Bones.
No estic gaire familiaritzat amb les iptables i us volia fer una
pregunta.
Estic buscant com, d'entrada, bloquejar les ips de diversos països.
Faig servir el ufw (gufw) com a tallafocs i el fail2ban per bloquejar
quan es produeix un intent d'accés no autoritzat.
He trobat això :
https
Hola,
El 14/11/20 a les 19:20, Daniel ha escrit:
> Perquè vols fer servir iptables 'a pelo'?.
>
>>
>> Algú té bones referències de iptables?
>> (nftables no m'interessa per ara)
>>
Tot i que no t'interessi, des del meu punt de vista, si s'ha d'aprendre
algo nou mil
Hola Narcis
> Com es llisten els mòduls disponibles?
> Apart de la documentació d'iptables cada mòdul està documentat?
man -k iptables
man iptables-extensions
> N'hi ha que es carreguen sense sol·licitar-ho?
No cal que tu et preocupis de carregar res, només cap que
utilitzis l
Ah gràcies per aquest aclariment dels mòduls; el què més m'interessa és
la funcionalitat essencial o integrada («core») d'iptables, per a saber
que me la puc trobar a qualsevol distribució (incloent routers
minimalistes).
D'altra banda, a Debian veig que hi ha diversos paquets:
iptables
iptables
Jo tinc la segona edició de Linux Firewalls de Robert Ziegler (
https://www.oreilly.com/library/view/linux-firewalls-third/0672327716/) i
em va anar molt bé en el seu moment.
Si em permets també un altre comentari tingues en compte que iptables és
modular. Tu pots carregar un mòdul i de cop tens
Hola Narcis
> Algú té bones referències de iptables?
Fa temps vaig comprar aquest llibret (91 pàgines) que trobo molt
pràctic tot i ser del 2004:
https://www.oreilly.com/library/view/linux-iptables-pocket/9780596801861/
Salut,
Alex
--
⢀⣴⠾⠻⢶⣦⠀
⣾⠁⢠⠒⠀⣿⡁ Alex Muntada
⢿⡄⠘⠷⠚⠋ Deb
Bon dia,
Arreu trobo guies per a encaminar el trànsit de xarxa d'una manera o una
altra a través de GNU/Linux, utilitzant iptables.
Però no trobo cap manual complet amb TOTES les comandes i TOTES les
opcions del programa iptables. A cada guia em descobreixen alguna cosa
més, i no sé a què atenir
Perquè vols fer servir iptables 'a pelo'?.
Jo faig servir shorewall
(https://shorewall.org/Documentation_Index.html) que em sembla un
interface molt més simple, però n'hi ha d'altres.
La sortida es també iptables, però és més fàcil estructurar les regles.
Daniel
El 14/11/20 a les 19:03
he trobat aquest enllaç que ens ajudarà a la migració iptables ->
nftables
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables
: Failed to start network default
>> > error: internal error: Failed to apply firewall rules /usr/sbin/iptables
>> > --table filter --insert INPUT --in-interface virbr0 --protocol tcp
>> > --destination-port 67 --jump ACCEPT: iptables v1.8.2 (nf_tables):
>> > CHA
On Mon, 8 Jul 2019, 09:27 Alex Muntada, wrote:
> Hola Josep,
>
> > Aquí un intent manual d'iniciació de la xarxa de libvirt:
> >
> > # virsh net-start default
> > error: Failed to start network default
> > error: internal error: Failed to apply firewall
Hola Josep,
> Aquí un intent manual d'iniciació de la xarxa de libvirt:
>
> # virsh net-start default
> error: Failed to start network default
> error: internal error: Failed to apply firewall rules /usr/sbin/iptables
> --table filter --insert INPUT --in-interface vir
per a aquest tipus d'aplicacions, les que
encara no "parlen" nftables.
Aquí un intent manual d'iniciació de la xarxa de libvirt:
# virsh net-start default
error: Failed to start network default
error: internal error: Failed to apply firewall rules /usr/sbin/iptables
--table filter --in
em diu que no tinc un
fitxer iptables.service .
He buscat informació sobre com fer-ho i trobo vàries maneres però no sé
quina és la millor.
La primera manera em diu que faci servir el paquet
"iptables-persistent"
https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_P
Disculpeu la brevetat, enviat des del telèfon mobil
Oscar Osta Pueyo <oostap.lis...@gmail.com> wrote:
>Bones,
>
>El dia 6 juny 2016 15:12, "Alex Muntada" <al...@caliu.cat> va escriure:
>>
>> Àlex:
>>
>> > Encara he trobat una te
Bones,
El dia 6 juny 2016 15:12, "Alex Muntada" <al...@caliu.cat> va escriure:
>
> Àlex:
>
> > Encara he trobat una tercera manera,
> >
> > https://wiki.debian.org/iptables
>
> Jo utilitzo aquesta manera (if-pre-up.d) des de fa temps i no
>
Àlex:
> Encara he trobat una tercera manera,
>
> https://wiki.debian.org/iptables
Jo utilitzo aquesta manera (if-pre-up.d) des de fa temps i no
dóna gaires maldecaps (potser algun cop amb alguna interfície
hotplug de la que no conec el nom i que no tinc a les iptables).
