タグ付けされた質問 「iptables」

ネットワークネットワーク1とネットワーク2の間にルーティングするルーター（ルーター2）がある奇妙な設定があります。インターネットとネットワーク1の間をルーティングするインターネットアクセス用のNATを持つ1つのルーター（ルーター1） 。ネットワーク1のすべてのクライアントはインターネットにアクセスでき、ネットワーク2のクライアントはネットワーク1のクライアントにアクセスでき、さらにルータ1にもアクセスできます。ルータ1はネットワーク2のクライアントにもアクセスできます。 ただし、ネットワーク2のクライアントはインターネットにアクセスできません。ルーター1はネットワーク2のクライアントに到達でき、その逆も同様です。それはNATがクライアントおよびインターネットマシンの代りにルータ2とインターネットサイト/マシン間のセッションを開始することである場合もありますか。誰かアイデアがありますか？ 私はルーター2（それは基本的にはISPのvpnネットサービスです）をほとんど制御できませんがルーター1へのフルアクセスが可能です。

routing  nat  iptables 

に eth0 パブリックIPを持っている eth1 私達にIPがあります 10.31.0.1 これはDHCPとSquidサービスを提供します。 ポート8080、53、67、80、443が開いています。今度は、アプリケーション用に1521,8443ポートを開く必要があります。これにより、リモートサーバーの1521,8443ポートにアクセスできます。 しかし、ポートを開くだけでは、リモートサーバーに接続できません。そのため、この特定のポート要求に対してNATを有効にする必要があります。何によって iptable コマンドは、ポートベースのNAT-ingを達成することができますか？

linux  centos  iptables 

オンラインにできないVirtualBox仮想マシンが欲しいのですが。 Linuxホストからのすべてのネットワークトラフィック試行を監視できるようにしたいです。 そのため、仮想マシンがランダムIP（ルーティングできないIP）にSYNを作成しようとすると、Linuxホストはtcpdumpを実行してこのトラフィックを確認できます。私はIPtableを使ってある種の転送ルールを設定する必要があると思います。 誰もがこれを達成しましたか？

linux  networking  virtualbox  iptables 

クライアントが互いに到達できないようにサブネット内のクライアントを分離する方法はありますか？ 現在、インフラストラクチャは次のようになっています。 192.168.0.1/24ゲートウェイ、iptablesを備えたCentOSボックス。 192.168.0.10-20互いに到達する可能性のある一部のクライアント 192.168.0.30単一のクライアント ホスト192.168.0.10-20に到達できないはずです ゲートウェイとインターネットに到達できる必要があります それが可能かどうかはわかりませんが、どうすればそれを実現できるか、あなたのアイデアを教えていただけますか。マシン192.168.0.30は、誰かにレンタルしたい仮想マシンであるため、影響を与えることはできません。ありがとう。

security  iptables  subnet 

rootユーザーを無効にしてiptablesルールを変更したり、iptablesで何かを行ったりして、別のユーザーのルールを変更できますか？

linux  ubuntu  iptables 

私はDMZモードになっているので、自分でファイアウォールを設定しています。ステルスは問題ありませんが、Shields Upからpingがあるという誤ったテスト結果が出ます。 昨日、pingブロックが有効化されていたため（ルーターで）、ゲームサーバーへの接続を確立できませんでした。私はそれを無効にしましたが、これは私のファイアウォールが原因でも持続します。私とDMZモードのルーターとの接続はどうなっていますか（私のマシンには、ルーターファイアウォールの背後にもたくさんあります）？pingが可能かどうかに影響を与えるルーターを許可し、ルーターにpingをブロックしない設定がある場合、このシナリオのiptablesのルールは機能しません。コメント化されたルールは無視してください。必要に応じてコメントを外します。 これら2つは仕事を正しくする必要がありますか？ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ここに私のiptablesがあります： #!/bin/sh # Begin /bin/firewall-start # Insert connection-tracking modules (not needed if built into the kernel). #modprobe ip_tables #modprobe iptable_filter #modprobe ip_conntrack #modprobe ip_conntrack_ftp #modprobe ipt_state #modprobe ipt_LOG # allow local-only connections iptables …

