タグ付けされた質問 「iptables」

CentOS 6.5 64を使用しており、xenを使用して仮想マシン（CentOS）を作成しています ifconfig [root@CentOS ~]# ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:54:B3:FA inet6 addr: fe80::a00:27ff:fe54:b3fa/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10087 errors:0 dropped:0 overruns:0 frame:0 TX packets:6094 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:763616 (745.7 KiB) TX bytes:541789 (529.0 KiB) lo Link encap:Local Loopback inet addr:127.0.0.1 …

3 networking  centos  iptables  bridge  xen 

ブルートフォース攻撃に対する防御の最前線として、TCPラッパーを使用したSSHログイン試行を制限しました（デフォルトではアクセスを拒否し、IPホワイトリストを維持しています/etc/hosts.allow）。 ただし、ホワイトリストにないIPアドレスからサーバーにアクセスする必要がある場合があります（システムは最終的に自分の試行をブロックします）。 すべてのIPアドレスに対してSSHキー付きログインを許可することはできますが、特定のホワイトリストにないIPからのパスワードのみのログインを禁止することはできますか？キー付きログインのみを許可するようにSSHを構成できることは知っていますが、IPアドレスの範囲でパスワードを使用してログインできるようにしたいと思います。

3 linux  ssh  iptables  openssh 

私はファイアウォールとをいじっていましたiptables。HTTPとDNS以外のトラフィックをブロックすると、google.com経由で接続を確立できましたwget google.com。しかし、Firefoxでgoogle.comを開くことができませんでした。 少し調査した結果、Firefoxはを使用loopback deviceしてそれ自体と通信する（Firefoxループバック接続）ことを発見しました。ループデバイスのINPUTおよびOUTPUTトラフィックにACCEPTルールを追加した後、Firefox経由で任意のWebサイトを開くことができました。 私の質問は、Firefoxがループバックデバイスを必要とするのは正確に何ですか？

3 linux  firefox  iptables  loopback 

指定されたポート上の指定された国からのTCPトラフィックのみを許可し、残りのトラフィックはiptablesを使用して別のIP /ポートにリダイレクトする方法はありますか？

3 iptables  port  tcp  whitelist 

OpenVPNを使用して2つのVPNをトンネリングしたいです。したがって、クライアントは最初のVPNに接続し、2番目のVPNにリダイレクトされます。（これらはすべてVPSであり、後で重要になるため、物理的にアクセスできません。） だから、ここに写真があります： Client VPN1 VPN2 10.8.0.2[tun0]------10.8.0.1[tun0] [1.1.1.1][eth0] 10.8.100.2[tun1]----------10.8.100.1[tun0] 45.55.45.55[eth0] 186.186.186.186[eth0]------internet サーバー構成はかなり標準的な構成です。 port 1194 auth-user-pass-verify /etc/openvpn/script/login.py via-env username-as-common-name script-security 3 proto udp dev tun duplicate-cn sndbuf 0 rcvbuf 0 vca ca.crt cert server.crt key server.key dh dh.pem tls-auth ta.key 0 topology subnet server 10.8.0.0 255.255.255.0 (or 10.8.100.0 in the VPN2) ifconfig-pool-persist …

3 networking  vpn  routing  iptables  openvpn 

このトピックの理解に問題があります。 わかります iptables パケットフローと同様に kernel hooks。 考慮に入れない iptables ルール、ちょうど net.ipv4.ip_forward 有効およびiptablesは空です。 2枚のNICを持つホストを検討してください。まずは 192.168.0.0/24 ネットワーク、第二 - 10.10.0.0/24。 パケットはIPと最初のNICに来ます 10.10.0.3。 私の質問は、カーネルがどのようにパケットをルーティングするかを決定することです。 ルーティングテーブルをチェックするだけなのですか。 NICアドレスを取得してこのパケットを特定のNICに転送するよりも、このアドレスに対応するルーティングエントリが見つかった場合はどうなりますか。どちらに格納されている /proc/net/route しかし、実際にはカーネルのRAMにありますか？ しかし、そのような経路が存在しない場合、テーブルにネットワーク経路のエントリがあっても、それらのうちの1つが特定のIPを持っているNIC（インタフェース）をチェックしますか？ 私は正しいですか？

