我需要标记发送到指定 MAC 地址的数据包。
我需要这个在 shaper 中使用tc。
--mac-destination不存在于iptables.
我也尝试使用ebtables:
ebtables -t nat -A POSTROUTING -d 9c:4e:36:aa:bb:cc -j mark --set-mark 0x2003 --mark-target ACCEPT
但它没有标记任何东西(至少ebtables -t nat -L --Lc显示了 0 个计数器)
请帮忙!太感谢了!
通常我使用 MikroTik 嵌入式路由器,它们基于 Linux,因此它们的防火墙设置感觉与 iptables 几乎 1:1 相同,只是命令有点不同,但机制相同。一些更高级的带有原始 iptables 的 MTK 防火墙功能可以使用-m扩展来实现- 例如连接状态或注释。
我在原始 iptables 中找不到禁用选项。是否有任何 iptables 扩展允许暂时禁用 iptables 规则?
暂时我的意思是禁用规则而不实际将其从表中删除,以便它仍然可见iptables -L但不起作用。在 MTK 中,您可以输入类似的内容set 40 disabled=yes然后稍后set 40 disabled=no
我试图让我的应用程序在 Docker 中正常运行,但遇到了问题。
该应用程序以 PASV 模式连接到远程 FTP 服务器,并 PUT 文件。非常简单,无需 docker 即可正常工作。FTP 服务器和客户端都不在任何 NAT 之后;但是客户端变成了 NAT,因为我使用的是 Docker 桥接网络。(使用默认网桥配置http://pastie.org/10954592)
如果我在运行客户端应用程序时查看 FTP 服务器上的 tshark,它会交换大量数据包,因此它正在“连接”到服务器,但应用程序没有收到任何回复。这让我假设当 FTP 服务器尝试在该经验端口上响应时,它不会从主机操作系统路由回 Docker 容器。
所以,希望总结一下,有没有什么好的方法可以将这些 pasv 端口正确转发到 docker 网桥?约束:我无法控制生产中的 FTP 服务器,所以我不能简单地硬编码 iptables 的 pasv 端口列表。
感谢您的任何想法!
这对你来说似乎是一个愚蠢的问题,但我需要确保我的想法是正确的。我正在使用 USB 无线适配器(连接到我的笔记本电脑)、dnsmasq 和 hostapd 来创建本地无线网络。它正在工作,我可以连接更多设备并相互ping通。现在我想在这个无线局域网中阻止主机内的 ping。我尝试在插入 USB 无线适配器的笔记本电脑上使用 iptables,但它不起作用,这是我的命令:
iptables -A FORWARD -p icmp -j DROP
但是我还是可以ping通。所以我认为作为同一个无线局域网中的两台主机,我不能使用 iptables,因为发送帧时没有使用第 3 层标头,我在无线适配器上运行的热点只是使用 802.11 地址字段来路由数据包(L2 标头)。这是正确的吗?谢谢
我正在做家庭项目,并且想为我的机器提供分配给我在云中的 VPS 的公共 IP 地址。
在家里,我有一个公共 IP 地址,并且已经设置了 Wireguard 服务器,外部端口 1194 被转发到该计算机,因此来自互联网的 WG 客户端可以连接到它。
现在,我在云中有一个带有静态公共IP地址的VPS(假设有一个IP 44.44.44.44),而且我在本地网络中有一台机器(假设有一个IP 192.168.1.3),我希望本地网络中的机器将流量处理为它实际上拥有44.44.44.44云中 VPS 的公共 IP( )。这意味着到达 VPS 的所有传入流量都将路由到192.168.1.3本地网络中的计算机 ( )。
我使用 Wireguard 连接 WG 服务器和 VPS 没有任何问题,甚至通过 WG 服务器重定向来自 VPS 的所有流量(使用 iptables NAT 规则),但我陷入了路由来自 VPS 的传入流量保留原始流量的部分本地网络中机器的 IP 地址。
我的客户端(VPS)WG配置:
[Interface]
PrivateKey = dGhpcyBpcyBub3QgdGhlIGtleSA7KQ==
Address = 10.66.66.2/24
#This was part of the test usin
#PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 …我怎样才能阻止所有端口,除了:
使用iptables和ipchains?
我有 rackspace 帐户并希望进行这种设置:
防火墙/网关
eth0 - 公共 IP (56.XXX)
eth1 - 私有 IP (10.XXX)
Ubuntu 10.10。接受来自互联网的连接并将端口 80 路由到 node1 (10.xxx)
节点 1
eth0 -禁用公共 IP (56.XXX)
eth1 - 私有 IP (10.XXX)
Ubuntu 10.10。该服务器是 Web 服务器。
题:
我已经一遍又一遍地搜索如何实现这一目标,但我不确定我需要采取哪些步骤。Rackspace 将这些 IP 提供给我,我不控制(此时)这些节点的 IP 是什么,但它们每个在 eth0 上都有一个公共 IP,在 eth1 上有一个私有 IP。
如何成功地将端口 80 请求从防火墙/网关转发到node1?
这是我的 iptables 设置
# Generated by iptables-save v1.4.4 on Fri Jun 17 18:09:39 2011
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:452]
:POSTROUTING ACCEPT …我正在尝试使用snort和阻止 Skype iptables。我读了很多论文,屏蔽了Skype使用的端口、关键字和模式。但它仍然没有被阻止。
我的问题是:如果Skype使用HTTP端口80或https端口443,计算机如何识别这个数据包是Skype数据包而不是Web数据包?这可能有助于我阻止 Skype。
我最近才了解到,即使我使用iptables阻止所有到我的网络服务器的流量,它仍然容易受到通过 IPv6 进行的外部攻击。在我的理解中,这使得iptables -only 防火墙无用(或者我错了?)......也就是说,我应该考虑哪些安全措施来保护网络服务器免受通过 IPv6 进行的攻击?
我需要为我的 IP 摄像机配置端口转发,以便我可以从互联网访问它。 UPNP我的网关不支持。
我的网络配置如下:
Gateway (Ubuntu Server 12) --- Internal network
7.8.9.10 --- 192.168.2.1 --- 192.168.2.0/24
eth1 eth0
从我的相机设置:
Gateway HTTP/RTSP port forwarding: enabled
我需要配置NAT的RTSP连接(default port 554)和摄像头的网络板(port 80):
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 554 -j DNAT --to 192.168.254.189:554
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 8000 -j DNAT --to 192.168.254.189:80
iptables -A FORWARD -p tcp -d 192.168.254.189 --dport 554 -j ACCEPT
iptables …