오늘 처음으로 iptables를 파헤치기 시작했습니다. 너무 순진해서 죄송합니다. 참고로 제가 사용하고 있는 우분투 22.04.4 LTS(잼 젤리피쉬) iptables v1.8.7(nf_tables) UFW 0.36.1 이제 나는 ufw가 단지 iptables의 래퍼일 뿐이라는 것을 알고 있습니다(또는 최근에 배웠습니다). 나는 뒤에서 무슨 일이 일어나고 있는지 알고 싶다고 결심하고 책을 읽고 탐구하기 시작했습니다. iptables가 ufw로 패킷을 처리하는 방법을 이해할 수 없는 것 같습니다. ...
어디에서든 인바운드 HTTP 및 HTTPS를 허용하고 특정 IP 세트에서 SSH를 허용하며 다른 들어오는 연결을 허용하지 않는 방화벽(Docker 호스트에서 iptables 사용)을 구성하려고 합니다. 나는 원시 iptables보다 구성하기 쉽고 세트의 자동 재구성도 더 쉽게 허용하기 때문에 ipset에 대해 읽은 내용을 좋아합니다. 하지만 왠지 작동하지 않는 것 같습니다. 포트 443이 열려 있어야 하는데 HTTPS를 통해 연결할 수 없습니다. SSH 연결이 작동합니다(비록 잠금을 시도하지는 않았지...
저는 오랫동안 IPv4에 익숙해져 있었지만 IPv6은 처음 접했습니다. 저는 최근 Fedora 시스템의 특정 포트에 대한 인바운드 IPv6 연결을 허용하기 위해 OpenWRT 라우터에 방화벽 규칙을 추가하고 싶었습니다. 그러나 IPv6 주소는 수시로 변경된다는 점을 이해합니다. 그래서 나는 한 가지를 언급했다.공식 튜토리얼::xxxx:xxxx:xxxx:xxxx/-64그리고 ISP가 제공한 PD로 서브넷 접두사가 변경된 경우에도 OpenWRT 라우터가 항상 내 Fedora를 찾을 수 있도록 음수 넷마스...
여러 노드가 있는 도커 떼가 있습니다. 이들은 wireguard 인터페이스를 통해 연결됩니다. 모든 docker swarm 통신은 wireguard가 제공하는 내부 네트워크 내에서 발생합니다. 아래 예에서 인터넷 연결 인터페이스는 eth0이고 wireguard 인터페이스는 입니다 intr. 스택에 ocks5 프록시를 추가했는데 작성 파일에는 다음과 같습니다. services: proxy: hostname: proxy image: httptoolkit/docker-socks-tunne...
다음과 같은 형식의 nftable 규칙 세트가 있습니다. chain INPUT { type filter hook input priority filter; policy drop; ip saddr 11.37.79.97/29 counter packets 0 bytes 0 log prefix "'**A Log Prefix**'" ct state established,related counter packets 70 bytes 12769 accept ...
Fedora 39 데스크톱 가상 머신에서 실행되는 Ubuntu 22.04 도구 상자에 apache, php 및 mysql을 설치하고 싶습니다. 나는 여기에 제공된 단계별 지침을 따르고 있습니다.협회, 실행 시 방화벽에서 포트를 설정하는 데 문제가 있는 것 같습니다. ⬢[lab@toolbox lab]$ sudo ufw allow in "Apache" WARN: initcaps [Errno 2] iptables v1.8.7 (nf_tables): Could not fetch rule set generat...
나는 다음과 같이 멀티캐스트 패킷을 일치시키는 규칙을 설정했습니다. add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4 filter_4이는 IPv4 테이블이자 new_out4출력 체인이며 multicast_out_4순수 멀티캐스트 트래픽을 처리하는 체인입니다. 관련 없는 부분을 제외한 IPv4 테이블의 전체 그림은 다음과 같습니다. #!/usr/sbin/nft -f add table filter_4 add chain f...
질문은 ~이야마이그레이션서버 장애에 대해서는 Unix & Linux Stack Exchange에서 답변이 가능합니다. ...
