タグ付けされた質問 「iptables」

私は問題を解決する必要があります。私の設定は次のとおりです。 CentOS（ルーター） eth1 18.0.168.1 255.255.248.0 eth2 145.165.34.1 255.255.254.0 Windows Server 2008 18.0.168.2 私の問題は、Windowsマシンからです、私は145.165.34.0 / 23ネットワークに到達することはできません。後でそのネットワークをDHCPに使用します。 私が試したことは私がそれを正しくやっていないと確信しているものはiptables転送とip routeです。今のところ私はそれらの設定を取り出しました。 現時点では、18.0.168.2（Windows）は18.0.168.1（CentOS）にpingを送信できますが、145.165.34.1はpingできません。 手伝ってくれてありがとう。 [kyle@router ~]$ ip route list 10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 1 145.165.34.0/23 dev eth2 proto kernel scope link src 145.165.34.1 metric 1 18.0.168.0/21 dev eth1 proto …

1 windows  linux  routing  centos  iptables 

特定の文字列（マッチワード）を使って着信http / httpsパケットをフィルタリング（BANRULESセットに送信）する必要があります。 sslが使用されていないとき（ポート80）は簡単にできます。 iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "matchword" --algo bm --to 65535 -j BANRULES しかし、sslが使用されていると（ポート443）、これは機能しません（パケット暗号化のため）。 iptables -A INPUT -p tcp -m tcp --dport 443 -m string --string "matchword" --algo bm --to 65535 -j BANRULES これどうやってするの？ どうもありがとうございました。

1 encryption  iptables  ssl  https  string 

他のパソコンからのリクエストでiptablesにルールを追加するスクリプトを作成することは可能でしょうか。つまり、スクリプトは何をすべきかを「知って」いますが、ルールのアドレスは要求から来ています。 そしてそれはどのようにして実現されるべきだと思いますか？私は、それはデーモン、あるいは悪魔化されたスクリプトであるべきだと思います...

1 linux  networking  script  iptables 

現在、Fedora 24でOpenVPNを実行していますが、OpenVPNを起動しても/etc/resolv.confエントリが変更されないため、一般的なDNSリークが発生します。 DNSリークを取り除くために、VPNアダプター（この場合はtun0）を通過しない他のトラフィックをブロックするためにUFWを構成しようとしています。 UFWステータスには次のルールがあります。 outgoing: allow from any to any on tun0 ingoing: allow from any to any on tun0 allow VPN to establish: allow from any to XX.XX.XX.XX UFWを有効にした後、指定されたアドレスへのVPNトンネルを正常に確立できます。ただし、tun0を通過するIPトラフィックはなく、webbrowserはインターネット接続を利用できません。TrafShowを実行すると、tun0が完全にサイレントのままであることがわかります。 構成でまだ不足しているポイントを誰かが助けてくれますか？どうもありがとう！

1 fedora  iptables  openvpn  network-adapter  ufw 

現在、NetgearルーターとDD-WRTファームウェアを使用しています。 カメラアプリケーションがインストールされたラップトップがあります。アプリケーションは、パブリックアドレスとポートを使用してカメラを操作します。私が仕事をしているとき、アプリは正常に機能しますが、自宅では機能しません。自宅では、IPアドレスをプライベートに変更して構成を変更する必要があります。ただし、職場ではIPアドレスをパブリックに変更する必要があります。そして、私はそれを何度も繰り返します。 ケースは次のようになります。 +-----------------+ +------------------+ | Camera 01 | | Camera 02 | | 192.168.1.10:80 | | 192.168.1.11:80 | | from port: 8081 | | from port: 8082 | +-----------------+ +------------------+ \ / \ / +-------------+ +------------------+-----------------+ | ISP |---/---| Router (WAN port)| Router(local IP)| | 128.x.x.107 | | 192.168.10.1 …

1 networking  router  ip  iptables  dd-wrt 

私は（ポートへのサブドメインをリダイレクトするようにApacheを使用していますmod_proxy、mod_proxy_http、mod_proxy_ajp私とローカルサーバを除いて、ダイレクトポートアクセスを制限する）とIPテーブル。 私のIPテーブルは次のようになります。 Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- !c-24-7-110-109.hsd1.ca.comcast.net anywhere tcp dpt:tproxy ACCEPT tcp -- localhost anywhere tcp dpt:tproxy DROP tcp -- !c-24-7-110-109.hsd1.ca.comcast.net anywhere tcp dpt:http-alt DROP tcp -- !c-24-7-110-109.hsd1.ca.comcast.net anywhere tcp dpt:webmin ACCEPT tcp -- localhost anywhere tcp dpt:webmin Chain FORWARD (policy ACCEPT) …

