問題タブ [iptables]

私以外のユーザーがいないときに、私の開発ボックスにこの制限があるのは非常に面倒です。

私は標準的な回避策を知っていますが、どれも私が望むことを正確に行うものではありません:

1. authbind (Debian テスト中のバージョン 1.0 は IPv4 のみをサポートします)
2. iptables REDIRECT ターゲットを使用して、低いポートを高いポートにリダイレクトします(「nat」テーブルは、iptables の IPv6 バージョンである ip6tables にはまだ実装されていません)。
3. sudo (ルートとして実行することは避けようとしています)
4. SELinux (または類似)。(これは単なる私の開発ボックスです。余分な複雑さを導入したくありません。)

sysctl非ルート プロセスが Linux の「特権」ポート (1024 未満のポート) にバインドできるようにする簡単な変数はありますか?

編集:場合によっては、機能を使用してこれを行うことができます。

私はddwrtルーターv24を持っていて、何かを構築しています。それを使用してvpnに接続でき、問題なくIPを取得できます（192.168.10.200）。vpn ip/interface から 8080/tcp を内部 LAN 10.0.0.50:80 に転送したいと考えています。

考えられるほぼすべての iptables コマンドを試しましたが、まだうまくいきません。問題は、物事が ppp0 から LAN に移動していないことだと思われます。これは本当に単純なはずですが、そうではありませんでした。ありがとう。

ここのところ：

iptables -t nat -I PREROUTING -p tcp -d 192.168.10.200 --dport 8080 -j DNAT --to 10.0.0.50:80

iptables -I FORWARD -p tcp -d 10.0.0.50 --dport 80 -j ACCEPT

I'm writing a bash script to add simple firewalling for Xen.

Here's the actual firewall configuration :

I'd like to add a new chain for each of my virtual machines (each of them has a virtual interface called vif1.0, vif2.0, etc). Output interface (bridge) is xenbr0.

Here's what I do (for example to block ping 'in'to domU1, vif1.0) :

But .. it doesn't work, i'm still able to ping in/out the domU.

Must be something really 'dumb' but I can't find out what's wrong.

Any clues ?

Thx

telnet トラフィックをプロキシし、記録目的でインバウンド/アウトバウンド ストリームをフォークするツールを作成しました (これは、レガシー システムをテストするためのテスト ツールです)。しかし、問題が発生しました。従来のシステムは、場合によってはクライアントの IP アドレスを知っていることに依存していますが、プロキシを使用すると、クライアントのアドレスはすべてプロキシのアドレスに変更されます。レガシー システムがゲートウェイとして使用するマシンを制御しているため、iptables やその他のパケット マングリング技術を介してこれを偽装する方法がないかどうか疑問に思っています。つまり、プロキシがなければ、次のようになります。

プロキシを使用すると、次のようになります。

私たちの必要なもの：

これを達成する方法はありますか？

ありがとう！

Linux ファイアウォールを制御するアプリケーションを作成しています (iptables を使用)。ポートトリガーを実装する必要があります。それに適していると思われる TRIGGER ターゲットがあります。ただし、適切なドキュメントが見つかりません (実際、このターゲットのドキュメントを見つけるのは非常に困難です)。iptables の TRIGGER ターゲットに関する情報にリダイレクトできる人はいますか?

ip6tables に使用できる connlimit モジュールがあるかどうか知っている人はいますか? 私にお知らせください。

ありがとう、ケネス

TCPまたはUDPペイロードに特定のサブ文字列が含まれているパケットが発信、着信、または転送されているかどうかに関係なく、パケットをドロップするルールを作成しようとしています。

どのように私はそれをすることになっていますか？

アプリケーション層でワーム フィルタリング ユーティリティを作成しようとしています。

特定の部分文字列を含む tcp パケットをドロップするルールに従ってセットアップしました。

iptables -A INPUT -p tcp -m string --string "test" -j DROP --algo kmp

ただし、一致する文字列を持つパケットが見つかると、一致しない文字列があっても、iptable からルールをフラッシュするまで、後続のすべてのパケットが破棄されます。

なぜこれが起こっているのか、それに対する解決策は何かを知りたいです。

ありがとう

文字列が一致するudp/tcpパケットをドロップするようにルールを設定しました。ただし、libpcapを使用してパケットをキャプチャする私のプログラムは、引き続きこのパケットを見ることができます。

なぜこれ/、libpcapによって見られる前にパケットをドロップするためのiptableルールは何である必要がありますか？

とにかく、おそらくiptablesルール以外に、libpcap / tcpdumpによって認識される前にこのパケットをドロップすることはありますか？

次のコマンドを使用して、slingbox 接続をクラス 1:20 に設定しようとしています。

iptables -t mangle -A to-cable -p tcp --dport 5001 -j CLASSIFY --set-class 1:20 iptables -t mangle -A to-cable -p tcp --sport 5001 -j CLASSIFY --set-クラス 1:20

ssh、http、およびニュース用の他のクラス関連コマンドがあります。

コマンド「tc -s class ls dev eth0」を使用して何が起こっているかを確認しましたが、slingbox に接続している場合でも、クラス 1:20 を介したデータ転送はありません。残りのポート (ssh、http、ニュース) は、クラスを通じて適切に転送されます。

slingbox のデータ転送をキャッチするより良い方法はありますか?