Întrebări cu tag ['iptables']

Încerc să redirecționez traficul de rețea pentru un anumit cont de utilizator (vpnnet) către un server OpenVPN. Tunelul funcționează bine când ruta implicită este trasă, dar nu vreau să direcționez tot traficul prin VPN, doar pentru procesele care rulează cu un anumit UID. Așa că am dezactivat tragerea automată a rutei implicite și am venit cu următoarele:

iptables -t mangle -A OUT ...

Am o montură NFS peste un tunel Strongswan IPSec, care este încapsulat într-un tunel 6to4. IPSec este pentru că am nevoie de criptare pentru traficul NFS, 6to4 este pentru că furnizorul VPS nu va atribui un prefix IPv6 nativ serverului meu. Deoarece am avut probleme cu MTU cu tunelul 6to4, a trebuit să scad MTU pe interfața tunelului la minim (1280 â dacă încerc să setez ceva mai mic, primesc ...

Așa că creez un server vpn acasă și l-am indicat cu un domeniu cloudflare care este actualizat la fiecare 5 minute cu IP-ul casei mele. Acum pot accesa serverul, dar cred că am greșit ceva cu iptables, pentru că încă pot ssh doar când sunt în rețeaua mea LAN, dar vreau să pot ssh din exterior

Când încerc să introduc ssh în domeniul care funcționează când folosesc VPN-ul, prime ...

Am o mașină virtuală Debian 11 pe o mașină Windows. Are 3 adaptoare de retea. Unul este extern (WAN), unul intern (LAN) și altul privat (experimental).

Folosesc caseta ca router care, la rândul său, îmi folosește routerul DSL înapoi prin WAN NIC care este de fapt conectat la caseta Hyper-V. Totul funcționează în ceea ce privește rutarea.

Ceea ce încerc să obțin și, după ce am citit ...

Am un UDM PRO 192.168.1.1 care rulează ShadowSocks pe 192.168.1.1:1080.

Iată ce încerc să fac.

1. Aș dori să cunosc regulile IPTABLES pentru un computer din rețeaua mea 192.168.1.100 pentru a direcționa tot traficul către serverul ShadowSocks. De exemplu. Tot traficul de pe computerul meu ar trebui să meargă doar către serverul ShadowSocks.

2. Aș dori să trimit trafic pe un anumit port, de exem ...

Am probleme cu fail2ban nu adaug IP-ul interzis la iptables.

aceasta este eroarea;

2022-01-29 15:13:48,499 fail2ban.actions [2608]: NOTIFICARE [man] Restore Ban 212.192.246.26
2022-01-29 15:13:48,513 fail2ban.utils [2608]: EROARE 7f9281692660 -- exec: iptables -w -N f2b-man
iptables -w -A f2b-man -j RETURN
iptables -w -I INPUT -p tcp -m multiport --dports all -j f2b-man
2022-01-29 15:13:48,514 fail2 ...

Folosesc Wireguard ca container docker pe un pi. Rulez alte câteva servicii pe pi care vreau să fie accesibile numai prin conexiunea wireguard. Serverul wireguard a creat o interfață wg0 și o subrețea 10.8.0.0/24. Din interiorul containerului, mă pot conecta la gazdă prin 172.17.0.1 așa că am căutat și am putut crea următoarea configurație în interiorul containerului:

iptables -t nat - ...

Încerc să găsesc pid a unui socket folosind jurnalul de lanț iptables OUTPUT sau chiar mai bine adăugându-l în jurnal.

Regula mea actuală pentru iptable:

sudo iptables -A OUTPUT -j LOG --log-prefix='[PID]' --log-level 7 --log-uid

Sunt puțin frustrat pentru că știu că iptables' proprietar modulul poate filtra articole după pid (folosind -m proprietar --owner-pid flag), ceea ce înseamnă că  ...

Am un VPS cu un IP public, 64.x.x.x care i se atribuie enp1s0.

Scopul meu este să am containere LXC care rulează pe acest VPS care au conectivitate cu gazda și cu WAN. Asta înseamnă că traficul este direcționat din Container > lxcbr0 > enp1s0 > WAN Am urmat procedura standard în LXC, care creează o punte lxcbr0 și un dispozitiv veth conectat la pod. Din container pot ping gazda și, de  ...