> Seri
ue systemd substitueix init a Debian Testing?
> >
>
> Hola,
>
> jo activo les regles de l'iptables quan s'activa la xarxa, en el fitxer
> /etc/network/interfaces:
Jo també ho faig així, i si vull recarregar les regles per qualsevol
motiu, uso iptables-restore < /etc
md em diu que no tinc un
> fitxer iptables.service .
>
> He buscat informació sobre com fer-ho i trobo vàries maneres però no sé
> quina és la millor.
>
> La primera manera em diu que faci servir el paquet "iptables-persistent"
>
>
> https://www.thomas-krenn.com/en/wik
Bones,
A la feina fem servir l'opció Debian o de vegades també
utilitzem /etc/rc.local per coses puntuals.
No he putinejat massa systemd encara però també sembla una bona opció,
modificant el fitxer iptables.service per injectar un script shell.
En tots els casos iptables-save per guardar la
Encara he trobat una tercera manera,
https://wiki.debian.org/iptables
Seria aquesta la més correcta amb systemd ?
On 05/06/16 21:30, Àlex wrote:
> Benvolguts/des debianites,
>
> em podeu aconsellar sobre quin és el millor mètode per fer regles
> d'iptables persistents ara
és la millor.
La primera manera em diu que faci servir el paquet "iptables-persistent"
https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently
però el gestor de paquets em recomana que enlloc d'aquest paquet faci
servir "netscript-ipfilter" . Ho
Jo tinc algo aixi
EXIF=eth0
# flush
iptables -F || fail=1
iptables -X || fail=1
iptables -Z || fail=1
iptables -t nat -F || fail=1
## default policy
iptables -P INPUT ACCEPT || fail=1
iptables -P OUTPUT ACCEPT || fail=1
iptables -P FORWARD ACCEPT || fail=1
iptables -t nat -P PREROUTING ACCEPT
On Sat, Mar 20, 2010 at 7:29 PM, Utopic uto...@ono.com wrote:
Jo tampoc entenc les iptables. La pregunta es la mateixa: com redirigir
ports
amb iptables? no me n'en surto.
Tinc una màquina amb dues tarjes de xarxa, una connectada al cablemodem que
dona acces a internet, i l'altre
A Dimecres 17 Març 2010, Ferran Pegueroles va escriure:
No m'ha quedat molt clar el esquema que tens però si l'esquema es aquest :
Xarxa interna
ipA ipB
Maquina 1 -ip C -- ip D -Maquina 2
Les regles haurien de ser aixi.
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -d ip
Ja que estem en el tema...
Per muntar firewalls als servidors faig servir 'shorewall' [1]. Coses com NAT,
redirecció de ports i balanceig venen força precuinades i no he de patir tant
per si em deixo un guionet en invocar 'iptables'.
Els fitxers de configuració són molt més llegibles que el
Bones,
aprofitant el mateix fil d'en Marc, voldria preguntar a l'audiència quelcom
semblant. Tinc una màquina (màquina1) amb dos NIC. Una connectada amb una
xarxa interna, switch, etc. L'altra connectada a un altre ordinador
(màquina2). La màquina2 té una nic, amb una adreça ip D.
A la
A i B són adreces de la mateixa xarxa. C i D són adreces d'una altra xarxa,
suposo?
--
##
### Jordi Funollet
### http://www.terraquis.net
--
To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact
No m'ha quedat molt clar el esquema que tens però si l'esquema es aquest :
Xarxa interna
||
ipA ipB
Maquina 1 -ip C -- ip D -Maquina 2
Les regles haurien de ser aixi.
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -d ip B -j DNAT –to ip D
iptables -t nat
A Dimecres 17 Març 2010, Jordi Funollet va escriure:
A i B són adreces de la mateixa xarxa. C i D són adreces d'una altra xarxa,
suposo?
sip
--
##
### Jordi Funollet
### http://www.terraquis.net
--
To UNSUBSCRIBE, email to
molt probable, tal com deia el Jordi, que separant realment les dues xarxes
(router-tallafocs, i tallafocs-switch) això no passi, quan vaig crear les
dues xarxes per provar-ho devia posar altres regles iptables malament.
