第5页 - 关于iptables的讨论汇总 - 话题女王

全部话题 - 话题: iptables

a*o
发帖数: 19981

来自主题: Hardware版 - 熟悉iptables的看进来

reject呢？光可见accept了，你得把default弄成reject啊。

w*******t
发帖数: 960

来自主题: Hardware版 - 熟悉iptables的看进来

最后一句不是把default都drop了吗？还是我理解错了

a*o
发帖数: 19981

来自主题: Hardware版 - 熟悉iptables的看进来

哦哦确实，是我看漏了。

i**w
发帖数: 883

来自主题: Hardware版 - 熟悉iptables的看进来

你的5060和5061是开着的吧

j********2
发帖数: 4438

来自主题: Hardware版 - 熟悉iptables的看进来

你开着5060和5061，别人为啥不能连？

a*o
发帖数: 19981

来自主题: Hardware版 - 熟悉iptables的看进来

大家安静，楼主已然躲到厕所里哭去了。

w*******t
发帖数: 960

来自主题: Hardware版 - 熟悉iptables的看进来

下面的的asterisk的信息能看出来，5090端口也进来了，这个是我疑惑的地方

r******i
发帖数: 610

来自主题: Hardware版 - 熟悉iptables的看进来

related,established

a9
发帖数: 21638

来自主题: Hardware版 - 熟悉iptables的看进来

从字面看也不仅仅是允许本地访问外部端口的意思啊。

a9
发帖数: 21638

来自主题: Hardware版 - 熟悉iptables的看进来

下面没有了

t****t
发帖数: 6806

来自主题: Hardware版 - 熟悉iptables的看进来

这个established的意思是已经建立的连接可以过. related主要是给FTP用的, 因为FTP
需要两个端口. 具体5090是不是和5060 related需要查一下ip_conntrack_*的module.

j********2
发帖数: 4438

来自主题: Hardware版 - 熟悉iptables的看进来

连的还是你的5060，5112是对方的端口。
你开着asterisk，如果想别人从外部网络call你，那对方自然会跑来连你的5060。但是
如果你配置不对的话，别有用心的人就会不断尝试从外部网络以guest的方式通过你的
trunk去call收费国际收费号码。一旦你的安全没有做好，对方成功call的话，那吸掉
的话费就进了别人的口袋。
看你的log是正常的，所以不用担心。研究一下fail2ban针对asterisk的规则自动
封，或者干脆不管，没啥大碍。但得确定你配置好没有任何洞。

c********n
发帖数: 1577

来自主题: Hardware版 - NAS的安全性问题

盗用了路由，也得知道你NAS的密码啊
就算不到用你的路由，你的NAS没放在网络上吗？
放上了，扫你的port,就算没盗用路由，也照样猜你NAS密码啊
除非你加个防火墙 iptable
可以试几次密码错误，锁住多久这个ip

z*********e
发帖数: 10149

来自主题: Hardware版 - 用netstat查看发现连了60.12.109.16这个ip

试试
iptables -A INPUT -s 60.12.109.16 -p tcp --dport ssh -j DROP
?

a*o
发帖数: 19981

来自主题: Hardware版 - ss中美友谊之桥

还是挺长挺麻烦的，网上有几个教程但是有的也都是东抄西抄不知所以然。
其实核心有以下几点：
1. dnsmasq加要翻墙的网站们到一个ipset里，姑且命名为gfwlist，同时让他们指
向下面一步建造的localhost DNS转发。
2. ss-tunnel建个DNS UDP转发，远端ssserver那头也必须支持UDP
3. ss-redir建个TCP转发，指向同一个ssserver
4. iptables把gfwlist的tcp request统统local转发＃3
参照这几个核心思想随便找个网上教程follow就好。比如这个：
https://ilmvfx.wordpress.com/2015/09/25/temporary-gfw-fuck-tutorial-put-
shadowsocks-server-on-tomato-router

b*****2
发帖数: 11103

来自主题: Hardware版 - ss中美友谊之桥

好使了，要在iptable把端口打开。。。
谢谢

a*****a
发帖数: 1429

来自主题: Hardware版 - 自己跑server的注意了

第一次自己装Server?
早就见怪不好了
以前还用iptables drop那些IPs Connections，还写scrips，现在懒得理了

m*d
发帖数: 7658

来自主题: Hardware版 - 在 Dockstar 上安装 shadowsocks server

内核太旧了，很多东西不支持，iptable都不行

b*****2
发帖数: 11103

来自主题: Hardware版 - shadowsocks 服务器设置求助

Iptable要打开

c******n
发帖数: 16666

来自主题: Hardware版 - Synology 怎样搞 virtual machine?

