k3s nodeportが1つのIP /インターフェースでのみ着信接続を許可し、別のIP /インターフェースで許可されていない接続の問題を調査しています。このプロセスでは、k3s nodeportを使用して公開されたポートがノード netstat -lpnポートにも表示されないことに気づきました。ip -all netns exec netstat -lpn これを行うと、表示されるポートの1つにトラフィックを「リダイレクト」するiptablesルールが見つかりません(netstat -lpn以下を使用して検索)。iptables-save | grep ...
デフォルトでは、SNAT 宛先は元のパケットの送信元ポートを保持します。ポートがすでに使用中の場合は、ランダムに選択されます。このポートの選択に影響を与えたり、選択範囲を測定する方法はありますか?これは私のテストには影響しないようですnet.ipv4.ip_local_port_range。他の設定があるかどうか疑問に思う ...
Debian 11(Bullseye)でKVM仮想マシンを実行しようとしています。 私もこれが本当に重要な場合に備えてChromeOSのcroutonでこれを実行していますが、そうではないと思います。 エラーは次のとおりです。インストールを完了できません。 「要求された操作が正しくありません。ネットワークの「デフォルト」が有効になっていません。」 Traceback (most recent call last): File "/usr/share/virt-manager/virtManager/asyncjob.py", line 65, in ...
ポート8500からのすべての着信UDPトラフィックをポート8600に複製/コピーしたいと思います。ソースアドレスが変更されないことが重要です。また、両方のポートがアプリケーションからアクセスできる必要があります(パケットは依然として元のポートに到着する必要があります)。 このソリューション(nftables:特定の宛先IP:ポートから(2番目)宛先IP:ポートにUDPパケットを複製します。)は最新のシステムでも動作しますが、残念ながら問題のシステムはRHEL 7でカーネル3.10を実行しており、更新できません。 ...
プライベートVPNサーバーがあります。ユーザーは、Wireguard、Shadowsocksなど、さまざまな方法でサーバーに接続できます。 私のユーザーの特定のウェブサイトへのアクセスを制限したいと思います。 私が知っている限り、最も一般的な方法はiptablesを使用することです。単一のIPアドレスをブロックするルールも作成できません。 table = FILTER&chain = FORWARDにルールを追加する必要があることを正しく理解していますか? クライアントでpingを実行しても効果がないのはなぜですか? iptables -A FORWAR...
今日は初めてiptablesを掘り始めました。あまりにも無邪気で申し訳ありません。 ちなみに私が使っている Ubuntu 22.04.4 LTS(ジャムゼリーフィッシュ) iptables v1.8.7(nf_tables) UFW 0.36.1 今私はufwが単にiptablesのラッパーであることを知っています(または最近学んだ)。私は後で何が起こっているのか知りたいと決心し、本を読んで探検し始めました。 iptablesがufwでパケットを処理する方法を理解できないようです。INPUTチェーンから始めます。私はこれが着信パケットが始まる場所であると...
私のシステムのポートの競合を確認しようとしたときに、多くのオンラインサイトで以下を使用することを提案しました。/etc/サービスまたはSSトンネルポート情報を見る 私は気づいた/etc/サービスさまざまな情報が提供されています-春夏シーズンほとんどの場合。 出力比較例 sudo cat /etc/services ftp 21/udp ftp 21/sctp ssh 22/tcp ssh 22/udp ssh ...
どちらの場合も、INVALID 対 ESTABLISHED、RELATED チェックが等しく高速であるか(状態が完全に直交している場合)、ESTABLISHED を受け入れる前に INVALID を削除する必要があるか、または ESTABLISHED を安全に受け入れることができるかはわかりません。間違ったものを削除しますか? ...
要約: 私の質問は、ネットワークスタックのタグ付きパケットフローについてです。 私がしたことは次のとおりです。 OUTPUTチェーンを使用して、マングルテーブルにパケットを表示しました。 また、トンインターフェイスと新しいルーティングテーブルを追加しました。 ip rule生成されたルーティングテーブルは、タグ付きパケットが使用するようにルール(使用)も追加しました。 今私の質問は次のとおりです。 問題を説明する前に、私の設定が機能していることに注意してください。これはどのように機能するのかという質問ではなく、どのように機能するのかという質問です。 :)...
どこでもインバウンドHTTPとHTTPSを許可し、特定のIPセットでSSHを許可し、他の着信接続を許可しないファイアウォール(Dockerホストでiptablesを使用)を設定しようとしています。私は生のiptablesよりも設定が簡単で、セットの自動再構成も簡単にできるので、ipsetについて読んだものが好きです。しかし、なんだかうまくいかないようです。ポート443は開いている必要がありますが、HTTPS経由で接続できません。 SSH接続は機能します(ロックを試みませんでしたが)。この問題のデバッグ中に、ipsetのさまざまなコレクションにカウンタを追加し...
私は以下に従おうとしています:https://superuser.com/a/1262250/41337しかし、私はそれを動作させることはできません。 私は以下が欲しい: interface=eth0 down() { ip netns delete myvpn ip link delete vpn0 iptables -D INPUT \! -i vpn0 -s 10.200.200.0/24 -j DROP iptables -t nat -D POSTROUTING -s 10.200.200.0/24 -o $int...
制限されたユーザーセットを除くすべてのユーザーの発信トラフィックを記録するようにiptablesを設定し、結果のログメッセージを理解しようとしています。 /var/log/syslogを見ると、次のように127.0.0.1から127.0.0.53(DNSルックアップ?)までのリクエストと224.0.0.22へのリクエストがかなりあります。 IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94 これは...
私のサーバーには珍しい設定があります。 3つの発信イーサネットポートがあり、すべてブリッジインターフェイスに接続されており、これを2つのVLANに分割します。 ip link add veth type bridge ip link set veth address 01:23:45:67:89:0A ip link set dev eth1 master veth ip link set dev eth2 master veth ip link set dev eth3 master veth [...] ip link add veth name vet...
10.0.1.110.0.1.2リモートサーバー()とローカルコンピューター()の間にVPNを作成して、サーバーがローカルコンピューターに接続するか、その逆も可能にするワイヤーガード構成があります。 サーバーがポートから着信したすべてのTCP接続を8000自分のローカルコンピュータにルーティングしたいと思います。 私が試したこと: この回答: iptables -t nat -I PREROUTING -p tcp --dport 8000 -j DNAT --to-destination 10.0.1.2:8000 iptables -t nat -I P...
このルールを正しく機能させることはできません。 私のインターフェース: #WAN auto wan0 iface wan0 inet dhcp #LAN auto lan0.7 iface lan0.7 inet static address 172.17.7.1 netmask 255.255.255.0 vlan-raw-device lan0 #DMZ auto lan0.17 iface lan0.17 inet static address 172.17.17.1 netmask 255.255.255....