Tag: Iptables

многоадресный трафик может пробить дыру в системе отслеживания соединений netfilter

У меня дома есть решение IPTV, где провайдер отправляет мне сотни больших UDP-дейтаграмм в секунду с порта 10 239.3.5.3 порт 10 239.3.5.3 , то есть использует многоадресную передачу. Моя текущая конфигурация iptables для входного трафика очень проста: ~# iptables -L INPUT -v -n –line-numbers Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes […]

Пинг пропускает правила iptables / postrouting

У меня есть сервер с установкой Proxmox и только 1 исходящим соединением (eth0). Чтобы заставить машины объединяться в сеть, я создал сетевой мост (vmbr0) в конфигурации интерфейсов и настроил его в соответствии с сетевой моделью Proxmox (Subpoint NAT). Мост имеет IP 10.1.1.1 и действует в моем понимании как проход между локальной сетью и широким миром. […]

iptables reject-with tcp-reset без флага ACK

Я создал правило iptables: iptables -I INPUT -p tcp –tcp-flags SYN,RST,ACK,FIN SYN –dport 10000 -j REJECT –reject-with tcp-reset Но на самом деле он отклоняет флаги RST, ACK. Отклонить можно только с установленным флагом RST? Я знаю, что в нормальном env это не имеет смысла, но мне просто нужно в лаборатории сделать что-то подобное

iptables Нет цепочки / цели / совпадения с этим именем

Я пытаюсь просто блокировать DDoS-атаки с помощью: iptables -A INPUT -p udp –dport 27015 -m limit –limit 10/s –limit-burst 20 -j DROP Но получая: iptables: нет цепочки / цели / совпадения с этим именем. Любая помощь? Информация? Debian 9

Фильтр Source-MAC iptables

У меня есть HAProxy box с centos7 и выполняющий прокси балансировки нагрузки для кластера smtp, обеспечивающего пересылку почты нашим клиентам default gateway => 10.0.0.1 master-relay.example.net => 10.0.0.254 relay1.example.net => 10.0.0.10 | gateway 10.0.0.1 relay2.example.net => 10.0.0.11 | gateway 10.0.0.1 relay3.example.net => 10.0.0.12 | gateway 10.0.0.1 Каждый ретранслятор имеет постфикс, настроенный на прослушивание через порты 25 […]

Маскарад Iptables нарушает поиск DNS

Я тестирую что-то с IP-маскарадом на локально сгенерированном трафике, но, похоже, он нарушает поиск DNS. Все остальное работает нормально – весь IP-трафик без DNS-запросов работает. $ iptables -t mangle -A OUTPUT -j MARK –set-mark 2 $ iptables -t nat -A POSTROUTING -m mark –mark 0x2 -j MASQUERADE Почему это работает со всем IP-трафиком, кроме DNS-запросов? […]

DROP или REJECT пакеты из таблицы PREROUTING NAT в iptables

objective состоит в том, чтобы разрешить только определенным сетям доступ к портовым службам / портам Docker, работающим на моем сервере. Попытка добавления правил ПРИНЯТЬ в цепочку фильтров INPUT. Это не помогло, сети даже без правила ACCEPT все еще могли получить доступ к службе / порту dockerа. Попытался добавить правила ACCEPT и DROP в цепочку FORWARD, […]

порядок обработки правил в цепочках iptables

Разве порядок обработки правил в iptables не сверху вниз? Учитывая следующий пример; Chain DOCKER (2 references) target prot opt source destination RETURN all — anywhere anywhere DNAT tcp — anywhere anywhere tcp dpt:5000 to:172.19.0.2:5000 Второе правило (DNAT) никогда не должно обрабатываться, так как первое правило (RETURN) будет соответствовать каждому пакету, и поскольку у этого правила […]

Как работает опция –set-mark в Netfilter (IPTABLES)?

В Netfilter у вас есть опция –set-mark для пакетов, которые проходят через таблицу mangle . В большинстве учебных пособий и примеров через Интернет говорится, что это просто добавляет метку на пакет, например, но нет дополнительной информации о том, какая метка установлена ​​и где она находится на пакете: iptables -A PREROUTING -t mangle -i eth0 -p […]

Настройте VPS так, чтобы только аутентифицированные пользователи VPN могли получить доступ к веб-серверу

Я настраиваю намеренно уязвимый веб-сайт, чтобы показать некоторые элементы безопасности, но я не хочу, чтобы посторонние люди использовали его. Как я могу настроить свой VPS так, чтобы только люди, подключенные к VPN (серверу openvpn), могли видеть веб-страницу, а все остальные, просто пытающиеся получить к ней доступ в обычном режиме без VPN, не могут ее видеть? […]

Linux и Unix - лучшая ОС в мире.