No estic massa convençut que sigui segur, però el que he fet es afegir una
Bones,
Estic intentant redirigir ports desde un tallafocs que també fa NAT i no trobo
com fer-ho. He provat vàries regles que en teoria haurien de funcionar sense
sort, i no veig on està l'error.
Tinc un router adsl amb IP interna 192.168.1.1 que hauria de redirigir tots
els ports cap el
On Monday 15 March 2010 14:09:56 Marc Olive wrote:
El tallafocs té dues tarjes de xarxa, una endollada al switch amb la IP
(interna) 192.168.1.2 i una altra endollada al router adsl amb la IP
192.168.1.10.
Tot a la 192.168.1.0??? Això és un error al picar el mail o realment ho tens
així?
Bé, jo empro el arno-iptables-firewall i per redirigir un port a un màquina
local empro quelcom semblant al següent des de el /etc/rc.local
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 12345 -j DNAT
--to-destination 192.168.1.111:54321
són dades d'exemple i ho utilitzo per connectar a un
El Monday 15 March 2010 14:58:16 Jordi Funollet va escriure:
On Monday 15 March 2010 14:09:56 Marc Olive wrote:
El tallafocs té dues tarjes de xarxa, una endollada al switch amb la IP
(interna) 192.168.1.2 i una altra endollada al router adsl amb la IP
192.168.1.10.
Tot a la
On Monday 15 March 2010 15:38:06 Marc Olive wrote:
Tot a la 192.168.1.0??? Això és un error al picar el mail o realment ho
tens així?
Ho tinc així de forma provisional, un cop funcioni correctament podré
crear vàries sub-xarxes, que és la idea.
Em sembla que amb això estàs enganyant al
deixar de
donar servei.
Les rutes estaven posades cap a les diferents IPs de la mateixa xarxa, segons
fossin accessos interns o externs, i iptables treballa amb les ethernets,
així que crec que hauria d'haver funcionat normalment (enganyat).
Cada port del firewall ha d'estar a una xarxa IP
El Monday 15 March 2010 17:23:54 Marc Olive va escriure:
tallafocs:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:xx:xx:xx:xx:e7
inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0
eth1 Link encap:Ethernet HWaddr 00:xx:xx:xx:xx:23
inet
política per
defecte:
echoClearing any existing rules and setting default policy..
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
Potser s'ha de fer com ho has fet tu (segurament), però com que m'ha
2006/9/18, Ramon Cuñé:
iptables -A FORWARD -p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j
ACCEPT
iptables -A FORWARD -i eth0 -j DROP
Si poses la segona instrucció (cosa normal) DIRIA (algú a la sala que
ho confirmi?) que també has de donar permís perqué els paquets tornin,
és a dir, que has
Hola Ramon,
t'oblides de deixar que els paquets tornin, és a dir permets el Forward
dels
paquets que VAN a 195.77.223.23 però no els que VENEN d'aquesta adreça. Prova
d'afegir:
iptables -A FORWARD -p tcp -i $eth_que_toqui -s 195.77.223.23/32 --sport
3035 -j ACCEPT
Aquesta mena de
Tinc el següent codi en un proxy Squid:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -A INPUT-p tcp -i eth0 --dport 8080 -j ACCEPT
iptables -A INPUT-picmp -i eth0 -j ACCEPT
iptables -A INPUT-i eth0 -j DROP
iptables -AFORWARD-p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j
Hola,
Has activat el bit de forwarding? S'ha d'afegir a l'escript.
echo 1 /proc/sys/net/ipv4/ip_forward
Per altra banda, per sortir a fora hauries de fer nat, algo aixi:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -d
195.77.223.23/32 --dport 3035 -j MASQUERADE
On 192.168.1.0/24
A Dimecres 30 Agost 2006 11:34, Ramon Cuñé va escriure:
No faig NAT i tampoc actua de gw, així que l'hi afegiré el SNAT.
Si no fa de Gateway, com saps que els paquets passaran per la màquina amb les
dues targetes de xarxa?
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of
A Dimecres 30 Agost 2006 12:30, Jaume Sabater va escriure:
Recorda que també hauras de fer un iptables -A FORWARD per permetre el
forward de paquets en ambdues direccions, així com posar a 1
el /proc/sys/net/ipv4/ip_forward.
A més del que et diu el Jaume, si dius
--
To UNSUBSCRIBE, email
utilitzat la següent comanda:
# iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.0.3/32 --dport 2000 -j DNAT --to 195.88.33.33
És correcte? O s'hauria de fer d'alguna altra forma.
Gràcies.
# iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.0.3/32 --dport
2000 -j DNAT --to 195.88.33.33
És correcte? O s'hauria de fer d'alguna altra forma.
