k3s nodeportが1つのIP /インターフェースでのみ着信接続を許可し、別のIP /インターフェースで許可されていない接続の問題を調査しています。このプロセスでは、k3s nodeportを使用して公開されたポートがノード netstat -lpnポートにも表示されないことに気づきました。ip -all netns exec netstat -lpn これを行うと、表示されるポートの1つにトラフィックを「リダイレクト」するiptablesルールが見つかりません(netstat -lpn以下を使用して検索)。iptables-save | grep ...
インターネットルーターでポートを開く必要がありますが、そのポートを簡単に検索または列挙することを望まないとします。 ハッカー/会社が開いているポートをスキャンするのを防ぐ方法は? ...
ここで、 より多くの情報を追加するためにnftablesログをカスタマイズできますか? たとえば、ユーザー(id、gid ...)または出力を試みるプロセスに関する情報を取得することが興味深い場合があります。 クラシックログの例: IN= OUT=ens18 SRC=192.168.1.2 DST=8.8.8.8 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=64026 DF PROTO=TCP SPT=51096 DPT=8888 WINDOW=64240 RES=0x00 SYN URGP=0 挨拶 ...
私は最近、ドイツのxUbuntuがインストールされている中古ラップトップを購入しました。私はxUbuntuにある程度慣れています。 ドイツ語でしたので解決策が見つからず、空のハードドライブを接続することにしました。これを行った後、VentoyとWindows 10がインストールされた16GB Verbatimフラッシュドライブを入手しました。 電源を接続してノートパソコンの電源を入れました。 GRUBを始めましたが、使い方がわからないので、詰まっていました。 ここでVentoyを起動するか、GRUBを完全に削除する方法をご存知ですか? ...
デフォルトでは、SNAT 宛先は元のパケットの送信元ポートを保持します。ポートがすでに使用中の場合は、ランダムに選択されます。このポートの選択に影響を与えたり、選択範囲を測定する方法はありますか?これは私のテストには影響しないようですnet.ipv4.ip_local_port_range。他の設定があるかどうか疑問に思う ...
Debian 11(Bullseye)でKVM仮想マシンを実行しようとしています。 私もこれが本当に重要な場合に備えてChromeOSのcroutonでこれを実行していますが、そうではないと思います。 エラーは次のとおりです。インストールを完了できません。 「要求された操作が正しくありません。ネットワークの「デフォルト」が有効になっていません。」 Traceback (most recent call last): File "/usr/share/virt-manager/virtManager/asyncjob.py", line 65, in ...
私は個々のグラフィックとオンボードグラフィックの両方を備えたラップトップを持っています。個々のGPUを使ってゲーム実行ファイルを実行したいのですが、obnboardで実行されています。個々のGPUを使用してどのように実行しますか? ゲームがインストールされていません。これは実行可能ファイルを実行するフォルダです。 オペレーティングシステム:ヒュー!オペレーティングシステム(Gnome) CPU:AMD Ryzen 5 4000シリーズ グラフィックカード:NVIDIA GTX 1650 ゲーム: シティーズ: スカイライン メモリ:16GB ファイルブラウ...
ポート8500からのすべての着信UDPトラフィックをポート8600に複製/コピーしたいと思います。ソースアドレスが変更されないことが重要です。また、両方のポートがアプリケーションからアクセスできる必要があります(パケットは依然として元のポートに到着する必要があります)。 このソリューション(nftables:特定の宛先IP:ポートから(2番目)宛先IP:ポートにUDPパケットを複製します。)は最新のシステムでも動作しますが、残念ながら問題のシステムはRHEL 7でカーネル3.10を実行しており、更新できません。 ...
X11やWaylandでポインティングデバイス(特にグラフィックタブレットペン)が通常の入力ポインタとして使用されるのを防ぐ方法を探しています。しかし、私はまだプログラム内でクリックと動きを評価できるようにしたいです。したがって、デフォルトでは、そのペンの出力を私のアプリケーションに接続します。理想的には焦点があるかどうかは関係ありません。 X11では、デバイスを「フローティング」に設定して、これらのデバイスが汎用入力デバイスとして使用されるのを防ぎますが、Waylandで同じことができるかどうかはわかりません。 これを達成するための最良の方法は何ですか? ...
プライベートVPNサーバーがあります。ユーザーは、Wireguard、Shadowsocksなど、さまざまな方法でサーバーに接続できます。 私のユーザーの特定のウェブサイトへのアクセスを制限したいと思います。 私が知っている限り、最も一般的な方法はiptablesを使用することです。単一のIPアドレスをブロックするルールも作成できません。 table = FILTER&chain = FORWARDにルールを追加する必要があることを正しく理解していますか? クライアントでpingを実行しても効果がないのはなぜですか? iptables -A FORWAR...
私はFedora VM(私のPCにWindowsがあります)を使って起動可能なUSB(16GB)を作成しようとしています。私はフォローしていますこのガイド。 ただし、この手順を実行すると、「olpc_xo175のU-Bootファイルが見つかりません」というメッセージが表示されます。 arm-image-installer --resizefs --target=olpc_xo175 --media=/dev/sdx --image=Fedora-Minimal-armhfp-32-1.6-sda.raw.xz 後でこの手順を実行すると、次のようになります。...
unamed set以下は、現在のICMPタイプの使用方法の実際の例です。 #!/usr/sbin/nft -f add table filter_4 add chain filter_4 icmp_out_4 { comment "Output ICMPv4 traffic" } define response_icmp_4 = { 0, # Echo Reply 3, # Destination Unreachable 10, # Router Solicitation 11, # Time Exceeded...
![masqueradeの使い方と意味[to:PORT_SPEC]](https://linux33.com/image/230776/masquerade%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9%E3%81%A8%E6%84%8F%E5%91%B3%5Bto%3APORT_SPEC%5D.png)
nftables以下は、仮想マシンからLANにIPをなりすます2つのサンプルNATルールを含む関連サンプルルールのセットです。 #!/usr/sbin/nft -f add table nat_4 # Sees all packets after routing, just before they leave the local system add chain nat_4 postrouting_nat_4 { type nat hook postrouting priority srcnat; policy accept; comme...
今日は初めてiptablesを掘り始めました。あまりにも無邪気で申し訳ありません。 ちなみに私が使っている Ubuntu 22.04.4 LTS(ジャムゼリーフィッシュ) iptables v1.8.7(nf_tables) UFW 0.36.1 今私はufwが単にiptablesのラッパーであることを知っています(または最近学んだ)。私は後で何が起こっているのか知りたいと決心し、本を読んで探検し始めました。 iptablesがufwでパケットを処理する方法を理解できないようです。INPUTチェーンから始めます。私はこれが着信パケットが始まる場所であると...
以下のリンクは、クロスチェーンパケットフローを説明するイメージです。nftables Webフィルタフック 1つを除いてすべて理解しています。画像では、現在のステップが何であるかはわかりませんrouting decision。 画像によると、これは2つの場所で行われるべきです。 フック後、prerouting前inputと前forward outputパケットが localhost プロセスを離れるときにフックする前に 上記の最初のポイントは後ろに2つの可能なフックがあるため意味がありますが、preroutingポイント2の場合、唯一のストリーミングオプ...