Am o gazdă RHEL 7 (IP 192.168.0.10/24) și RHEL 8 (IP 192.168.0.11/24), ambele primesc pachete duplicate de la un router care sunt destinate unei gazde diferite (IP 192.168.1.10/24) . Cum pot folosi iptables pe gazda RHEL 7 și nftables pe gazda RHEL 8 pentru a modifica IP-ul de destinație, astfel încât fiecare gazdă să primească pachetul ca și cum ar fi cu adevărat destinația?

Exemplu d ...

Am 3 noduri în cluster, unul este nodul principal și două sunt nodurile de lucru. Folosesc flanela CNI pentru cluster-ul Kubernetes. Rulez o intrare Nginx în clusterul meu pentru echilibrul de încărcare, iar numele de gazdă este host.com

acestea sunt păstăile mele din cluster

namespace deploy-4yhghhf4d-345ck 1/1 Rulează 0 2d14h 10.45.0.55 agent-02 <niciunul> <niciunul>
namespace d ...

Încerc să trimit pachetele la o altă adresă IP internă în AWS. (Linux).

Scenariul meu este Gateway(EC2)(9.19.22.22) și două adrese IP interne (10.0.0.5) și (10.0.0.6).

Pachetul ajunge la 10.0.0.5 pe 10009 din 17.16.0.99 (toate) pentru a fi redirecționat la 10.0.0.6 pe numărul portului 10010.

iptables -t nat -A PREROUTING -p tcp -s 17.16.0.99/32 --dport 10009 -j DNAT --to-destination 10.0.0 ...

Voi merge într-un tur de 100 de zile (global) în care vom genera 1 TB de date video pe zi. Pentru a reduce riscul de pierdere a datelor, intenționăm să aruncăm o copie a hard disk-urilor voluntarilor locali din fiecare țară pe drum, care vor încărca datele de la conexiunile lor de acasă înapoi pe serverul nostru.

Nu dorim să deschidem serverul pentru întreaga lume și am dori să res ...

Am o rețetă pe care o folosesc deja în multe cazuri, dar de data aceasta nu funcționează pe Debian 11 (kernel 5.10.0-10-amd64)

configurația mea este practic o interfață internă eth0 pentru un LAN RFC1918 și două interfețe externe conectate la o cutie a unui ISP:

eth1 pentru ISP1 ca router implicit la 10.0.0.254 cu IP public 1.2.3.4 (la figurat)

eth2 pentru ISP2 are un router la 10.0.3.254 cu p ...

Folosesc o bibliotecă client (https://github.com/Beckhoff/ADS) pentru a se conecta la un PLC de la o mașină Linux prin TCP. Cu toate acestea, biblioteca este capabilă să realizeze doar o singură conexiune între un IP sursă și adresa IP de destinație a PLC-ului. Scopul meu este să mă conectez la IP/PLC la distanță cu mai mulți clienți, adică PLC-ul la distanță trebuie să poată distinge ...

Am rute statice azi in linux, o sa le trec cu metrics, are cineva idee sa verifice ruta de la celalalt capat si daca scade se va schimba metrica sau ceva? astfel încât nu trebuie să schimbați manual.

Să presupunem că avem o configurație Wireguard ca în diagrama de mai jos (vezi linkul imgur, nu am putut posta imaginea fără reputație) cu următoarele PostUp & PostDown:

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

https://i.stack.imgur. ...

Acestea sunt jurnalele de mai jos.

[DISTRUGERE] udp 17 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 pachete=3 bytes=216 [NERĂSPUNS] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 pachete=0 octeți =0
    [NOU] udp 17 30 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 [NERĂSPUNS] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0
    [NOU] udp 17 30 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 [NERĂSPUNS] src=0.0.0.0 dst=0.0.0.0 s ...

Am un server pe două rețele LAN separate: enp3s0 (10.0.0.5/24) și tun0 (10.8.0.5/24, client openvpn). Am configurat gateway-urile de pe ambele rețele pentru a transmite pachete adresate celeilalte rețele către acest server. Cum pot face acest server să transmită acele pachete către cealaltă interfață (corectă)? Am încercat toate iptables lucruri pe care le pot găsi.

Serverul rulează Ubu ...