Ubuntu Server를 실행하는 홈 서버가 있습니다. 익명성을 위해 VPN 클라이언트가 필요한 일부 서비스를 Docker에서 실행하고 있습니다. Wireguard 클라이언트는 독립형 애플리케이션으로 실행됩니다. SSL을 사용하여 서비스에 액세스하기 위해 traefik을 실행 중인데 훌륭하게 작동합니다. 추가 정보: IP eth0는192.168.178.101 Docker 네트워크가 서브넷 범위 내에 있습니다.172.xx.xx.xx/16 포트 80 및 443은 traefik용으로 전달되는 포트입니다...
이 규칙이 제대로 작동하도록 할 수 없습니다. 내 인터페이스: #WAN auto wan0 iface wan0 inet dhcp #LAN auto lan0.7 iface lan0.7 inet static address 172.17.7.1 netmask 255.255.255.0 vlan-raw-device lan0 #DMZ auto lan0.17 iface lan0.17 inet static address 172.17.17.1 netmask 255.255.255.0...
Kubeadm을 기반으로 하는 Kubernetes 클러스터가 있습니다. Firewalld는 클러스터의 모든 노드에서 실행됩니다. 이론적으로 클러스터의 모든 노드를 통해 액세스할 수 있어야 하는 NodePort 서비스를 통해 nginx 서비스를 노출합니다. Firewalld가 활성화되어 있으므로 하나를 제외한 대부분의 노드에서 서비스에 액세스할 수 없습니다. 컨테이너가 실행 중인 노드입니다. Firewalld가 켜져 있어도 클러스터 전체에서 컨테이너를 호스팅하는 노드의 NodePort 서비스에 액세스할...
내 노트북에서 네트워크 검색을 방지하는 방법을 구현하려고 합니다. 내가 원하는 한 가지는 특정 호스트(예: 내 게이트웨이)에 대한 arp 요청을 허용하는 것입니다. arptable을 사용하여 몇 가지 규칙을 추가했는데 (처음에는) 제대로 작동하는 것 같았습니다. arptables -A OUTPUT -d 192.168.1.30 -j DROP arptables -A INPUT -s 192.168.1.30 -j DROP 이는 호스트에 대한 arp 요청을 효과적으로 차단합니다. 내가 실행하면 : tcp...
RHEL에 Kafka를 설치하기 위한 일부 Ansible을 작성 중이고 서비스가 실행 중이며 네트워크에서 서비스에 액세스할 수 있도록 방화벽을 구성하려고 합니다. 내가 수신 대기 중인 포트를 보면 볼 것으로 예상됩니다 9092. 9093그러나 임의의 고급 포트에 세 번째 포트가 표시됩니다. # ss -lnp | grep java tcp LISTEN 0 50 *:9092 *:* ...
IPv4 ToS 또는 IPv6 트래픽 클래스 바이트만 일치하는 DSCP 부분을 사용할 수 있습니까 ebtables? IPv4 패킷에 대한 일치 옵션과 IPv6 패킷에 대한 일치 옵션이 ebtables있는 것을 확인했습니다 . 내가 이해한 바에 따르면 이는 전체 ToS 또는 트래픽 클래스 바이트(예: 6 DSCP 비트 및 2 ECN 비트)와 일치합니다. DSCP를 구체적으로 일치시키고 설정된 내용에 관계없이 ECN 비트를 무시하려면 DSCP 필드 일치 ( being ) 와 같이 비트 방식이 작동할 것이...
내 시스템 로그는 여러 소스에서 발생한 특정 유형의 수많은 공격으로 가득 차 있습니다. 검색 기능에서 다른 모든 참고 자료를 살펴봤지만 그 중 TCP를 다룬 내용은 하나도 없었고 다양한 출처에서 나온 내용도 없었습니다. Feb 16 02:44:47 server.domain.com kernel: [UFW BLOCK] IN=enp1s0 OUT= MAC=56:00:04:bf:08:21:fe:00:04:bf:08:21:08:00 SRC=198.235.24.14 DST=149.28.234.41 LEN=44 T...