タグ付けされた質問 「iptables」

sshguardがiptablesにブロックしたすべてのアドレスを表示するにはどうすればよいですか？

10 ssh  iptables 

特定のファイルの/etc/syslog.confログ情報を保存するためにファイルを構成するにはどうすればよいiptablesですか。 これらの情報を個別に保存したいので、必要なものを簡単かつ迅速に抽出できます。

10 linux  iptables  syslog 

ヒットをiptables監視し、パケットの相互作用を監視するために使用できるCLIまたはGUI機能はありますかiptables？

10 linux  iptables  gui 

現在、ポート80でNASボックスを実行しています。外部からNASにアクセスするには、次のようにポート8080をNASのポート80にマッピングします。 iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80 これは魅力のように機能しています。ただし、これが機能するのは、ネットワークの外部（職場、別の家など）からWebサイトにアクセスしている場合のみです。したがって、「」と入力するとmywebsite.com:8080、IPTablesが正しく機能し、すべてが正常に機能しています。 さて、私が抱えている問題は、ネットワークの内部からこのポートをリダイレクトする方法を教えてください。ドメイン名mywebsite.comは内部（10.32.25.1）からルーター（私のLinuxサーバー）を指していますが、内部から10.32.25.2のポート8080にポート8080をリダイレクトします。 どんな手掛かり？ ＃1を編集 この質問を容易にするために、私はこの図をまとめました。お探しの情報が間違っていたり、誤って表示されている場合は、遠慮なく更新してください。 iptables | .---------------. .-,( ),-. v port 80 | .-( )-. port 8080________ | | ( internet )------------>[_...__...°]------------->| NAS | '-( ).-' 10.32.25.2 ^ 10.32.25.1 | | '-.( ).-' | | …

10 linux  debian  iptables  firewall 

私はラップトップをwifiホットスポットとして機能させるために制御するGUIアプリケーションを作成しています。ディストリビューションを変更する可能性があるので、すべてのディストリビューションで一般的に機能するソリューションを見つけたいと思います。私は現在Fedora 17でこれを行っています。 NetworkManagerの[ホットスポットとして使用]ボタンを使用すると、アドホックホットスポットを作成するのに非常に効果的です。 端末コマンドでこの機能を再現したい。 これを達成するために私が試みた2つの方法を以下に示しますが、解決策はまだ見つかりません。 方法1：iwconfig ウェブ全体の調査を使用して、次のコマンドを試しました。 # ifconfig wlan0 10.42.0.1 netmask 255.555.255.0 broadcast 10.42.0.255 up # iwconfig wlan0 essid my-lappy mode ad-hoc key 0123456789 # iptables-restore < saved-hotspot-iptables # echo 1 > /proc/sys/net/ipv4/ip_forward # dhclient wlan0 ここで、「ホットスポットとして使用」機能で設定したiptables saved-hotspot-iptablesを使用しiptables-save > saved-hotspot-iptablesて生成したファイルです。 方法1問題 デバイスはSSIDを認識できますが、接続できません。実行するとip a、wlan0について次のことがわかります。 ... 3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 …

10 networking  iptables  wifi  internet  networkmanager 

4つのサブネットを持つ内部ネットワークを作成するとします。中央ルーターやスイッチはありません。4つのサブネットすべて（192.168.0.0/24）のゲートウェイをリンクするために使用できる「管理サブネット」があります。一般的な図は次のようになります。 10.0.1.0/24 <-> 10.0.2.0/24 <-> 10.0.3.0/24 <-> 10.0.4.0/24 つまり、1つのLinuxボックスを、10.0.x.1と192.168.0.xの2つのインターフェイスを持つ各サブネットに構成します。これらは、各サブネットのゲートウェイデバイスとして機能します。10.x / 24サブネットごとに複数のホストがあります。他のホストでは、10.0.xxとして使用できるインターフェイスは1つだけです。 各ホストが他のサブネット上の他のホストにpingできるようにしたい。私の質問は最初です：これは可能ですか？そして第二に、もしそうなら、私はiptablesやルートを設定する助けが必要です。私はこれを実験してきましたが、一方向のpingを可能にするソリューションしか思い付くことができません（icmpパケットは単なる例であり、最終的にはssh、telnet、ftpなどのホスト間の完全なネットワーク機能が好きです） 。