2 linux  networking  routing  iptables  network-adapter 

SSHトンネル機能を制限する必要があります。ユーザーは、リモートトンネルの作成を許可せず、ローカルホストへのトンネルのみを許可する必要があります。SSH構成ですべてをセットアップしようとしましたが、TCPForwardingを完全にオフにすることしかできません。私はこれがiptablesでのみ可能だと思いますか？誰でも経験があり、私を助けることができますか？

2 linux  ssh  iptables  ssh-tunnel  forwarding 

ipfwを使用してyoutubeへのアップロードを抑制したいとします。upload.youtube.comへのアップロードが行われますが、このドメインは複数の異なるIPに解決されます（これは時間とともに変化するようです）。 ドメインのルールを作成しようとするipfw listと、ドメインが解決された最初のIPにのみ接続されたエントリで（結果を表示）になります。 すべてのIPと、それが解決される将来のIPとともに、ルールをドメインに自動的に適用するにはどうすればよいですか？

2 networking  iptables  bandwidth  ipfw 

https://help.ubuntu.com/community/Router/Firewall 上記のリンクには、ファイアウォールスクリプトが記載されています。このスクリプトをUbuntu 10.0.4デスクトップにインストールするにはどうすればよいですか？

2 ubuntu  iptables 

5つのパブリックIPアドレスを持つDebian 7サーバーがあります。サーバーには、いくつかのKVMゲスト（すべてDebian 8）があります。ゲストの1人は、パブリックIPの1つを使用してパブリックにアクセスできる必要があります。これにはIPアドレスが192.168.122.133あり、他のすべてのゲストには範囲内のIPがあります192.168.122.50/28。 現在、ゲストが相互に通信できるように設定していますが、外部からの着信接続と発信接続は、パブリックにアクセスする必要があるゲストとは失敗します（ローカルネットワークからの接続のみ）。 これらは、このゲストとの間で送受信されるすべてのトラフィックを転送することになっていると私が信じているルールですが、それはすべきことをしていないようです： /sbin/iptables -t nat -I PREROUTING -d 111.111.111.133 -j DNAT --to 192.168.122.133 /sbin/iptables -t nat -I POSTROUTING -s 192.168.122.133 -j SNAT --to 111.111.111.133 /sbin/iptables -t filter -I FORWARD -d 192.168.122.133 -j ACCEPT /sbin/iptables -t filter -I FORWARD -s 192.168.122.133 -j ACCEPT 以前はこれを設定していて、ある時点で正常に動作していたと思いますが、何かを変更したか、何らかのシステム更新が何かを変更した可能性があり、現在は動作していません。 詳細： KVMネットワークが構成されます。 <network> <name>default</name> …

2 linux  virtualization  firewall  iptables  linux-kvm 

NATを使用してインターネットアクセスを提供するルーターと、eth0でこのルーターに接続されているクライアントLinuxボックス（A）があります。 このLinuxボックスにはwlanインターフェイスwlan0もあります。このボックスで、このインターフェイスを使用してワイヤレスネットワークをアドバタイズし、IPアドレスを配布し、このネットワークからゲートウェイルーターによって提供される他のネットワークにトラフィックを転送することを望みます。 これまでのところ、hostapdとdhcpサーバーが動作しています。2番目のLinuxボックス（B）は、この新しいワイヤレスネットワークに接続してIPアドレスを取得できます。ただし、Bはサブネットの外部でpingを実行したり、アドレスを解決したりすることはできません。 Bのifconfig出力： wlan2 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX inet addr:192.168.42.10 Bcast:192.168.42.255 Mask:255.255.255.0 inet6 addr: fe80::12fe:edff:fe1b:2bec/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:177 errors:0 dropped:0 overruns:0 frame:0 TX packets:757 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:26221 (26.2 KB) TX bytes:132884 (132.8 KB) Aのifconfig出力： eth0 Link encap:Ethernet HWaddr …

