている人からの簡単な確認）を確認する方法があれば、それは素晴らしいことです。 WINEがこれをどのように行っているか知っていますか？または、UserB上のすべてのWINEアプリが送信アクセスをブロックするために他に何かする必要がある場合。または、すべてのUserBパケットをブロックするだけで十分ですか？ 本当にありがとう！ 更新： 「wineserver」はWINEPREFIXごとに独立しているように見えるので、それを知っている人は、2人のユーザー（インターネットを使用するユーザーと使用しないユーザー）ごとに異なるWINEPREFIXを作成するだけで、すべての問題を解決する必要があると思います。 脱出する方法をブロックするかどうかは100％確信はありませんが、ほとんどのWindowsアプリはLiunxで実行していることを認識していないので、どうすれば抜け出すことができますか？本当に大きな悪意のあるマルウェアでない限り。 各WINEPREFIXにはシミュレートされたWindowsインストールが異なるため、すべてのアプリがある共通のディレクトリにシンボリックリンクする方が簡単で、これら2つの個別のWINEPREFIXを心配することなく簡単になります。 そして、各ユーザーでアプリを起動するシェルスクリプトを作成します。たとえば、1つはインターネットアクセス用で、もう1つはインターネットアクセス用です。 誰かがこれをどのように改善できるかについてもっと素晴らしいアイデアを持っているなら、共有してください。今のところ、私は非常に満足していると思います。

4 linux  iptables  blocking  wine  traffic