タグ付けされた質問 「iptables」

iptablesを使用すると、パケットフィルタリング動作を定義するルールを作成できます。

8
すべてのiptablesルールを表示する
iptablesルールをもう少し詳細に表示する方法はありますか? 最近、さまざまなIPにマスカレードを追加しました。 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save service iptables restart それは私がそれをしたいことをしましたが、私が使用するとき: iptables -L 通常の出力と同じ出力が得られます。 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination …
144 iptables 
2
-m conntrack --ctstateと-m state --stateの違いは何ですか
私はこのハウツーを読んでいますが、次のようなものがあります: 確立されたセッションがトラフィックを受信できるようにすることができます。 $ sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 上記の規則には、ESTABLISHED、RELATEDのコンマの両側にスペースがありません 上記の行が機能しない場合、プロバイダーが拡張機能を利用可能にしていない去勢されたVPSを使用している可能性があります。その場合、下位バージョンを最後の手段として使用できます。 $ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT との間に大きな違いは-m conntrack --ctstateあり-m state --stateますか?彼らは、人は働かないかもしれないと言いますが、その理由は言いません。なぜ私は一方よりも他方を好むべきですか?
85 iptables 
4
着信と同じインターフェースで返信しますか?
2つのインターフェイスを持つシステムがあります。両方のインターフェイスがインターネットに接続されています。それらの1つがデフォルトルートとして設定されます。これの副作用は、パケットが非デフォルトルートインターフェイスに到着した場合、応答がデフォルトルートインターフェイスを介して返送されることです。iptables(または他の何か)を使用して接続を追跡し、元のインターフェイスから応答を送信する方法はありますか?
3
SSHポートが特定のIPアドレスに対してのみ開かれていることを確認する方法は?
これは私の/etc/sysconfig/iptablesです: 80個のApacheと22個のsshを開く2つのポートがあります。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m …
42 ssh  security  iptables 
3
iptablesは外部リクエストを127.0.0.1にリダイレクトします
127.0.0.1でポート2222で実行されているサービスがあります。すべての要求をサブネット192.168.1.0/24から127.0.0.1:2222にのみ 192.168.2.2:2222(外部IP)に転送する必要があります。 これを使用しようとしていますが、機能していません。 $ iptables -t nat -I PREROUTING -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222 これを機能させるにはどうすればよいですか? UPD:アドレススキームを編集します。
3
いくつかのポートがnmapによって報告され、他のポートはフィルタリングされないのはなぜですか?
私は、iptablesを使用して非常に単純なファイアウォールを備えたサーバーをスキャンしています。デフォルトではRELATED、ESTABLISHEDパケットとパケットのほかにすべてがドロップされます。NEW許可されるパケットのタイプは、ポート22および80上のTCPパケットのみです(これはそのサーバー上にHTTPSがありません)。 最初の2048ポートでのnmapの結果、予想どおり22と80が開いています。ただし、いくつかのポートは「フィルタリング済み」として表示されます。 私の質問は、なぜポート21、25、1863が「フィルター済み」として表示され、2043の他のポートはフィルター済みとして表示されないのですか? 私は22と80だけが「オープン」であると予想していました。 21,25と1863が「フィルター処理済み」と表示されるのが正常な場合、他のすべてのポートも「フィルター処理済み」と表示されないのはなぜですか? ここだnmapの出力は: # nmap -PN 94.xx.yy.zz -p1-2048 Starting Nmap 6.00 ( http://nmap.org ) at 2014-06-12 ... Nmap scan report for ksXXXXXX.kimsufi.com (94.xx.yy.zz) Host is up (0.0023s latency). Not shown: 2043 closed ports PORT STATE SERVICE 21/tcp filtered ftp 22/tcp open ssh 25/tcp filtered smtp 80/tcp open …
38 iptables  nmap 
2
SNATとマスカレードの違い
SNATとマスカレードの実際の違いは何ですか? ローカルネットワークでインターネット接続を共有する場合、SNATとMasqueradeのどちらを選択する必要がありますか?
5
着信FTPを許可するiptables
着信FTPトラフィックを許可したい。 CentOS 5.4: これは私の/etc/sysconfig/iptablesファイルです。 # Generated by iptables-save v1.3.5 on Thu Oct 3 21:23:07 2013 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [133:14837] -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with …
5
パケットをドロップする原因となったiptablesルールを見つける方法はありますか?
ファイアウォールが既に設置されているシステムがあります。ファイアウォールは、1000を超えるiptablesルールで構成されています。これらのルールの1つは、ドロップしたくないパケットをドロップすることです。(私はなかったので、私はこれを知っているiptables-saveが続くiptables -Fと、アプリケーションが仕事を始めた。)手動によるソートする方法あまりにも多くのルールがあります。パケットをドロップしているルールを表示するために何かできますか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.