10 linux  networking  iptables  routing  subnets 

ルールが-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT適用されるのをよく見ました。私は専門家ではありませんが、その特定の行は私に関係しています。接続が確立されているか、確立された接続に関連している必要があることを除いて、ルールがすべてのトラフィックを許可していることは明らかです。 シナリオ 22サブネット内のサーバーLANなどから、デフォルトのSSHポートへの接続を許可します192.168.0.0/16。 SuperInsecureApp®ポート1337に何かを公開します。これをINPUTチェーンに追加します。 すべてのソースからconntrack受け入れESTABLISHED、受け入れるルールを追加しましたRELATED チェーンポリシーは DROP したがって、基本的にその構成では、LANからのSSH接続のみを許可し、世界からのポート1337での受信トラフィックを許可します。 これは私の混乱が咲くところです。でしょうconntrackどのような方法で1を取得できるようになり、セキュリティ上の欠陥公開確立された接続（それが世界のオープン以来）1337上に、その後、SSHポート（またはそのことについては、他のポート）へのアクセスを得るために、その接続を利用しますか？

9 security  iptables  ip  tcp 

iptables防御のないサーバーがあります：ACCEPT all.. このサーバーにカスタムアプリケーションがある可能性があります。 厳密なiptablesルールを使用してこのサーバーを強化する必要がある場合（すべてを拒否し、アプリケーションで必要なもののみを許可する場合）、どのアプリがこれdst/src port/protocolを使用しているかを手動で確認する必要があります。次に、iptablesルールを記述する必要があります。それら.. 質問：実行中のマシンからこれらの情報を収集するのに役立つスクリプトはありますか？（ログから？）-そして、iptablesルールを自動的に生成しますか？ のようaudit2allowにSELinux。ちょうどのためにiptables！ 機械が停止することはありません！ 例：「MAGIC」スクリプトはマシンで1週間/ 1か月実行して情報を収集する必要があります。その後、1週間/ 1か月後に、スクリプトは使用できるiptablesルールファイルを生成できます。 多くの人がこの状況に陥る可能性があります（iptablesに関してサーバーを強化する方法）。そして、これを行うことができるスクリプト/ソリューションがあれば素晴らしいでしょう：\

9 linux  iptables  firewall 

人々STEALがiptablesルールでターゲットを設定しているのをよく見ます。（debianに）xtables-addons-commonとをインストールすることで、このターゲットを取得できxtables-addons-dkmsます。人々が好む、なぜ私は興味があったSTEAL以上DROP、私はチェックして、マニュアルを、だけ次の情報があります： STEAL Like the DROP target, but does not throw an error like DROP when used in the OUTPUT chain. 誰がどんなエラーを知っていますか？たとえば、次の2つのルールを取ることができます。 -A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set bt_level1 dst --jump STEAL そして： -A OUTPUT --protocol tcp --match multiport ! --dports 80,443 --match set --match-set …

9 iptables 

私のsshdサーバーに対するブルートフォース攻撃をブロック（スローダウン）しようとしています。私はこのガイドhttp://www.rackaid.com/resources/how-to-block-ssh-brute-force-attacks/に従っています。基本的には、以下の2つのコマンドを入力するだけでよいと言っています。 sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set sudo iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP 私のsshdポートは6622なので、エントリを「22」から「6622」に変更し、それらのコマンドを入力しました。次に、新しいiptablesを簡単にテストしてみました。別のPCに行って、意図的に間違ったログインパスワードを何度か入力しました。残念ながら、新しいルールによって、思い通りに試すことができなくなっているようには見えません。以下は私の現在のルールです。何が悪いのですか？ # iptables --list Chain INPUT (policy ACCEPT) target …

