我正在实现一个 SIP 代理,该代理应该能够重定向两个无法互相访问的客户端之间的所有 RTP 流量。为了实现这一点,我决定操纵 SIP/SDP 消息中的协商地址并使用 iptables 规则重定向 RTP 流量。 如果发送 RTP 数据包的源发生变化,就会出现问题。在这种情况下,iptables 需要 30 秒才能开始重定向来自新源的流量。 为了详细解释我正在尝试做的事情,假设我有两个 SIP 客户端和我的代理: Bob 的 SIP 客户端正在 192.168.1.1 上运行 Alice 的 SIP 客户端正在 192.168.2.1 上运行 代...
我正在使用自定义 LB 进行 L3-DSR 设置。自定义 LB 使用 DSCP 设置进行 DNAT,尽管 DSCP 设置与这个问题无关。我创建了一个包含一些网络命名空间的实验室 VIP: 10.10.10.1 Real-IP: 10.10.2.2 10.10.2.3 client netns ---> router netns ---> server netns 我想设置真实服务器来回复 VIP 源地址。 当我从clientVIP 进行 ping 时, router执行 DNAT 并server获取 DNAT 数据包。 但是,SNAT 规则...
我的 iptables 规则已经运行多年,没有发生任何事故,但在通过以下方式允许所有受信任的 MAC 访问后: /sbin/iptables -A INPUT -m mac --mac-source $MAC -j ACCEPT /sbin/iptables -A FORWARD -m mac --mac-source $MAC -j ACCEPT 我正在尝试标记其他 mac 地址,例如: /sbin/iptables -A PREROUTING -t mangle -i $INT_DEV -p tcp --dport 80 -j MARK --set-m...
我正在锁定我的 Linux 机箱的出口,使 OUTPUT 链默认拒绝。 我的 wireguard 对等体来自子网10.1.0.0/16。最初我以为我只需要就可以了-A OUTPUT -d 10.1.0.0/16 -j ACCEPT,虽然这是必要的,但这本身是不够的。 通过跟踪确认,与 wireguard 对等体的物理 UDP 连接也需要允许,再想想这也是有道理的。 现在,我可以继续手动允许对等端点的 wireguard 端口。但我想知道是否有一些更自动化的机制,可以将物理 UDP 数据包与已经允许的隧道数据包关联起来,并自动允许它? ...
外部 IP 每秒都会连接到我的邮件服务器 VM,我只想立即阻止该 IP 而不删除现有连接。 所以我应用了 DROP 规则。我甚至重新加载了所有 iptables 规则,但外部 IP 仍然连接到邮件服务器。 我使用 conntrack 来停止现有连接。 iptables -F iptables -X iptables -t nat -F echo 1 > /proc/sys/net/ipv4/ip_forward for IP in <IP_LIST> ; do iptables -I INPUT -s $IP -j DROP co...
我有以下问题: PC1 - eth0: 192.168.188.55 eth1: part of br0: 10.147.20.69 tap1: part of b0: 10.147.20.2 -> connected to PC2 on eth1: i have a trunc sip device GOIP and some times PC3. 服务器是基于Freepbx安装的Centos7 从 PC2 ping pc1:ok ping eth1:ok 从 PC3 ping pc1:ok 注册一个 si...
我想让我的 iptables 接受所有已建立的传入连接,但我的系统中没有 conntrack,所以我无法运行: sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT 有可能通过其他方式实现它吗? ...
我正在尝试使用以下命令在我的 iptables 中允许所有已建立的传入连接: sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT 但我收到此错误信息: "iptables-restore v1.8.4 (legacy): Couldn't load match `conntrack':No such file or directory" 即使我的环境中确实安装了 conntrack。 有人知道为什么吗? ...
这些是下面的日志。 [DESTROY] udp 17 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 packets=3 bytes=216 [UNREPLIED] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 packets=0 bytes=0 [NEW] udp 17 30 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 [UNREPLIED] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 ...
我希望有人能给我指明正确的方向。 在公共 IP 上运行 proftpd(支持 tls)。 FTP 客户端连接成功,但无法列出目录。当我将 iptables 上的“INPUT”策略更改为 ACCEPT 时,它就可以正常工作了。 以下是我的相关iptables规则: $IPTABLES -A INPUT -i eno1 -s 0/0 -d x.x.x.x -p tcp --sport 1024:65535 -m multiport --dports 20,21,989,990 -m state --state NEW,ESTABLISHED -j ACCEPT ...
是否nf_conntrack尊重网络命名空间?它是否根据其 sysctl 限制为每个网络命名空间创建一个单独的表,还是在不同的网络命名空间之间共享内存(和限制)? 我搜索了很多次,但没有找到任何明确的答案。 ...
我观察到,在 conntrack 模块中建立连接时,netfilter 会更改源端口。我需要阻止此行为。 以下是我为重现我的问题所做的事情: 我创建了一个 netfilter 规则,将从端口 2002 到 2003 执行 DNAT sudo iptables -w -t nat -A OUTPUT -s 192.168.30.3 -d 192.168.30.1 -p udp --sport 2001 --dport 2002 -j DNAT --to-destination :2003 然后我创建一个 conntrack 条目来模拟从 192.168....
在基于 Debian 的路由器上使用多个 VRF 时,我遇到了源 NAT 的一个棘手问题。解释起来有点复杂,所以我会尽量说清楚,但不会简短,对此我深表歉意。不过这个问题应该很容易重现。 为了将路由器的“管理”部分(ssh 和其他服务)与其路由器作业(路由和 NATing 数据包)隔离,我尝试在默认 VRF(更容易处理服务套接字)中设置“mgmt”VRF,并在称为“防火墙”的 VRF 中设置路由 VRF。 该图可以总结如下: 网络图 “管理”网络为 192.168.100.0/24,由 L3 交换机路由,该交换机通过网络 10.254.5.0/24 与路由器的...
这是不是关于隧道的问题,尽管这可能是解决方案的一部分。 对于公共云提供商来说,请求负载均衡器很简单,因为提供商拥有大量 A/B/C 类公共 IPv4 地址块。但是,虽然拥有 IPv6 地址块很简单,但发布负载均衡器地址却并非易事,因为您不能假设传入流量支持 IPv6。如何弥补这一差距? 尝试实现:给定有限的 ipv4 公共地址 (4),而是生成第 7 层 http 负载均衡器 A 记录,这些记录映射到 ipv4 地址。然后这些 ip4 地址路由到集群内的 ipv6 集群地址。也许这里需要 SNI? 约束:不能假设 Ingres 流量支持 ipv6,因此(如果...
我有一个客户端和服务器。在服务器上,我有一个重定向规则,将所有传入流量重定向到端口 15006。 Client IP: 10.20.3.53 ServerIP : 10.20.3.63 我在服务器(10.20.3.63)上有以下iptables规则: # iptables -t nat -nvL PREROUTING Chain PREROUTING (policy ACCEPT 581 packets, 34860 bytes) pkts bytes target prot opt in out source ...