No del tot. Sense ser un expert en Iptables, et fallen dues coses. La
primer és que diria que has de posar -j DNAT --to 195.88.33.33:2000
Bones,
No del tot. Sense ser un expert en Iptables, et fallen dues coses. Laprimer és que diria que has de posar -j DNAT --to
195.88.33.33:2000(no n'estic segur de si cal o no ara...).
jo diria que el :2000 no fa falta ja que no faig cap canvi de port.
La segona més important, és que també li
jo diria que el :2000 no fa falta ja que no faig cap canvi de port.
Ok, ho tindré present ;-D
No faig NAT i tampoc actua de gw, així que l'hi afegiré el SNAT.
Mira també tenir carregat, si no li tens, el módul iptable_nat
Salut,
Marc.
--
Be who you are and say what you feel, because those
El Wednesday 30 August 2006 11:34, Ramon Cuñé va escriure:
Bones,
No del tot. Sense ser un expert en Iptables, et fallen dues coses. La
primer és que diria que has de posar -j DNAT --to 195.88.33.33:2000
(no n'estic segur de si cal o no ara...).
Um, no se si ha avançat gaire les iptables
gracies, no li puc dedicar tant de temps, pero moltes gracies per
l'enllaç, si hi ha un alma caratitativa que tingui temps i vulgui
ajudar que escrigui, ;)
igualmente, caldra mirar l'enllaç, gracies.
2005/6/6, Sergi Baila [EMAIL PROTECTED]:
Et recomano que dediquis un cap de setmana a iptables
a internet, suposo que deu
ser per les iptables.
per on ha de sortir, pel router, pel pc? torna a mirar les
mascares de subxarxa
Abans donava servei, anava amb xdsi, els paquets anaven
per ipp0 i per eth0, però ara té com gateway
10.0.0.1.
aquest és el router, ha de sortir per aqui? ha de
hola de nou a tots/es,
estic intentant compartir la connexió de cable a la xarxa d'ordinadors que tinc
i no puc carregar els mòduls d'iptables.
modprobe iptable_nat
modprobe: Can't locate module iptable_nat
és possible que sigui degut que tinc una versió antiga de kernel? de ser així
hi
ha
hola de nou,
navegant una miqueta més, m'he trobat amb aquesta pàgina on s'explica
l'actualització de kernel per debian [potser us és d'utilitat, almenys ho serà
per a mi]
http://articles.linmagau.org/modules.php?
op=modloadname=Sectionsfile=indexreq=viewarticleartid=158
és així, doncs, com
hola de nou,
gràcies pau per la teva ajuda
he detectat que es poden baixar per apt-get els paquets i com he dit
anteriorment, hi ha una pàgina on s'explica què s'ha de fer [http://articles.
linmagau.org/modules.php?
op=modloadname=Sectionsfile=indexreq=viewarticleartid=158]
tinc el nucli
Em sembla que tinc un problema... vaig aconseguir
actualitzar el meu nucli (ara tinc una 2.4.18-k7) i amb això puc fer anar les
iptables... vaig carregar l'ipmask i, si no ho vaig fer malament, vaig possar-hi
laconfiguració més "heavy"... el problema està en que ara, cada dos per
El lun, 19-05-2003 a las 23:20, David Barrabes escribió:
Em sembla que tinc un problema... vaig aconseguir actualitzar el meu
nucli (ara tinc una 2.4.18-k7) i amb això puc fer anar les iptables...
vaig carregar l'ipmask i, si no ho vaig fer malament, vaig possar-hi
la configuració més heavy
El mar, 20-05-2003 a las 18:29, Marta Pla i Castells escribió:
Es un problema del klogd. Ves al fitxer
/etc/init.d/klogd
i on fique la linea
KLOGD=
fiques
KLOGD=-c 2
És el nivell de missatges del klogd. A mi hem funciona. Espere que a tu
també
Per cert. reinicia el klogd
firewall.sh defaults
echo 1 /proc/sys/net/ipv4/ip_forward
# Politica por defecto para cada tipo de paquetes,
INPUT, OUTPUT y FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Direcciones que no pasan por falsas
iptables -t nat -A PREROUTING -i eth0 -s
192.168.0.0
conexions tcp són paquets SYN
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix
Paquet nou no syn:
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
#
#-Protecció SYN-FLOOD
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
A Dijous 20 Febrer 2003 11:00, Maria Garcia Suarez va escriure:
Que us sembla?
M'oblidava de dir-t'ho. És una qüestió de netetiqueta l'acceptar tots els
paquets ICMP, sinó imaginet quina Internet més petita que acabaria sent tot
plegat.
iptables -A INPUT -p TCP -m state -state
61 matches
Mail list logo