iptables 

コンシューマーワイヤレスルーターを、マザーボード上のWAN用のクアッドギガビットNIC PCIeカードとシングルギガビットNICを備えたLinuxボックスに置き換えました。IP転送、マスカレード（経由iptables）をオンにし、4つのLANインターフェイスのそれぞれでサブネットを設定した後、いくつかの速度テストを実行しました。 $ ip route default dev ppp0 scope link 10.0.0.0/16 dev enp3s0f0 proto kernel scope link src 10.0.0.1 10.64.0.0/16 dev enp3s0f1 proto kernel scope link src 10.64.0.1 10.192.0.0/16 dev enp4s0f1 proto kernel scope link src 10.192.0.1 aaa.bbb.ccc.ddd dev ppp0 proto kernel scope link src www.xxx.yyy.zzz LANサブネットの1つにあるワイヤレスデバイスからWANの速度テストサーバーに至るまで、ISPに支払う40 Mbps / 5 …

networking  performance  ip  iptables  forwarding 

Ubuntu 17.10 VMをセットアップして、複数のVPN接続を使用し、それらの間の接続の負荷を分散しようとしています。複数のopenvpnクライアントを実行し、iptables / connmarkで接続をマークし、モードランダムを使用して異なる接続を異なる値でマークしてから、これらを異なるVPNルーティングテーブルと一致させて、これを実行しようとしています。しかし、私は成功していないので、状況を単純化して、何が間違っているのかを理解しようとしました。 シナリオを単一のVPN接続に減らし、すべてのルーティングロジックを専用のルーティングテーブルに入れ、すべてのパケットにそのルーティングテーブルを使用するようにマークしようとしました。 すべてのトラフィックがそのテーブルを使用するように強制すると、正常に機能します。すべてのパケットをマークし、そのマークを一致させてテーブルを使用しようとすると、機能しません。 有効なルールは次のとおりです。 0：すべてのローカル検索から 10：すべてのルックアップVPN2から 32766：すべてのルックアップメインから 32767：すべての検索デフォルトから 動作しないルールは次のとおりです。 0：すべてのローカル検索から 10：すべてのfwmark 0x14ルックアップVPN2から 32766：すべてのルックアップメインから 32767：すべての検索デフォルトから そして、ここにすべてをマークするはずのiptablesマングルテーブルがあります。 ＃iptables -nvL -t mangle チェーンPREROUTING（ポリシーACCEPT 6785パケット、464Kバイト） pktsバイトターゲットprot opt in outソースdestination 8013 545K CONNMARK all-* * 0.0.0.0/0 0.0.0.0/0 CONNMARK復元 7981 543K MARK all-* * 0.0.0.0/0 0.0.0.0/0 MARK set 0x14 7958 541K CONNMARK …

linux  networking  vpn  routing  iptables 

Linuxルーター（ipv6モジュールなしのdd-wrt、そのためのスペースなし）とLinux PC（Arch linux）があります。6to4パケット（プロトコル41）をPCに転送し、トンネルを設定するようにルーターをセットアップしようとしています。 これまでにルーターで行ったことは次のとおりです。 iptables -t nat -A POSTROUTING -p 41 -d ! 192.168.1.0/24 -j SNAT --to _WANIP_ iptables -t nat -A PREROUTING -p 41 --dst _WANIP_ -j DNAT --to-destination _LANDEST_ _WANIP_「外部」ipv4アドレスはどこですか_LANDEST_、6to4セットアップのコンピューターです。6to4セットアップは次のように行われます。 export IPV4_ADDRESS=_WANIP_ export OUR_IPV6_GW=`printf "2002:%02x%02x:%02x%02x::1" \`echo $IPV4_ADDRESS | tr '.' ' '\`` ip tunnel add tun6to4 mode sit …

linux  networking  iptables  ipv6  6to4 

Linuxマシンは、2つのモデムを使用して2つのインターフェイスppp0およびppp1を介してインターネットに接続されます。また、このマシンは、IPアドレス192.168.1.1のeth0などのインターフェイスを介してワイヤレスアクセスポイントとして機能し、サブネットマスク255.255.255.0のこのネットワークを介して接続されたデバイスのゲートウェイとして機能します これで、次のことが可能になりました。 ワイヤレスAPを介して接続されたデバイスのいずれかがインターネット接続を必要とする場合、Linuxマシンはインターネットにppp1インターフェイスを使用する必要があります。 Linuxマシン上のアプリケーションのいずれかがインターネット接続を必要とする場合、Linuxマシンはインターネット用にppp0インターフェイスを使用する必要があります。 これは、filter / natテーブルのチェーンにルールを追加することで達成できますか？ カーネルルーティングテーブルに、インターフェイスppp0を介してデフォルトトラフィックをルーティングするデフォルトルールがある場合、wilカーネルはインターネットのppp1を完全に無視しますか？ PS：ネットワーキングとルーティングの概念の新機能。質問が明確でない場合は、コメントを残して、より多くの情報を提供しようとします。