1 networking  dns  apache-http-server  iptables 

ここのコミュニティは素晴らしいです！ ASUS 3100ワイヤレスルーターと約4台のIPカメラがあります。私の古いルーターでは、発信トラフィックを簡単にブロックできるため、カメラが「家に電話をしていない」ことを確認できました。このルーターでも同じことをしたいので、まずポートフォワーディングツールを使用することに決め、次にIPTABLEの検索を開始しました。 これがasuswrt-merlinがルーター管理ツールとiptablesでポート転送を使用するための問題であるかどうかはわかりません。私は疑わしいでしょう...右？ 私の目標： デフォルトでは、192.168.1.0 / 29の発信および着信トラフィックをブロックします 例外：少数の信頼できるIP（職場または友人の家）に対してのみ120：130を開きたい。これらのIPが150.150.150.150と250.250.250.0/24（これらのポートにアクセスするためにブラウザーを使用しますが、とにかくそれはおそらく問題ではありません）であるため、CAMERA＃2にアクセスする場合はDDNS.dns.com:121 例外：カメラはSMTPS（ポート465）経由で電子メールを送信するため、電子メールを送信できるようにそれを開きたいと思います。 他のどこかで通信するIoTのものがあるので、INPUT / OUTPUTをブロックしたくないので、デフォルトポリシーを変更してそれをブロックしたくありません。私はそれがどのように機能するかを誤解していない限り。 最新のAsuswrt-Merlinでルーターをフラッシュし、JFFSカスタムスクリプトを有効にしました。下の私は、ファイルを作成した/jffs/scripts/と呼ばれますfirewall-start。shebangで始まるファイルを編集し、いくつかのルールを追加しました（これについては後で説明します）。使用しましたservice restart_firewall。私が入ろうとしている問題は、適切な結果が得られていないことであり、ルールを間違っているか、またはおそらく順序を書いている可能性が非常に高いです。 iptablesを前方に試し、iptables INPUT＆OUTPUTを試し、「INSERT」/「APPEND」の組み合わせを試しました。何らかの理由で、すべてをブロックするか、完全に開いたままにします。私の究極の目標には決して従いません。FORWARDまたはINPUTまたはOUTPUTのいくつかの順序またはデフォルトルールに関係していると確信していますが、それを理解することはできません。 ルールも1つずつ挿入しました。簡単に始められるもの。 iptables -I FORWARD -d 192.168.1.0/29 -p tcp --dport 17111 -j DROP これはドロップします。canyouseeme.orgを試してみて、コードに「put put put」と書かれていると、「successful」と表示されることがあるため、気が遠くなることがあります。失敗したということもあります（ドロップしたことを意味する）ので、時々それは私が遭遇することですが、おそらくそれは無関係な問題のように聞こえます。それから私は自分自身に大丈夫だと言っています。INSERTが明らかに一番上に行くので、これの後にINSERTルールを追加しましょう。上記のコードの後に​​これを追加しました： iptables -I FORWARD -s myworkip -d 192.168.1.0/29 -p tcp --dport 121 -j ACCEPT そのため、ファイル内のこれら2つで。iptablesをフラッシュし、ファイアウォール開始サービスを再起動して、新しいルールを取得します。私iptables -Lはそれを正しい順序で使用しています。Webページddns.dns.com:121とnadaをリロードしてテストします。ロードされません。キャッシングですか？時間は必要ですか？時々5分間待ちますが、それでも何もありません。私は再びcanyouseeme.orgを使用しますが、それでも最後のDROPコードから失敗と表示されます。 私を助けてくれる専門家が必要です。現在の私の既存のiptableは次のとおりです。 Chain INPUT …

1 networking  router  firewall  iptables  asuswrt-merlin 

HTTPパケットでディープパケットインスペクションを実行しようとしています。これの目的は、HTTPペイロードデータを収集し、プロキシ/キャッシュに依存しないレポートを作成することです。これに続き、レポートを使用するための特定のプロキシ/キャッシュプラグイン（Squidなど）を開発します。 次のテストシナリオを使用しています（VirtualBoxマシン、すべてのマシンはCentOS 6.3）： ルーター： インターフェース： 192.168.1.0/24ネットワークに接続されたeth0（ip 192.168.1.10） 192.168.2.0/24ネットワークに接続されたeth1（ip 192.168.2.20） 192.168.3.0/24ネットワークに接続されたeth2（ip 192.168.3.30） eth3インターネット・アクセス PC1（ディープパケットインスペクション-DPI PC）： インターフェース： 192.168.1.0/24ネットワークに接続されたeth0（ip 192.168.1.1） 192.168.2.0および192.168.3.0ネットワークのPCからのHTTP要求は、iptablesでマークされ、DPI PCにルーティングされます。 ROUTER iptablesスクリプト： #ALL CHAINS POLICY = ACCEPT # DPI PC IP IP_DPI=192.168.1.1 # Interface to reach DPI PC from router IF_DPI_OUT=eth0 # Internet access interface IF_MASQ=eth3 # Flush everything iptables -F …

1 networking  proxy  centos  cache  iptables 

この質問にはすでに答えがあります： ipchainsおよびiptablesでSSH / HTTPを除くすべてのポートをブロックする 2つの回答 私はFedora 15を使用してどこからでもポート22 TCP / UDPとポート80 TCP / UDPのみを許可しようiptablesとしていますが、残りはすべてパブリックネットワークからアクセスもスキャンもできません。 しかし、それは私にとっては決して機能しません。最後に、ポート22にさえ自分自身でアクセスするのをブロックするのが怖いので、私はそれをオフにしました。 だから、私の質問は、Fedora 15でこれをどのように行うことができますか？22、80 TCP / UDPを除くすべてをブロックしますか？ iptables -P INPUT ACCEPT # Fresh start iptables -F # Localhost/ethernet 0 / yum installation allow iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -j ACCEPT iptables …

