我有一个网络网关系统,使用 iptables 来允许/拒绝往返内部网络的流量。我必须iptables根据内部网络中实体的要求手动添加和删除规则,包括对其流量进行 NAT。内部网络上的受信任实体可以根据需要请求添加和删除规则。最终结果是和表中的一堆规则nat,filter包括POSTROUTING带有目标的规则SNAT,将源 IP 设置为网关系统的 IP,以及其他表中将网关外部 IP 地址设置为的规则dst。 我希望能够动态设置网关系统的 IP。这当然会对 TCP 会话等造成破坏性后果,但我们先不考虑这一点。系统使用其他机制来处理这些问题。 问题是防火墙表中未...
泰国(和其他国家)有政府批准的防火墙/网关,可将您的所有流量路由到该网关。因此,转发到您的 WAN IP 的任何 LAN 端口在泰国境内可用,但在境外不可用。因此,当我通过 whatsmyip.org 或 ident.me 等西方网站查询时,我的调制解调器的 WAN IP 会有所不同。据我所知,这是因为我通过政府网关后才被允许访问外国内容。这些网关是公共的,因此不会转发我的端口。 我不能将 DNS 地址与 cloudflare 或类似的东西结合使用,因为我需要在同一个地址/IP 上使用多个端口。 我的情况如下: 运行本地游戏服务器,每个服务器通常有 2-3...
我正在尝试按照 WSL 中的这篇文章安装 NGINX 和证书: 如何在 Ubuntu 20.04 上安装和配置 Nginx 但在步骤5:允许Nginx流量,我在命令后收到错误sudo ufw 允许'nginx http'。 我们面临的错误是 WARN: initcaps [Errno 2] iptables v1.8.4 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or yo...
我有以下设置:带有两个 LXC 容器的 Proxmox 主机。LXC A:10.0.0.10 LXC B:10.0.0.30 在主机内部我可以做 wget 10.0.0.30 这很完美。但这在 LXC A 内部不起作用。我总是超时。我可以从 LXC A 执行 ping。 我的 vmbr0 配置如下: auto vmbr0 iface vmbr0 inet static address 10.0.0.1/24 bridge-ports none bridge-stp off bridge-fd ...
我一直在尝试寻找一种方法来确保容器只能从 (Linux) docker 主机所属的 LAN 访问。我在 Reddit、Stack 和其他一些随机网站上看到有人提出/回答了这个问题。他们只是说明当您发布端口时,要在 compose yaml 中包含 localhost 地址,例如: ports: - 127.0.0.1:8080:8080 我想这是有道理的,但是在实现之后,我看到的 docker 创建的 iptables 是这样的: Chain DOCKER (5 references) target prot opt source ...
有没有好的方法列出 中所有用户定义链的名称iptables?我所说的用户定义链是指使用 创建的链iptables -N。 原因是我正在编写一个脚本来将所有内容重置为初始状态。除了重置所有内置链之外,我还想删除任何用户定义的链。 到目前为止,我只找到了iptables -L,但解析此输出似乎不是一个好主意。我也查看了/proc和/sys,但我也没有在那里看到任何有用的东西。 ...
我有一台家用 Linux 路由器,它通过 IPv4/v6 连接到互联网,我在其上ppp0运行了 wireguard VPN 。它的内部 NIC 接口是(192.168.100.1/24,fd42:100::1/120),连接到家庭网络。我运行 dnsmasq (192.168.100.1:53) 作为 DHCP/DNS 服务器。我使用这些 iptables 规则进行 NATwg0lan0 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A FORWARD -m conntrack ...
我设置了一个 VPS 作为我自己托管的邮件服务器的反向 vpn,想知道我提出的这些规则是否合理并且是否适合我正在做的事情。 邮件服务器(mailcow docker 容器)位于 nat 后面,并托管其他几个 Web 应用程序。vps 上有一个反向代理(也是一个 docker 容器),用于位于 vps 上的应用程序,邮件服务器上还有另一个反向代理,用于一些私人访问 Web 应用程序。邮件服务器本身列在 VPS 上的反向代理中。 我的问题是:就防火墙规则而言,这是“正确”的设置吗?我可以使用邮件服务器 wg0.conf 中的显式 IP 地址使其与邮件服务器一起工...
有一个运行良好的 Wiregurad 服务器,但我们需要 Wireguard 的服务器通过第二台服务器使用 socks 代理连接到互联网,并且只连接到 Wireguard,而不是其他程序和整个服务器。 附加信息: 服务器 1(Wireguard 服务器)位于我们国家,但服务器 2 位于另一个国家。 Wireguard 协议已被阻止用于外部服务器(例如服务器 2),因此我无法在服务器 2 上配置 Wireguard 并创建 Multihop,我之前已经测试过。(甚至用 udp2raw 测试过) 我们正在使用 访问服务器 2 ssh -D $port_n...
我有一个监听的二进制可执行文件127.0.0.1:5373。但我希望其他人可以从另一台计算机访问该服务,就像它监听的一样0.0.0.0:5373。 因为它是二进制文件,所以我无法修改它的源代码来监听0.0.0.0。 我认为iptables或者nftables可以做到这一点但不确定如何做。 ...
我肯定漏掉了什么。 我有两个 VLAN,想允许某些 IP 和端口进行 VLAN 间通信,基本上我想让 192.168.16.2 连接到 192.168.15.4:80 并允许所有相关和已建立的流量。 我添加了日志记录规则,从我看到的情况来看,我不明白我做错了什么,因为它应该匹配。 其他一切都运行良好,因为 99 中的机器可以到达 3,但反之则不行,192.168.16.3 可以到达 eth2,即 wlan。但这条规则 -A FORWARD -p tcp -i br-lan.3 -s 192.168.16.2 -d 192.168.5.4 -o br-lan....
我正在尝试使用 Raspberry Pi Model B+ 作为 WiFi 接入点,其 IP 地址为 192.168.0.1。此接入点应将所有 HTTP 和 HTTPS 流量重定向到端口 8080 上 IP 地址为 192.168.0.29 的另一台计算机。 在 192.168.0.29 上,我使用 Burp Proxy 来监听传入的连接。我已为 Burp 配置了“支持隐形代理”选项。 我已成功设置 WiFi 接入点,并能够将各种客户端计算机连接到该接入点。通过接入点的互联网连接也正常运行。 我已经使用 hostapd 来设置 wifi 接入点。 但是,当我...
我正在使用这个命令。它工作得很好。我能够从命令行下载以前无法下载的东西 sshuttle --dns -vvr [email protected] 0/0 -x 192.168.1.252 问题是,在这台服务器(在 AWS 中运行)上,我需要从其进行 ssh 的服务器也在端口 443 上运行 Nginx 网站。当 sshuttle 服务运行时,我无法在浏览器中加载该网站。我尝试使用 IPTABLES 添加 443,但没有成功 知道可能是什么问题吗? ...
如何使用 Iptables 阻止除 Tor 之外的所有连接? 我尝试了以下脚本,但没有起作用,没有加载任何内容,包括 Tor -A INPUT -i lo -p tcp -m tcp --sport 1:65000 --dport 9050 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -p tcp -m tcp --sport 9050 --dport 1:65000 -j ACCEPT -A OUTPUT -o lo -p tcp -j ...
我想将所有 http 流量转发到同一台机器上运行的另一台代理服务器? 如何使用 iptables 将端口 80 上的所有流量转发到另一个代理? ...