routing  iptables 

私はiptablesが初めてで、その出力を理解しようとしています。私はRTFMを試みましたが、これらの詳細についてはまったく役に立ちませんでした。次のiptables -vnLような行が与えられた場合： Chain INPUT (policy DROP 2199 packets, 304K bytes) 私は最初の部分を理解しています：着信データについて、この行の下のリストが例外を提供しない場合、デフォルトのポリシーは着信パケットを削除することです。しかし、この2199 packets, 304K bytes部分はどういう意味ですか？ドロップされたすべてのパケットですか？どのパケットがどこから来たのかを知る方法はありますか？ ありがとう！

linux  iptables 

Webサーバー（サーバーA）とVPNサーバー（サーバーB）があります。 いずれかのデバイスがVPNに接続されている場合、それらのデバイスがアクセスできる唯一のサイトはWebサーバー（サーバーA）であるようなセットアップが必要です。 他のすべてのホストは、ユーザーがアクセスできないようにする必要があります iptablesでこれを達成するにはどうすればよいですか？

linux  iptables 

私のシステムは、すべてのパブリックIPアドレスを持つネットワーク上にあります。MASQUERADEを使用せずに特定のサブネットをファイアウォールする必要があります。この構成は、「仮想ワイヤ」ファイアウォールと呼ばれています。 私の現在の構成：内部サブネット| ルーター| 機関の残り| インターネット 必要な構成：内部サブネット| ファイアウォール| ルーター| 機関の残り| インターネット ファイアウォールには2つの物理インターフェイスがあります。MASQUERADINGを必要としないiptablesルールのセットを作成できませんでした。私が知っていて使用できるIPアドレス：xxx.123.68.0 / 24 ルーター：xxx.123.68.1 ファイアウォールeth0（外部）：xxx.123.68.2 ファイアウォールeth1（内部）：xxx.123.68.3 残りのアドレスは内部システム用です 管理機能のためにファイアウォールへの接続を許可するINPUTおよびOUTPUTルールを作成しましたが、FORWARDingチェーンルールでは成功していません。 FORWARDのデフォルトポリシーはACCEPTです トラフィックが流れているかどうかを確認するためにログがオンになっていますが、ログファイルにエントリがありません。これらのルールはアウトバウンドトラフィックとリターントラフィックを許可するべきだと思いました iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED、RELATED -j ACCEPT 私は何が欠けていますか？

linux  firewall  iptables 

イントラネットおよびCentOSを搭載したゲートウェイがあり、イントラネットデバイスに接続を提供します。 ゲートウェイのiptablesルールセットでの一般的なポート転送は次のようになります（TCPバージョンが提供されます）。 $IPTABLES -A PREROUTING -t nat -i $EXTERNAL_IF -p tcp -d $EXTERNAL_IP \ --dport $EXTERNALPORT -j DNAT --to $INTERNAL_IP:$INTERNAL_PORT $IPTABLES -A FORWARD -i $EXTERNAL_IF -p tcp -d $INTERNAL_IP \ --dport $INTERNAL_PORT -j ACCEPT このような構成では、イントラネットから$ EXTERNAL_IP：$ EXTERNAL_PORTにアクセスできません。 すべての内部（イントラネットから発信）トラフィックを$ EXTERNAL_IP：$ EXTERNAL_PORTに直接$ INTERNAL_IP：$ INTERNAL_PORTにリダイレクトする方法はありますか？ のようなルールを追加する $IPTABLES -A PREROUTING -t nat -s $INTRANET …

routing  iptables 

私はシステム管理者ではなく、RHELシステム管理者ではありませんが、何らかの理由で、いくつかのRHELサーバーでいくつかの構成変更を行う必要があります。 異なるRHELサーバーにいくつかのサービスをセットアップする必要があり、それらは互いに接続できるはずです。それらの1つであるアプリケーションサーバーでは、iptablesでポート8080を開くことができ、リモートマシンからの着信接続を受け入れています。しかし、もう一方のデータベースサーバーでは、Monet DBが現在使用しているポート54321を開くことができず、iptablesを停止した場合にのみ接続できます。 の出力netstat -lnp： Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 4252/./hpiod tcp 0 0 0.0.0.0:777 0.0.0.0:* LISTEN 3987/rpc.statd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 3942/portmap tcp 0 0 0.0.0.0:54321 0.0.0.0:* LISTEN 2792/monetdbd tcp 0 …

networking  iptables  rhel-5