Articles of iptables

找不到iptables mport模块

我用Debian服务器replace了运行Tomato的无线路由器/防火墙,我很高兴find了番茄的iptablesconfiguration,所以我可以直接将它导入新的服务器 (我之前的问题)。 来自Tomato的iptablesconfiguration文件(底部)在Debian中失败了iptables-restore : # iptables-restore < iptables.eth0-eth1 iptables-restore v1.4.14: Couldn't load match `mport':No such file or directory Error occurred at line: 7 Try `iptables-restore -h' or 'iptables-restore –help' for more information. 有没有办法让mport进入“现代”的iptables? 或者你能帮我翻译mport到multiport吗? 使用iptables mportsearch非常粗糙,但是我最终发现有人抱怨mport不在了,而且一个多端口教程通过引用mport扩展,导致我窥探两个盒子的文件系统模块,并尝试每个“防火墙”工具Debian有一个希望神奇地来与mport 。 我承认被Tomato的用户界面所迷惑 – 我试过的每一个Debian软件包都让我越来越困惑(gui或cli)。 如果我可以让服务器简单地路由一切,我认为mason可能工作。 难怪大家都讨厌iptables。 我花了更多的时间来试图找出错误比我应该。 如果我花了那么多时间去了解iptables ,我可能已经可以将mport规则翻译成multiport 。 另外,我考虑发布给超级用户,然而,less数iptables标记的问题与我在这里读取的ServerFault中不同。 寻找模块: 我使用tomato固件进入无线路由器,在/usr/lib/iptablesfind模块libipt_mport.so 。 但在/lib/modules/2.4.20/kernel/net/ipv4/netfilter目录中,没有libipt_mport.so ,只有ipt_multiport.o 。 在Debian中(新安装的wheezy),我使用了updatedb并locate MASQ […]

iptables DNAT端口转发到LAN上的另一台机器

我试图执行iptables转发规则,以便内部redirect通过特定端口的数据包。 我的机器正在Ubuntu Server 12.04.3下运行,包含UFW和所有最新的更新。 到目前为止,我能够build立一个部分工作的设置,如下所示: iptables -A PREROUTING -t nat -p tcp –dport 40591 -j DNAT –to 192.168.0.100:40591 iptables -A ufw-user-forward -p tcp -d 192.168.0.100 –dport 40591 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE iptables -A ufw-user-forward -m state –state RELATED,ESTABLISHED -j ACCEPT 如块所示,目标收件人是192.168.0.100和端口40591 。 然而,不久之后就出现了问题,我注意到我的apache2服务正在输出很多错误; 我的PHP脚本不能再通过127.0.0.1连接到我的数据库,因为连接据称是从它的LAN地址(192.168.0.10 )开始的。 为了确认问题的根源,我曾尝试过: 把我的PHP脚本整理一下,但是除了确认我已经知道的东西(即连接在本地启动并魔法偏转到服务器的本地地址( 192.168.0.10 ))之外没有确凿的信息被吐出 使用命令tcpdump […]

loginiptables

我在iptables中创build了规则来logging和编辑rsyslog.conf文件,将任何包含“iptables”的消息输出到不同的日志文件。 它似乎是login到这两个地方,默认邮件文件和我有新的ip.log文件。 我怎样才能login到新的? 这是rsyslog文件的内容: :msg, contains, "iptables" -/var/log/iptables.log & ~ 这是我在iptable中的规则: -I INPUT 1 -j LOG –log-prefix "iptables in: "

通过iptables在桥上扫描标记的stream量

我正在使用brctl在linux上搭桥。 现在我必须通过iptables来扫描和监测网桥stream量。 所以我改变了 : net.bridge.bridge-nf-call-iptables = 0 到 net.bridge.bridge-nf-call-iptables = 1 并将下面的规则添加到iptables中: /sbin/iptables -A INPUT -m physdev –physdev-in eth2 -p tcp -m tcp –dport 3127 -m state –state NEW -j ACCEPT /sbin/iptables -t nat -I PREROUTING -m physdev –physdev-in eth2 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 3127 在eth2和80端口进来的stream量应该redirect到我的linux系统上的3127端口。 它正常工作正常(无标记)的stream量。 所以我必须为标记的stream量做同样的事情,但是它不起作用。 我变了: net.bridge.bridge-nf-filter-vlan-tagged […]

iptables v1.4.7:选项`状态'需要一个参数

您好我试图设置IPTABLE规则,我得到的错误iptables v1.4.7:选项`状态'需要一个参数时,试图发出。 iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT 在一个CentOS6 VPS 我想说明的是,如果可能的话,我也正在使用csf为什么虽然我不这么认为。 我正在尝试在CentOS上设置OpenVPN http://i.stack.imgur.com/ZaaCs.png – 我希望这是你的意思MadHatter