1 security  fedora  iptables  fedora-15 

ある日から次の日まで、私のSamba共有（現在のSamba 4.1.17を搭載したDebian 8）は、Windowsネットワークネイバーフッド（Win 10）で表示されなくなりました。数日の間、アドレス行に\\ servernameと入力することでアクセスできましたが、現在ではこれは不可能です。 ただし、アドレス行に\\ 192.168.200.10（サーバーのIP）を入力することで共有にアクセスできるため、サービスが起動して実行され、ファイアウォールがトラフィックを許可するなどです。 私は設定を変更しなかったので、何らかのアップデートが何かを壊したと思います。この問題を解決するために見つけたすべてを試しましたが、運はありませんでした。 質問は次のとおりです。以前と同じようにサーバーをネットワークネイバーフッドに表示し、ホスト名で再びアクセスできるようにするにはどうすればよいですか。家族に常にIPを入力させるのは難しい。 編集：リモートでsambaに接続されているすべてのパッケージを再インストールし、設定をコピー＆ペーストすると、\\ SERVER \ share経由で共有にアクセスできますが、サーバーはネットワークに表示されません。 smb.confとiptablesの設定があります： smb.conf： [global] domain master = yes preferred master = yes local master = yes wins support = yes os level = 255 workgroup = WORKGROUP netbios name = SERVER security = user guest ok = yes …

1 linux  windows  debian  samba  iptables 

Linuxマシン（ラズベリー）の着信トラフィックを、iptablesを使用してユーザー名/パスワードを使用してWebプロキシにリダイレクトすることは可能ですか？トラフィックがsquidのような透過プロキシにリダイレクトされる例しか見つかりませんでした...当社では、インターネットアクセスは企業プロキシサーバーを使用する場合にのみ許可されています。背後にある話は、wifiコントローラーがインターネットにアクセスできる必要があるということです。ゲートウェイとして機能するラズベリーにトラフィックを送信するwifiコントローラーで静的ルートを構成したいと思います。次に、ラズベリーはトラフィックを当社のプロキシにリダイレクトする必要があります。

1 linux  networking  proxy  iptables 

夜に娘をipadから追い出すためにiptableチェーンを作成しようとしています。Mac専用フィルターでは、アクセスをブロックできますが、時間を追加すると機能しなくなります。このチェーンに問題がありますか？ ##Parental Controls #iptables -A INPUT -p ALL -m mac --mac-source 60:21:c0:41:1b:a1 -j DROP iptables -N blocked_access iptables -A blocked_access -j LOG --log-prefix 'BLOCK TEST' iptables -A blocked_access -p ALL iptables -A blocked_access -m mac --mac-source 60:21:c0:41:1b:a1 iptables -A blocked_access -m time --timestart 16:00:00 --timestop 17:55:00 --weekdays Sun,Mon,Tue,Wed,Thu iptables -A …

1 linux  iptables  firewall  opensuse 

仮想ネットワーク上にKVMゲストマシンがあります。のようなIPアドレスがあります192.168.122.65。ホストマシンはパブリックインターネットに接続されています。ホストマシンでターミナルを開くと、を入力してゲストにSSH接続できるssh user@192.168.122.65ので、正常に動作することがわかります。 ここで、インターネットを介して任意のコンピューターからゲストにSSH接続したいと思います。ホストマシンを構成してそれを可能にするにはどうすればよいですか？私は多くのルールを試しましたが、iptablesこれまでのところ何も助けていません。 更新：これまでのところ、このソリューションは機能しているようですが、サーバーを再起動しようとしませんでした：https : //serverfault.com/a/170641/264678

1 linux  networking  ssh  iptables  linux-kvm 

wanからsshのポートを開き、このチュートリアルで定義されているOpenVPNのルールを追加する以外、デフォルトのファイアウォールルールには何もしていません：http : //wiki.openwrt.org/doc/howto/vpn.openvpn、しかし、出力iptables -Lのために、意図したよりも多くのポートが開いたままになっていることを心配しています。以下に完全な出力を掲載しましたが、特に： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere syn_flood tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN input_rule all -- anywhere anywhere input all -- anywhere anywhere from the: ACCEPT all -- anywhere anywhere ビットは、すべてがどこからでも受け入れられていることを意味しますか？ …

1 networking  iptables  openwrt 

iptablesに問題があります。私は外部からポート80をブロックしようとしています、基本的にはSSH経由でトンネルする必要があるだけで、サーバー上のGUIなどにアクセスできます 私のルールにはこれがあります： Chain OUTPUT (policy ACCEPT 28145 packets, 14M bytes) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,ESTABLISHED そして Chain INPUT (policy DROP 41 packets, 6041 bytes) 0 0 DROP tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 …

1 linux  command-line  centos  firewall  iptables