OpenWRTでのポートスキャンの防止
インターネットルーターでポートを開く必要がありますが、そのポートを簡単に検索または列挙することを望まないとします。 ハッカー/会社が開いているポートをスキャンするのを防ぐ方法は? ...
インターネットルーターでポートを開く必要がありますが、そのポートを簡単に検索または列挙することを望まないとします。 ハッカー/会社が開いているポートをスキャンするのを防ぐ方法は? ...
ここで、 より多くの情報を追加するためにnftablesログをカスタマイズできますか? たとえば、ユーザー(id、gid ...)または出力を試みるプロセスに関する情報を取得することが興味深い場合があります。 クラシックログの例: IN= OUT=ens18 SRC=192.168.1.2 DST=8.8.8.8 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=64026 DF PROTO=TCP SPT=51096 DPT=8888 WINDOW=64240 RES=0x00 SYN URGP=0 挨拶 ...
unamed set以下は、現在のICMPタイプの使用方法の実際の例です。 #!/usr/sbin/nft -f add table filter_4 add chain filter_4 icmp_out_4 { comment "Output ICMPv4 traffic" } define response_icmp_4 = { 0, # Echo Reply 3, # Destination Unreachable 10, # Router Solicitation 11, # Time Exceeded...
nftables以下は、仮想マシンからLANにIPをなりすます2つのサンプルNATルールを含む関連サンプルルールのセットです。 #!/usr/sbin/nft -f add table nat_4 # Sees all packets after routing, just before they leave the local system add chain nat_4 postrouting_nat_4 { type nat hook postrouting priority srcnat; policy accept; comme...
以下のリンクは、クロスチェーンパケットフローを説明するイメージです。nftables Webフィルタフック 1つを除いてすべて理解しています。画像では、現在のステップが何であるかはわかりませんrouting decision。 画像によると、これは2つの場所で行われるべきです。 フック後、prerouting前inputと前forward outputパケットが localhost プロセスを離れるときにフックする前に 上記の最初のポイントは後ろに2つの可能なフックがあるため意味がありますが、preroutingポイント2の場合、唯一のストリーミングオプ...
ct helper以下は、現在のオブジェクトの宣言方法の実際の例です。nftables ドキュメント #!/usr/sbin/nft -f add table filter_4 { # TODO: Can helper object be declared outside the scope of table declaration scope? # ct helper stateful object # "ftp-standard" is the name of this ct helper stateful object ...
nftWireguardは私のインターネットを損傷する次のルールを作成しています。 ~$ sudo nft list ruleset table ip wg-quick-wg0 { chain preraw { type filter hook prerouting priority raw; policy accept; iifname != "wg0" ip daddr 192.168.2.100 fib saddr type != local drop ...
nftables wikiは優先順位を記述します。ここ。明らかに、優先順位は-10、0、10などの数値です。 Red Hat nftables ドキュメントも同じことを行います。 次のページの例では、優先順位はまだ数字です。しかし、他の場所ではここfilter、次の例のように、数値優先順位は明らかに意味がなくなります。 % nft list ruleset table inet filter { chain input { type filter hook input priority filter; policy accept; 私は数値優先順...
次の形式のnftableルールセットがあります。 chain INPUT { type filter hook input priority filter; policy drop; ip saddr 11.37.79.97/29 counter packets 0 bytes 0 log prefix "'**A Log Prefix**'" ct state established,related counter packets 70 bytes 12769 accept iifna...
ゲートウェイとしてDebianシステムがあります。私のnftables.confはとても簡単です。 #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority filter; } chain forward { type filter hook forward priority filter; ...
新しいDebian 12(AWS EC2)にnftablesをインストールしました。ポート22/tcpを介してインスタンス(外部EC2 IP)に接続します。 EC2に言及した理由は、EC2が奇妙なトリックを実行する可能性があるためです。その後、nftableをインストールしました。 sudo apt install nftables sudo systemctl enable nftables sudo systemctl start nftables 現在の設定は空です。 flush ruleset table ...
私は次のようにマルチキャストパケットを一致させるルールを設定しました。 add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4 filter_4これはIPv4テーブルとnew_out4出力チェーンであり、multicast_out_4純粋なマルチキャストトラフィックを処理するチェーンです。 無関係な部分を除くIPv4テーブルの全体図は次のとおりです。 #!/usr/sbin/nft -f add table filter_4 add chain filter_4 o...
例:教室を許可し、YouTube共有IPをブロックします。 dig www.youtube.com +short | grep "$(dig classroom.google.com +short)" 142.251.32.78 https://serverfault.com/questions/988309/filter-on-bytes-in-udp-payload-using-nftables#988614 そして https://blog.cloudflare.com/programmable-packet-filtering-with-magic...
私のラップトップでネットワーク検索を防ぐ方法を実装しようとしています。私が望む1つは、特定のホスト(たとえば、私のゲートウェイ)に対するarp要求を許可することです。 arptableを使っていくつかのルールを追加しましたが、(最初は)正しく動作しているようです。 arptables -A OUTPUT -d 192.168.1.30 -j DROP arptables -A INPUT -s 192.168.1.30 -j DROP これにより、ホストに対する arp 要求を効果的にブロックします。私が実行した場合: tcpdump -n port n...
私はIntel nuc Dualatomのような小さなPC Linuxボックスを持っていますが、ここでファイアウォール設定を実行します。 以前、このコンピュータはdebian 9を実行していましたが、すべてが大丈夫でした。 私はこのマシンを2つの異なるマシン間で使用して、約50〜70 MB / sの転送速度(ギガビットイーサネット)の非常に速い速度でデータを送信できます。 設定をdebian 12に移動してから、速度は9〜10 MB / sに低下しました。答えを調べてみると、ksoftirqdが多くのCPUを使用していることがわかりました。 MTUを1500...