Linux iptables DNAT在一段时间后停止工作

3最喜欢的 我在我的服务器设置中有一个奇怪的行为。 看起来像这样 client1 192.168.11.2/24 192.168.11.7/24(br1 / vlan1)服务器192.168.21.1/24(br21 / vlan21)<—> 192.168.21.101/24 client2 在服务器上,我已经将DNAT设置为两个端口到另一个目的地。 〜> sudo iptables -t nat -nL -v链PREROUTING(策略ACCEPT 3631数据包,220K字节)pkts字节目标protselect输出目标 5332 320K DNAT tcp – * * 0.0.0.0/0 192.168.11.7多端口端口5308,21至:192.168.2.19 〜> ip r通过192.168.11.1获得192.168.2.19 192.168.2.19 dev br1 src 192.168.11.7 这从两个客户端工作了一段时间,但在未指定的时间之后,只有来自客户端2的数据包被转发了。 当我尝试从client1连接但是没有NAT时,数据包计数器增加。 有时几个小时后它又开始工作了。 防火墙中没有任何内容被阻塞,因为所有的策略都在接受状态,没有规则设置。 conntrack也不满。 我已经尝试了rp_filter等多个东西,但这应该是没有问题的这些设置。 当我将br1设置为promisc模式时,它开始工作,但我想了解为什么接口不接受没有promisc模式的数据包。 希望有人有一个想法。

除了端口80和22(入站和出站),如何使用OpenVPN进行所有通信?

我使用dynamicDNS服务,这是从我的路由器发送IP地址更新。 在路由器设置中,端口22和80被转发到我的服务器192.168.1.10。 我有我的服务器上运行的Web服务器和sshd。 从我的本地networking外,我可以去mydomain.dyndns.org,或ssh到我的服务器。 这工作正常,直到我连接到OpenVPN。 当我连接我的服务器到我的OpenVPN提供商时,我不能再从我的本地networkingssh到我的服务器。 http和ssh超时。 即使我删除了dyndns的东西,只是使用广域网IP,它仍然超时与OpenVPN连接,并停止OpenVPN时工作。 我的OpenVPN提供者(我不控制)将路由推给我(客户端)。 具体来说,当连接到openvpn时,运行以下命令: /sbin/ifconfig tun0 10.15.0.74 pointopoint 10.15.0.73 mtu 1500 /sbin/route add -net 141.255.164.66 netmask 255.255.255.255 gw 192.168.1.1 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.15.0.73 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.15.0.73 /sbin/route add -net 10.15.0.1 netmask 255.255.255.255 gw 10.15.0.73 当vpn连接closures时,添加的路由将被删除。 问题是,这通过VPN路由一切 。 相反,我希望我的服务器对除端口80和22(入站和出站)以外的所有通信使用openvpn。 即我想能够使用http和ssh连接到我的服务器。 我相信类似的问题已经被问到,但他们似乎都通过VPN和其他一切路由特定的端口,而不是通过vpn。 […]

端口转发不工作在zentyal

我试图从我的zentyal服务器(端口5000)设置端口转发到我的Synology NAS(端口5000)。 这是iptables规则的结果: Chain fredirects (1 references) target prot opt source destination faccept tcp — 0.0.0.0/0 10.0.0.8 state NEW tcp dpt:5000 faccept udp — 0.0.0.0/0 10.0.0.8 state NEW udp dpt:5000 现在,当我从互联网上的其他地方托pipe的另一台服务器的远程login时,telnet不能联系我的服务器…任何想法? 我怎样做其他testing?

fail2ban不禁止,时间closures,我如何同步它们?

在寻找fail2ban为什么不禁止模式时,我发现当我运行/etc/init.d/fail2ban状态时,它会在我的'date'命令后面超过一个小时。 'date'说:2月18日星期二20:45:02 MST 2014 输出状态返回:3月05 19:16:30 fed8 systemd [1]:启动LSB:启动/停止fail2ban … 我知道我的'date'是正确的,为什么fail2ban不同步,我该如何解决? 有没有一个configuration选项来强制它获得unix命令“date”而不是? 我使用fail2ban 8.12谢谢 编辑:从错误报告中添加补丁,没有改变的事情。 我应该包括完整的输出。 这个date还差不多,差不多2周大? 这是为什么? 看来状态不是报告最后一次尝试启动它时发生了什么? 当我做一个ps时,我发现fail2ban-server确实是“运行中”的: root 26430 0.4 0.1 1268652 14820 ? Sl 21:58 0:01 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x /etc/init.d/fail2ban status fail2ban.service – LSB: Start/Stop fail2ban Loaded: loaded (/etc/rc.d/init.d/fail2ban) Active: failed (Result: exit-code) since Wed 2014-03-05 […]

iptables通过虚拟接口转发

我试图将我的计算机configuration为两个networking之间的网关,但由于某些原因我无法正常工作 这是一个networking的表示: 192.168.1.101 192.168.1.102 192.168.1.103 … | | | \————+——+——-+——–… | 192.168.1.200 (eth1) PC (192.168.2.101 192.168.2.102 192.168.2.103 …) eth0:1 eth0:2 eth0:3 | | | \————+——+——-+——–… | 192.168.2.200 (eth0) | … 我的电脑在接口192.168.2.200(eth0)上有N个虚拟接口(eth0:*)和自己的IP地址。 我希望任何连接(主要是TCP)攻击eth0:*接口的连接都被转发到等效的192.168.1.1 **服务器。 我尝试使用redir可执行文件,但由于服务器使用随机端口号进行侦听(不能改变这一点),我不得不重新启动进程,每次我做了一些testing。 所以我用这样的iptables规则(只有一台服务器进行testing): iptables -t nat -A PREROUTING -d 192.168.2.101 -j DNAT –to-destination 192.168.1.101 iptables -t nat -A POSTROUTING -d 192.168.1.101 -j SNAT […]