标签: iptables

我正在尝试设置 OpenVPN 路由器，以便我可以在 Ubuntu 12.10 上将我的平板电脑（无线）和蓝光（有线）连接到另一个国家/地区的付费 VPN 服务。我已经使用 DD-WRT（太慢）和 PFSense 的虚拟实例（太有限）成功地做到了这一点。

我是 Linux 新手，但我已经完成了这个项目的 90%。硬件是 2 个有线以太网端口，其中一个连接到传统的家用路由器和无线网卡。

到目前为止我有..

1. 使用 hostapd 将我的无线设置为真正的主接入点
2. 在无线和本地 LAN 之间创建了一座桥梁（我认为）
3. 设置一个成功地为网桥分配地址的 DHCP 服务器 - 无线和有线都可以获取它们。
4. 设置 OpenVPN，使其在启动时成功创建隧道连接。

当前行为将所有流量从我的 Ubuntu 机器路由到 VPN 服务器。其他设备没有任何连接，这就是问题所在。

我的问题/目标：

如何配置路由，以便 OpenVPN 仅通过 VPN 隧道引导来自我的网桥（192.168.10.x 下的设备）的流量，而不是来自实际 Ubuntu 计算机的流量？

OpenVPN 自动设置了一些路由，但它似乎忽略了我设置的网桥。

我已经阅读了很多文档iptables，route但对我来说意义不大。尽管有多个教程，但我仍然不明白如何从route命令中读取结果。我也怀疑这可以通过OpenVPN 配置文件route-noexec和route-up在 OpenVPN 配置文件中完成，但没有成功。

我对配置文件和设置在哪里的了解有限。上述任务花了我至少 30 个小时的修补时间，所以请对我放轻松 :)

谢谢！

编辑

我在下面发布了一个解决方案来引导网桥流量，但它不会阻止 Ubuntu 计算机上的流量通过 VPN。

我有 2 个 VLAN 连接到“路由器”。所有机器都可以ping通自己VLAN内的其他机器和路由器。路由器可以ping通所有机器。我试图让机器通过路由器与其他 VLAN 通信。

在路由器上，VLAN 位于 eth1 和 eth2。我添加了以下iptable规则：

-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -j ACCEPT

在 VLAN 内的机器上，我添加了以下路由条目：

route add -net 172.16.0.0 netmask 255.255.255.0 gw 172.16.30.1

172.16.0.X另一个VLAN中的ip地址范围在哪里，172.16.30.1是路由器的IP。

我做错了什么？我没有做什么？

我想问一下使用什么类型的编码来制作 linux 可执行文件，例如十六进制、二进制或其他任何文件。它是如何转换的？有没有办法从这个可执行文件中取回原始代码？

这是我的一些代码：

ELF?????????>?????%|?????@???????????????????@?8??@?????????????????????@???????@?????7<?????7<??????? ??????????????????f?????f?????????????????????? ??????[?UPX!L
h?h?8????????????E?h=?????N?    4???9ISloB?q?w?]?.??,???Q?????#e??-?N????/?b,???d<??'??-E??6E?s?/?U???ly?V?Y2]"a??S?.?hU?|?S?J?I?2???X}
?G0?;???5d?$???.)

它是什么意思？

我刚刚登录了 GitLab 服务器，注意到自从我上次检查服务器以来，它有 18.974 次登录失败 - 将近 5 天。我检查了 Ip，似乎几乎所有这些都来自中国，并试图通过 SSH 和 Brute Force 获得访问权限。我开始屏蔽一些 Ip，但后来我意识到这是一个巨大的浪费时间，更好的主意是屏蔽整个国家。

有什么办法可以用 iptables 阻止所有中国或任何其他国家吗？

我在互联网上找到了一些文章，但几乎所有文章都是 bash 脚本。我是 Linux 的新手，所以我不太了解所有这些脚本。我发现 iptables 真的很有趣，我想了解更多。

有任何想法吗 ？谢谢！

我做了以下事情：ufw 默认拒绝传出，sudo ufw 允许输出 80，我认为这可以让我使用互联网，但你们不能帮忙吗？

还有 Ubuntu 使用的任何其他端口，我应该允许传出流量吗？我听说这20、21、53、123、443是一些你们觉得怎么样？

谢谢

几周前，我在这里发布了一个关于ssh我在 Ubuntu 12.04 机器上遇到的一些问题的问题。快进到今天，我试图允许其他人访问该机器，但他们不断收到密码错误。我结帐以var/logs/auth.log获取更多信息，并发现了这一点：