9 ssh  iptables  sshd 

次のiptablesコマンドを実行してブラックリストルールを作成しましたが、間違ったポートを使用しました。 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name …

9 linux  iptables 

オープンなTorルーターを実行したい。 私の終了ポリシーはReducedExitPolicyに似ています。 しかし、私はまた、torネットワークが私のリソースを乱用しないようにしたいと思っています。 クライアントがTorを介して実行できないようにするケース： 非常に多くのパケットで1つのサイトを叩きます。 IPブロック全体のAggresiveネットスキャン クライアントがTorを介して実行するのを防ぎたくない場合： 数百の画像ファイルをクラウドにアップロードする 急流に種をまく 私の質問は、これをまったく行うことができますか、そしてどのようにですか？ 私の最初の考えはいくつかのファイアウォール（Linux / iptablesまたは* BSD / ipfw / pf）でした-しかし、オニオンルーターの固有のプロパティのため、これはおそらく役に立たないでしょう。 このトピックに関して、進行中のtorprojectチームの開発はありますか？ Tor出口ノードを保護するための一般的なヒントも求めます。 アップデート（2012年9月） 役立つ回答やその他の調査から、これは実行できないと思います。 出口ノードを悪用してDDOSに寄与するのを防ぐためにできる最善の方法は、1つのIPに向けられた非常に頻繁なパケットを検出することです。 「非常に頻繁な」しきい値は、ノードの合計帯域幅に依存します...間違っていると、誤検知が発生し、リアルタイムTCPアプリの正当なトラフィックと、非常に多くのクライアントから1つの宛先に送信されるトラフィックがブロックされます。 アップデート（2014年12月） 私の予測は明らかに真実でした-私はインターネットプロバイダーからいくつかのネットワーク乱用の苦情がありました。 サービスのシャットダウンを回避するために、次の一連のiptablesルールを使用する必要がありました（ONEW発信TCP SYN（別名NEW）パケットのチェーンです）。 それで十分かどうかはわかりませんが、ここにあります： -A ONEW -o lo -j ACCEPT -A ONEW -p udp --dport 53 -m limit --limit 2/sec --limit-burst 5 -j ACCEPT -A …

9 linux  networking  iptables  firewall  tor 

私の組織では、facebook、twitter、gmailなど、httpsでも実行されるいくつかのWebサイトをブロックしたいと思います。上級管理職からの注文により、Squidはここでは使用されません。Untangle Lite Packageとを使用できますiptables。 これを行うにはSquid以外のオプションはありますか？また、iptablesこの種のトラフィックをブロックするいくつかのルールは本当に役立ちます。 私はこれを見つけました iptables -t filter -I INPUT -m string --string facebook.com -j LOG --algo bm iptables -t filter -I INPUT -m string --string facebook.com -j REJECT --algo bm しかし、httpsはローカルマシン以外のマシンでも機能します。

9 iptables  filter 

私のVPSには2つのインターフェイスがあります：eth0とeth0:0。eth0:0iptablesの使用時にポート80で着信パケットをブロックしたい。私はこれを試しましたが、うまくいきません： iptables -A INPUT -i "eth0:0" -p tcp --destination-port 80 -j DROP 変更eth0:0した場合、eth0正しく動作します。何が問題ですか？

9 iptables  firewall 

Ubuntu 10.10ボックスにUSBセルラーモデムとホームLAN接続があります。 どちらも独立して動作します。 両方を同時に接続する方法を知り、どのアプリケーションがどのデバイスを使用してインターネットに接続するかを指定できるようにしたいと考えています。 誰でもこれを行う方法を知っていますか？

9 linux  networking  iptables  routing