2 linux  networking  wireless-networking  router  iptables 

私は、すべてのトラフィックを、任意のIPアドレスから任意のIPアドレスに転送し、interface enp4s5からport 80に向けて、ローカルマシン（iptablesが実行されているルーター）にリダイレクトします。 ローカルマシンのポート80（ポートから明らかでない場合はWebサーバー）で実行されているサービスは、接続の元のSOURCE IPを知ることができる必要があります。 ユースケースは、すべてのHTTP（HTTPSで機能しないことを知っています）ページをルーターで実行しているログインページへのリダイレクトに置き換えるキャプティブWiFiポータルの場合で、認証が必要です（そしてiptablesルールを追加します）または、このリダイレクトをバイパスするipsetにアドレスを追加します）。 DNATが希望のセットアップの半分を達成し、パケットをローカルマシンにリダイレクトすると確信していますが、応答パケットを最初に送信したマシンに返送するために対応するSNATが必要でした。 SNATルールの--to-sourceで提供するソースIPがわからないため、それはできません。

2 linux  networking  router  iptables 

私はUbuntu 10.04でiptablesを使っていますが、iptablesのルールを設定するたびにしばらくすると元に戻ります。私はそれらをiptables -I INPUTまたはiptables -D INPUTで設定しましたが、それらはすぐに動作し、iptables -L INPUTでそれらが見えますが、しばらくするとルールが元に戻ります。 私もルールをエクスポートしました iptables-save > /etc/firewall.conf 私はスクリプト/etc/network/if-up.d/iptablesを作成しました。 #!/bin/sh iptables-restore < /etc/firewall.conf また、firewall.confを確認しても、必要なルールがあります。 では、なぜiptablesは元に戻りますか？ 更新： /etc/cron.daily/apfにあります。 #!/bin/bash /etc/apf/apf -f >> /dev/null 2>&1 /etc/apf/apf -s >> /dev/null 2>&1 これはiptablesのルールをフラッシュするでしょうか？

1 ubuntu-10.04  firewall  iptables 

私はLinuxベースのUTMアプライアンスを使用していますが、操作に関してクライアントといくらか意見の相違があります。これはファイアウォールでポート転送を設定するための標準的なGUIですが、何らかの理由で次のルールが必要であると考えています。 -s 10.91.186.0/23 -d 10.10.10.0/23 -j ACCEPT -s 10.11.10.0/23 -d 10.10.10.0/23 -j ACCEPT -s 192.168.10.0/23 -d 10.10.10.0/23 -j ACCEPT 非常に汚いネットワークトポロジであり、はい私はそのひどいことを知っています --------------------------------------------------------------------- Hosted cloud VM's 123.231.254.125 [public IP example] 192.168.10.10 [Microsoft TMG]/23 192.168.10.2 [cloud gateway]/23 10.91.186.161 [cloud edge?]/30 ---------------------------------------------------------------------- 10.91.186.162 [site cisco 2921 external]/30 10.91.186.1 [site cisco 2921 internal]/30 ---------------------------------------------------------------------- 10.91.186.2 …

1 linux  networking  firewall  iptables 

ポート80を自分のコンピュータに転送するようにルーターを設定したので、dyndns.orgドメインからアクセスできます。ドメインとIPはどちらも外部的には完全に機能しているようです（LANの外からアクセスできます）。残念ながら、私はそれにローカルにアクセスすることはできません（LAN上、またはマシン自体の上）。 これは " ループバックエラー 「私は理解しています。私はポートフォワーディングを設定し、ルーターで見つけることができるすべての詳細設定を調べました。ローカルマシン上で/ etc / hostsファイルを使用することに頼りたくはありません。私がしなければならないならそれをするでしょう。 私のルーターは "EchoLife HG556a"、ここニュージーランドのボーダフォンインターネット契約に付属するブランドの変更されたルーターです。 "advanced"モードでログインすると、mydomain.dyndns.orgドメインにアクセスしようとしたとき、あるいは外部IPで直接アクセスしようとしたときにはいつでもファイアウォールログがこれらのメッセージを受け取ることがわかります。 Mar 9 16:36:24 kernel warning kernel: [fwlog] Bad source(not br0) packet attack, SRC=192.168.1.2 DST=203.118.175.161. Mar 9 16:36:25 kernel warning kernel: [fwlog] Bad source(not br0) packet attack, SRC=192.168.1.2 DST=203.118.175.161. Mar 9 16:36:26 kernel warning kernel: [fwlog] Bad source(not br0) …

1 home-networking  port-forwarding  nat  iptables  loopback