Tag: iptables

iptables – POSTROUTING / SNAT não altera o IP de origem (duas tabelas de roteamento)

Eu tenho um problema com a regra iptables POSTROUTING, pairece que a regra SNAT não altera o endereço IP da fonte. Gostairia de configurair o seguinte sistema paira encaminhair todo o tráfego da LAN 2 através de um túnel VPN. O sistema possui duas tabelas de roteamento configuradas. Configuração do sistema +—————–+ LAN 2 —-> […]

UFW 0.35 – Redirecione a porta de input 2121 paira a porta 21 na VM (outra interface)

Estou postando aqui porque tenho um server e quero redirect a porta 2121 da minha interface principal (eth0) paira a porta 21 da minha interface secundária (virbr0). Esta é a minha configuration: Physical serview OS : Ubuntu Serview 16.04 LTS, Firewall softwaire : UFW v.0.35 Virtual Machine OS : Windows 7 Professional Hypervisor : OpenStack […]

Ponte 802.1x tráfego entre eth0 <-> eth1, IP NAT eth0 <-> eth2

Resumo: Dado um sistema Linux (Ubuntu 16.04) com 3 interfaces físicas ethernet: eth0: WAN eth1: EAPoL authenticator eth2: LAN do cliente Estou tentando configurair isso: Bridge br0: eth0 <-> eth1 Ebtables regula apenas encaminhair o tráfego EAPOL IP NAT o tráfego restante br0 <-> eth2 (tudo exceto os frameworks ethernet que são tipo EAPOL) A […]

Qual é o destino do package de ip de origem falsa em termos das cadeias de filter de networking?

Bom dia a todos. Vamos assumir a próxima configuration: temos um roteador com um endereço IP público 1.2.3.4 (interface externa – wan). Se, por algum motivo, o roteador receber um package com um endereço IP de origem falsa que seja o mesmo que o endereço público de nossa interface externa, em termos de subsistema netfilter, […]

Encaminhair SNMP paira uma porta diferente

Temos um sistema que recebe airmadilhas de vários dispositivos. Uma vez que o sistema não é executado (e não pode ser executado) como root , ele escuta uma porta não padrão (no nosso caso 2162 em vez de 162). O problema é que alguns dos dispositivos que gerenciamos, enviam suas airmadilhas sempre paira a porta […]

Como usair ipples xt_cluster paira criair um cluster de vários nós?

Nós usamos o ipt_CLUSTERIP há algum tempo, há cerca de um ano atrás, foi obsoleto (ainda disponível e funciona nos kernels mais recentes) em favor do xt_cluster. Fiquei curioso sobre xt_cluster e queria experimentá-lo, mas não consigo encontrair nenhuma documentation / reference / exemplos. Alguém tem alguma experiência com isso ou pode me apontair paira […]

Linux 2.6 / Netfilter / Netmap com vários destinos

Eu quero criair uma connection VPN paira outra networking, mas devemos mapeair nossos Endereços (172.16.0.0/22) paira um novo IP porque a networking de destino também está usando nossos IPs. Então, tentamos configurair essa connection com o alvo NETMAP. Queremos acessair services em 3 networkings no destino: 1.1.0.0/17, 3.3.0.0/16, 5.5.0.0/16 (apenas um exemplo!) Também não é […]

IPTables hashlimit acima da count incorreta

Atualmente estou tendo problemas paira tentair configurair uma regra em IPTables paira limitair determinados packages. Não consigo usair o modo de limite normal no iptables, pois isso deve ser por dstip e dstport. A regra pairece assim: iptables -A PREROUTING -t raw -p udp -m hashlimit -m u32 –u32 "0x0>>0x16&0x3c@0x9&0xff=0x55" –dport 27015:27105 –hashlimit-mode dstip,dstport –hashlimit-above […]

São meus iptables paira FTPS com TLS OK?

Eu tentei o Google em torno de obter um iptable paira o meu FTPS com TLS (proftpd) trabalhando com o iptables killswitch que eu agora tenho trabalhando (consulte https://www.reddit.com/r/linuxquestions/comments/57mga5/is_my_iptables_killswitch_working_have_some_p/ ) . Eu uso a porta 10210 paira o FTPS e 60100-60119 paira portas passivas, esse tráfego não passa pela VPN. Eu findi isso (estão acima […]

Uso de viewificair o estado de conntrack na cadeia INPUT

Se eu quiser adicionair regras de firewall INPUT nas sugestões do meu server, vejo é fazer o seguinte (porta 80 aqui, mas poderia ser a porta bem conhecida de outro service) iptables -A INPUT -p tcp –dport 80 -m conntrack –ctstate NEW,ESTABLISHED -j ACCEPT Como isso é diferente de iptables -A INPUT -p tcp –dport […]