どこでもインバウンドHTTPとHTTPSを許可し、特定のIPセットでSSHを許可し、他の着信接続を許可しないファイアウォール(Dockerホストでiptablesを使用)を設定しようとしています。私は生のiptablesよりも設定が簡単で、セットの自動再構成も簡単にできるので、ipsetについて読んだものが好きです。しかし、なんだかうまくいかないようです。ポート443は開いている必要がありますが、HTTPS経由で接続できません。 SSH接続は機能します(ロックを試みませんでしたが)。この問題のデバッグ中に、ipsetのさまざまなコレクションにカウンタを追加し...
無差別攻撃からサーバーを保護するために、Debian 12にfailure2ban、ipset、shorewallをインストールしました。ルールを変更してShorewallを再起動すると、fooX****テーブルがipsetに作成されます。 Astra Linux(Debian 10ベース)でもこの問題が発生しました。 Ubuntu 20にもサーバーがあります。そこにはそんな問題はありません。 このように構成 失敗2クラス/jail.d/main.conf [ssh] enabled = true filter = sshd banaction = shor...
ipset v7.1、プロトコルバージョン:7「ipset add white_list_net_port 128.0.0.0/1、udp:443-444」を実行すると、システムは「ipset v7.1:ハッシュがいっぱいになり、追加の要素を追加できません」報告します。white_list_net_port要素で埋められています。しかし、 'ipset add white_list_net_port 128.0.0.0/1,udp:443' と 'ipset add white_list_net_port 128.0.0.0/1,udp:444' を実行する...
最近、Ubuntu 20.04ボックスでfail2ban次のエラーが発生しました。 2023-07-13 06:57:05,129 fail2ban.actions [3063]: NOTICE [nginx-http-auth] Ban 2600:1005:b02d:3b6a:c1e:4a7e:6a9f:ccc4 2023-07-13 06:57:05,151 fail2ban.utils [3063]: ERROR 7f106882c6c0 -- exec: ipset create f2b-nginx-http-a...
これには高度なプログラマーがありますが、すべてのプログラミング言語と比較して作業を困難にするLinuxネットワークの制限は嫌いです。 実際、私はしなければなりません。ポリシーベースのルーティング特定のLAN IPアドレスが特定の発信インターフェイス(例:eth5)を選択できるようにします。私の場合、ipsetでさえ十分に強力ではありませんでした。最初のオクテットが「10」で最後のオクテットが「9」で終わるすべてのLAN IPを許可したいと思います。これは10.*.*.??9JavaScriptです。if(ip.match("\10\..*\.(\d+9|9)...
recentiptablesモジュールとiptablesモジュールの実際の違いは何ですかipset? 最近のモジュールは、サブネットではなくIPのみを許可することがわかっていますipset。しかし、それ以外の主な実際の違いは何ですか?パフォーマンスですか?このうちどれを使うべきですか? ...
そのため、Kenetic HopperはEntwareと提携しました。オプションのルーティング用に複数のスクリプトを作成しました。これらのスクリプトはすべてうまく機能し、ランタイムエラーもなく、ルーティングもうまく機能します。 Wireguard経由のPingはうまく機能しますが、ブラウザに入ると問題があり、すべてが非常に遅くなります。 正直なところ、何が問題なのかわかりません。唯一のことは、スクリプトをオフにしてWebインターフェイスでwireguardを優先接続に設定すると、すべてのトラフィックが問題や遅延なしに通常wireguardを通過することです。...
これはルータにあります。私はhash:net型のipsetである$macクライアントのMACを持っています。$set私の意図は、ネットワークにアクセスできる人を除くすべてのネットワークへのアクセスを拒否することです$set。$mac -A lan_forward -m mac ! --mac-source $mac -m set --match-set $set dst -j REJECT しかし、これはうまくいきません。$setMACアドレスが何であれ、誰もがブロックします。問題は何ですか?これをLOGターゲットに置き換えると、次のように表示されます。 ...
私は走ってDebian 8.11いますiptables v1.4.21。ipset v6.23, protocol version: 6 小さなホストサブセットを除くすべてのホストが特定のポートへのアクセスをブロックしようとしても機能しないようです。 まず、小さなIPアドレスセットをipsetというリストに入れましたallowed-hosts。その後、実行後に次のコマンドを実行しますsudo /sbin/iptables -F。sudo /sbin/iptables -X sudo /sbin/iptables -I INPUT -p tcp -m mult...
を使用していますDebian 8 linux。 一部のIPアドレスグループを除いて、ほとんどのIPアドレスからいくつかのポートへの着信アクセスをブロックしようとしています。次のことをしていますが、うまくいかないようです。 % sudo /sbin/iptables -v -A INPUT -p tcp -m set '!' --match-set allow-list src -m multiport --dports 110,143,993,995 -j DROP にないIPアドレスからこれらのポートにアクセスしようとするたびに、allow-listその...
私は依存ポータル(たとえば、別のポータルを構築しています。;))今、コア機能であるiptablesルールを処理しようとしています。これに基づいて、ipsetnameという有効なMacアドレスのリストがありますallow-mac。これは現在の構成です(質問自体を除く)。 echo 1 >/proc/sys/net/ipv4/ip_forward ipset create allow-mac hash:mac counters ipset add allow-mac XX:XX:XX:XX:XX:XX IPT="/usr/sbin/iptables" ...
ipsetとルールの一致を使用してiptablesルールを作成しようとしています。ソースコードまたは目的地(あるいは、両方)。これ iptables -A FORWARD -m set --match-set <name_of_ipset> src,dst -j DROP するいいえ両方とも動作するので動作します。ソースコードそして目的地すべてそこにありますIPセット名。 私はルールを倍増することができることを知っています。 iptables -A FORWARD -m set --match-set <name_of_ipset>...
ブラックリストのipv6アドレスをブロックするための事前作成されたスクリプトを探しています。https://github.com/trick77/ipset-blacklistスクリプト。スクリプトは完璧ですが、ipv6をブロックすることはできません。 ありがとうございます! ロバート ...
ipsetに保存されているIPアドレスホワイトリストがあります。ホワイトリストにないすべてのIPがすぐに削除され、チェーンの下のすべてのルールが考慮されない入力チェーンのiptablesルールを作成したいと思います。 IP がホワイトリストのアドレスと一致すると、チェーンに沿って進み、他のルールを確認します。 ホワイトリストに基づいてデフォルトポリシーDROPおよびALLOWルールを設定すると、ホワイトリストにないIPアドレスがチェーン内の他のルールと比較され、その基準に基づいて許可される可能性がありますが、これは望ましくありません。また、ホワイトリストルー...
私のファイアウォールはipsetを使用しています。設定タイプ「nethash」を使用して生成されます。その結果、このリストには個々のIPアドレスのみが含まれているため、「iphash」設定タイプがより効率的になります(とにかくマニュアルページによると)。 現在、リストを正しいセットタイプを持つ新しいリストに置き換えようとしましたが、明らかに許可されていません。 また、別の設定で再生成するために現在のリストを削除しようとしましたが、ファイアウォールで使用しています。 --swap ipsetを強制する方法はありますか?または、既存のコレクションを新しいコレクシ...