你在哪个上面装了vm跑vpn还是本机IP啊
download station貌似没自带用vpn跑的选项我感觉要么自己进去改iptable，否则一
弄就是所有流量走vpn

a***m
发帖数: 5

来自主题: Internet版 - 有没有办法动态禁止IP

【以下文字转载自 Linux 讨论区】
发信人: arkim (arkim), 信区: Linux
标题: 有没有办法动态禁止IP
发信站: BBS 未名空间站 (Fri Jul 1 15:54:00 2005), 转信
每天都有世界各地的IP暴力套服务器的用户名和密码，有没有什么简单的办法把一
个尝试登录10此以上IP地址动态加入ban list(iptables 或者 tcpwrapper)，不然
每天的日志都是很长，总是看到一堆苍蝇嗡嗡嗡。

g**e
发帖数: 6127

来自主题: Java版 - 一个server如果想把一些api作为public，一些作为private，一般都有什么办法？

load balancer上可以设置iptable类似的东西，定义哪些domain不跟外部网络相连

B***S
发帖数: 73

来自主题: Java版 - Developer/DevOps-contractor in NYC

Developer/DevOps
Must have solid knowledge of AWS Essentials(EC2, VPC, IAM, S3, etc)
Strong knowledge of Python and Java
Strong Linux/UNIX knowledge primarily,
- Process Management,
- File System Concepts,
- Basic System Administration (system startup/shutdown,
configuration),
- Shell Scripting (ksh or bash)
- System Firewalls(iptables)
Have knowledge of Configuration Management (preferably with Ansible)
Understanding of Security Best Practices
Solid Knowl... 阅读全帖

c****1
发帖数: 302

来自主题: Linux版 - SSH弱问

应该是firewall的问题。检查一下iptable script~~~

c****1
发帖数: 302

来自主题: Linux版 - SSH弱问

你的A的ssh service 的port对B所在的内网开放吗？
建议还是先检查一下你的A的farewall的iptables...
从B输入下面的command line,会得到什么结果？
nmap IP(A的IP)
22是open 或者是filtered port?
这一步如果没问题，再检查别的原因...

Windows)
ssh

B********s
发帖数: 3610

来自主题: Linux版 - SSH弱问

在A运行 iptables -L 得到:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
在Windows机器(B)上怎么运行nmap?

z*****g
发帖数: 810

来自主题: Linux版 - SSH弱问

0. service iptables stop
1. can u ping eachother?
2. can u telnet port 22?
3. check sshd_config (if you install different ssh, maybe not in default
location)

A**********e
发帖数: 3102

来自主题: Linux版 - samba via ssh tunneling 靠谱么？

。。。对用户来说，这个和 ssh 有啥不同么？而且 ssh 在 putty 下有一堆工具，还
可以和用户的 WinSCP 一起设置。更何况 VPN 好像不如 ssh 可靠？起码我过去的系的
VPN 一直踢人。
再者，我怎么访问 VPN？岂不是要在 iptables 上再多开个洞？我现在希望除了 licen
se server 必须要开 port 来访问相应公司的 license server 以外，所有别的服务都
从ssh port 走 -- 这样我把 ssh port 放在高端的后，会安全得多。
另一个安全隐患是我们这里所有计算机都能远程 remote desktop，而大家的密码又多半
很弱智，况且在 windows 上人人都有 administrator 权限，也就是说，都能看我的文
件，尤其是我的 private key。害得我禁止了自己在所有机器上以 server wheel grou
p user 来访问服务器，目前只允许从我的 notebook 访问。这都是什么破事啊。windo
ws 这种模式很让人头大。

i**g
发帖数: 134

来自主题: Linux版 - 被攻击了咋办？

用 iptables 只允许特定的ip访问指定的端口
其余的建立连接请求都封掉

E*V
发帖数: 17544

来自主题: Linux版 - 被攻击了咋办？

用iptables 直接疯掉

w********e
发帖数: 557

来自主题: Linux版 - Ubuntu的firewall?

iptables --list

B*********s
发帖数: 292

来自主题: Linux版 - 家里的网络

共有3台台式机，３台笔记本．其中两台笔记本是公司的。
在“Ubuntu的firewall?”所提到的就是现在正在装楼上的ＭＡＲＳ，已经能够无线上
网了，但是不能访问地下室　Ben, LinuxServer里的文件。这两台台式机里的文件都能
够被其他电脑访问。
回复文章不能加附件，所以新开这个帖子。回家后我会试试WireonFire所说的iptables
--list 。如果不是防火墙问题的话，你们认为还应该怎么查呢？
LinuxServer和MARS都是Ubuntu8.04LTS。三个月前重装的LinuxServer,昨天装的MARS