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

我有将近 10000 行似乎都或多或少地说了相同的事情（还有 4 个 auth.log.gz 文件，我假设它们更多相同？）。有时会有一个随机的用户名附加到请求中，input_userauth_request: invalid user bash [preauth]

我对服务器不太了解，但看起来有人试图访问我的服务器。

谷歌搜索如何在 Ubuntu 中阻止 IP 地址并最终得到这个：iptables -A INPUT -s 211.110.xxx.x -j …

我已经删除了 ufw，我想摆脱它留下的所有链条。我怎样才能轻松做到这一点？

我正在尝试在我的 Ubuntu 12.04 LTS 服务器上配置 iptables 以将端口 443 转发到 8443。

但是当我运行这个命令时：

sudo iptables -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

我收到以下错误：

iptables: No chain/target/match by that name.

我的 iptables 当前配置：

$ sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
DROP       tcp  --  anywhere             anywhere             tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

我错过了什么或做错了什么？

我安装了一个新的 Ubuntu 16.04 并启用了ufw：

ufw enable

我尝试了这些方法一次取消过滤多个端口：

ufw allow 22/tcp 25/tcp 80/tcp 443/tcp 9000/tcp
ufw allow 22/tcp, 25/tcp, 80/tcp, 443/tcp, 9000/tcp
ufw allow {22/tcp,25/tcp,80/tcp,443/tcp,9000/tcp}

所有三种方式都会带来相同的错误：

错误：参数数量错误

甚至可以使用 UFW 取消过滤多个端口吗？

让我们假设：

• 我对 Ubuntu/Linux 操作系统的内部运作知之甚少或一无所知。我所知道的只是我使用 Windows 的经验，在我连接到 Internet 之前，我必须配置并运行防火墙，否则我的系统将与去度假并带着所有门窗离开家一样安全打开。
• 我刚刚迁移到 Ubuntu桌面18.04 LTS 并且刚刚第一次登录。我想在将我的电脑连接到 Internet 之前保护我的系统。

（注意：注意桌面这个词的重点，所以任何对服务器的引用都与问题无关，因此无关紧要）

经过对这个主题的一些研究，我明白了这一点：

一种。ufw 是 Ubuntu 的默认防火墙“配置工具”吗？（注意它说的是配置工具，而不是实际的防火墙）并且 ufw 已安装，但它没有运行并且根本没有配置，因此它没有开箱即用的默认规则。

湾 Gufw 是 ufw 的用户界面，但它不是默认安装的，或者至少在 Ubuntu Desktop 18.04 LTS 中是这样。

C。iptables 是作为模块内置到内核中的实际防火墙。

在这一点上我知道我可以配置 ufw 因为它像 abc 一样简单，因此它的名字和使用它，作为一个起点，你需要设置拒绝（传入），允许（传出）并启动它，我也明白我可以使用Gufw也要做这个。所以我可以把它留在那里然后做。

然而，经过我所有的研究，我发现很多关于这个主题的文章、问题和博客都有很多观点和意见，其中很多说你不需要防火墙，没有开放的端口，但我在想，肯定有些端口必须当我连接到互联网时打开？这意味着我正在将我的设备连接到网络并打开双向流量连接，但是我阅读的所有信息只会使这变得不清楚和模棱两可，所以我消化了所有这些信息并尝试理解它然后减少它归结为一个单一的陈述，所以我总结一下：

Ubuntu 桌面用户不需要 ufw，因为它只是 iptables 的配置工具，而 iptables 是幕后的实际防火墙。

所以说我从字面上理解上面的陈述，那么下面的陈述是真的吗？：

iptables 是 Ubuntu 桌面的内置防火墙，经过完全配置，开箱即用，具有对普通桌面用户来说足够安全的默认规则。

因为如果上述情况属实，那么 ufw 除了为 iptables 提供一个简单的接口之外还有什么意义，这对于所有帐户来说都很复杂，而且专家建议您避免直接配置 iptables，因为如果您不知道到底是什么您正在做什么，如果配置错误，您很容易使您的系统变得不安全或无法使用？

这是我的系统的nmap扫描以及我的防火墙配置，显示了我系统上的开放端口：

请有人提供一个简明的、相关的、非观点的、基于事实的答案:)