Are Ordin conteaza? de exemplu:

iptables -A INTRARE -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
iptables -A IEȘIRE -p tcp --dport 22 -j ACCEPT

Dacă ar fi așa redirecţiona fi în ordinea corectă pentru a ajunge pe locul al doilea în asta iptables lanțul de reguli dacă este citit cronologic sau este mai degrabă subiectiv?

Am un server Rails (ROR) în spatele Firewall-ului (FWL). ROR trebuie să trimită în mod constant informații către Digital Ocean Spaces (DOS). Rețineți că ROR nu este în centrul de date Digital Ocean.

ROR <--> FWL <--> Internet <--> DOS

Paravanul meu de protecție are următoarea regulă:

# Înregistrați numai pachetele FORWARD nevalide
${IPT} -A FORWARD -m conntrack --c ...

Politicile lanțului INPUT și OUTPUT sunt setate la DROP. Foarte puține reguli care permit doar trafic specific între dispozitivele conectate direct prin cablu. Cu toate acestea, dacă adaug temporar un cablu care merge la router, de ce pot iniția conexiuni de ieșire și pot primi răspunsuri, cum ar fi actualizare apt, chiar dacă nu există reguli care să permită traficul HTTP în afara noas ...

Am o mașină virtuală care rulează pe VBox. Această VM conține gazda și trei dockeri, să numim docker-urile ca the_first, the_second, the_third.

Vreau să aplic un filtru pe firewall de rețea cu iptables care poate face acest lucru:

Rulați prin gazdă și setați acest lucru de la terminal:

Pentru a bloca toate conexiunile care merg la al doilea docker, dar (toate conexiunile), dar în același t ...

Am un Raspberry Pi pe care îl folosesc ca router prin redirecționare IP + mascarade NAT (în principiu, urmând ghidul din documentație). Aș dori să-mi configurez iptables reguli pentru a renunța la toate INTRARE și REDIRECŢIONA pachete, cu excepția celor asociate cu conexiunile de ieșire existente de la Pi, precum și conexiunile de ieșire de la dispozitivele din LAN-ul meu care au fost direcÈ ...

Am un hypervisor Proxmox. Acest proxmox rulează o VM cu echilibrator de încărcare HAProxy.

Acum încerc să redirecționez către acest HAProxy prin porturile iptables 80 și 443. Din păcate, adresa sursă este pierdută și fiecare solicitare vine de la 192.168.0.1 (Proxmox).

Pierd o setare sau redirecționarea mea este greșită?
Redirecţiona:

iptables -A PREROUTING -t nat -i enp2s0 -d 148.XXX.X ...

Încerc să reproduc o problemă atunci când fac cereri către S3 care va duce la tcp_retries2 care va duce la 900 de secunde de încercări de retransmisie înainte de a renunța. Cum aș face asta? Este suficient să blochezi cererile primite prin iptables de la punctul final s3 de pe gazda clientului meu?

Am o problemă cu docker

docker: Răspuns de eroare de la daemon: driverul a eșuat programarea externă conectivitate la punctul final containername (containerhash): (iptables a eșuat: iptables --wait -t filter -A DOCKER ! -i docker0 -o docker0 -p tcp -d 172.17.0.4 --dport 28967 -j ACCEPT: iptables: Nu lanț/țintă/potrivire cu acest nume.

În jurnalul de boot văd

systemd-udevd[4611]: veth9c4b ...

Am centos 7 ca router BGP cu FRR și am 2 interfețe 1. Public 1. Client. Pe interfața publică am pus mikrotik ca modelare a traficului. Există 2 blocuri cu IP privat (10.11.12.x/24 și 10.11.13.x/24) NAT în spatele routerului BGP, nu există nicio problemă cu SNAT, pot ajunge la internet fără probleme. Problema este în routerul Traffic Shapping doar IP-ul privat din coadă nu poate limita. IP-u ...

Am o mașină EC2 care rulează Ubuntu 20.04 cu 2 interfețe ethernet. Ambele sunt conectate la aceeași subrețea și ambele sunt accesibile din exterior. Am creat 2 tabele de rute personalizate, unul pentru fiecare interfață și ambele conținând doar intrările de rută pentru mașina în sine, subrețeaua imediată și un gateway implicit prin interfața corespunzătoare. Pot adăuga o regulă pe ...