J*******i
发帖数: 2162

来自主题: Linux版 - 请问网络高手

假设你的程序用Berkeley Socket
用:
int bind(SOCKET socket, const struct sockaddr * addr, int * addrlen);
把你的socket梆定到你那个指定网卡的IP
然后用iptables设定根据source address来发到不同网卡的rule
具体参见
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables

p**i
发帖数: 688

来自主题: Linux版 - linux 网络高手请帮忙，help config OpenWrt

你这种情况是不是把openwrt router设成repeater应该就够了('sta' client mode)
个人认为nat router的设置可能更straightforward一些, 看看下面的命令的结果
iptables -t nat -nv -L POSTROUTING
ip route
ip rule

y***n
发帖数: 100

来自主题: Linux版 - linux 网络高手请帮忙，help config OpenWrt

我装的OpenWrt firmware image可能有点问题，一开始没有/etc/init.d/firewall文件。
这是ip route, ip rule, nat table 的结果
root@OpenWrt:/# ip route
192.168.69.0/24 dev wlan0 proto kernel scope link src 192.168.69.105
192.168.70.0/24 dev br-lan proto kernel scope link src 192.168.70.1
default via 192.168.69.1 dev wlan0
root@OpenWrt:/# ip rule
RTNETLINK answers: Operation not supported
Dump terminated
root@OpenWrt:/# iptables -t nat -nv -L POSTROUTING
Chain POSTROUTING (policy ACCEPT 76 packets, 5919 bytes)
pkts bytes

y****e
发帖数: 23939

来自主题: Linux版 - 有些中国IP在攻击我们的机器

一般密码够强都可以了，但是如果对方用大量连接来flood你的ssh port，就会造成DoS
攻击，我
们这里就发生过。装一个SSH guard就可以了，你可以设置多少时间内多少次连接失败
就block一
段时间，这个是用iptable实现的

z**r
发帖数: 17771

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

有必要啊，一个是DNS response，一个是HDCP response，另外两个是icmp有关

139,

a*******e
发帖数: 3021

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

那这些根DNS, DHCP, icmp有关的写法里面需要 -s 0/0吗？
还是安全起见写 -s 192.168.1.0/24 好？(能这么写吗？）

z**r
发帖数: 17771

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

没啥不安全的。不过你非要改，DNS和HDCP的可以改成你说那样，如果你的/etc/resolv
.conf里面是192.168.1.x，DHCP改不改意思不大，但是icmp那俩最好别动，不同的icmp
type都有不同的用途

a*******e
发帖数: 3021

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

哦，那俺啥都不改了，没安全隐患就行，都不知道icmp喝HDCP是啥咚咚
还以为是 typo呢

resolv
icmp

a*****i
发帖数: 4391

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

UDP的没事儿，尽量开。

z**r
发帖数: 17771

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

...

a*******e
发帖数: 3021

来自主题: Linux版 - iptables高手看过来，哪些端口是必需的？

干啥阿

b***d
发帖数: 186

来自主题: Linux版 - 请教kickstart自动安装linux的问题

另外我的default文件长这样
# cat default
prompt 1
timeout 0
say choices: raid noraid
label noraid
kernel rhe4u7-vmlinuz
append ksdevice=eth0 ip=dhcp load_ramdisk=1 initrd=rhe4u7-initrd.img
network ks=nfs:10.35.6.81:/ks/ks_noraid.cfg
你还是先试一下tftp client能不能从.1.1取到文件吧.另外把iptables,selinux
disable先.

a*******e
发帖数: 3021

来自主题: Linux版 - 如何只允许某个用户从某几台机器ssh进来？

nice, i thought we need to mess with iptables.

z**r
发帖数: 17771

来自主题: Linux版 - 如何只允许某个用户从某几台机器ssh进来？

iptables won't help on this, coz this requires layer 7 packet inspection

w****g
发帖数: 597

来自主题: Linux版 - 如何只允许某个用户从某几台机器ssh进来？

是不是说ssh的功能属于 layer 7 (or application)的检查功能？
那么，iptables的功能属于第几layer的检查功能？是不是和ip是同一个internet
layer?

E*V
发帖数: 17544

来自主题: Linux版 - 请教一个路由问题（已解决）

i think iptables can do that right?

z**r
发帖数: 17771

来自主题: Linux版 - 请教一个路由问题（已解决）

it can but this is not the purpose of using iptables. all he needs is just
one "ip" command or "route" command for a static route.

z**r
发帖数: 17771

来自主题: Linux版 - 请教一个路由问题（已解决）

you need just one "ip" command, the key is to make your desired gateway has
longer match. same for route command. another thing you may need to consider
is the "metric"
or you can use source based routing, it can do more complicated routing,
this can be done by "ip rule" and I think that's what you are using now
they all can work, even with "iptables"

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

topics

未名新帖统计// 7月16日

历史上的今天