어디에서든 인바운드 HTTP 및 HTTPS를 허용하고 특정 IP 세트에서 SSH를 허용하며 다른 들어오는 연결을 허용하지 않는 방화벽(Docker 호스트에서 iptables 사용)을 구성하려고 합니다. 나는 원시 iptables보다 구성하기 쉽고 세트의 자동 재구성도 더 쉽게 허용하기 때문에 ipset에 대해 읽은 내용을 좋아합니다. 하지만 왠지 작동하지 않는 것 같습니다. 포트 443이 열려 있어야 하는데 HTTPS를 통해 연결할 수 없습니다. SSH 연결이 작동합니다(비록 잠금을 시도하지는 않았지...
무차별 공격으로부터 서버를 보호하기 위해 Debian 12에 failure2ban, ipset 및shorewall을 설치했습니다. 규칙을 변경하고 Shorewall을 다시 시작하면 fooX**** 테이블이 ipset에 생성됩니다. Astra Linux(Debian 10 기반)에서도 이 문제가 발생했습니다. Ubuntu 20에도 서버가 있습니다. 거기엔 그런 문제가 없어요 이렇게 구성됨 실패2반/jail.d/main.conf [ssh] enabled = true filter = sshd banactio...
ipset v7.1, 프로토콜 버전: 7 'ipset add white_list_net_port 128.0.0.0/1,udp:443-444'를 실행하면 시스템에서 'ipset v7.1: 해시가 가득 차서 더 많은 요소를 추가할 수 없습니다'라고 보고합니다.white_list_net_port 요소들로 채워져 있습니다. 하지만 'ipset add white_list_net_port 128.0.0.0/1,udp:443' 및 'ipset add white_list_net_port 128.0.0.0/1,udp...
최근 Ubuntu 20.04 상자에서 fail2ban다음 오류가 발생했습니다. 2023-07-13 06:57:05,129 fail2ban.actions [3063]: NOTICE [nginx-http-auth] Ban 2600:1005:b02d:3b6a:c1e:4a7e:6a9f:ccc4 2023-07-13 06:57:05,151 fail2ban.utils [3063]: ERROR 7f106882c6c0 -- exec: ipset create f2b-nginx-http...
여기에는 고급 프로그래머가 있지만 모든 프로그래밍 언어에 비해 작업을 어렵게 만드는 Linux 네트워크 제한이 싫습니다. 사실 난 해야 해정책 기반 라우팅특정 LAN IP 주소가 특정 발신 인터페이스(예: eth5)를 선택하도록 허용합니다. 내 경우에는 ipset조차도 충분히 강력하지 않았습니다. 첫 번째 옥텟이 "10"이고 마지막 옥텟이 "9"로 끝나는 모든 LAN IP를 허용하고 싶습니다. 이것은 10.*.*.??9또는 자바스크립트 일 것입니다.if(ip.match("\10\..*\.(\d+9|9...
recentiptables 모듈과 iptables 모듈의 실제 차이점은 무엇입니까 ipset? 최근 모듈은 서브넷이 아닌 IP만 허용하는 것으로 알고 있습니다 ipset. 그러나 그 외에 주요 실제 차이점은 무엇입니까? 성능인가요? 이 중 어느 것을 사용해야 합니까? ...
따라서 Kenetic Hopper는 Entware와 파트너십을 맺었습니다. 선택적 라우팅을 위해 여러 스크립트를 작성했습니다. 이러한 스크립트는 모두 잘 작동하고 런타임 오류도 없으며 라우팅도 잘 작동합니다. Wireguard를 통한 Ping은 잘 작동하지만 브라우저에 들어가면 문제가 있고 모든 것이 매우 느립니다. 솔직히 문제가 무엇인지 모르겠습니다. 유일한 것은 스크립트를 끄고 웹 인터페이스에서 wireguard를 우선 연결로 설정하면 모든 트래픽이 아무런 문제나 지연 없이 정상적으로 wiregu...
이것은 라우터에 있습니다. 나는 hash:net 유형의 ipset인 $mac클라이언트의 MAC을 가지고 있습니다. $set내 의도는 네트워크에 액세스할 수 있는 사람을 제외한 모든 네트워크에 대한 액세스를 거부하는 것입니다 $set.$mac -A lan_forward -m mac ! --mac-source $mac -m set --match-set $set dst -j REJECT 그러나 이것은 작동하지 않습니다. $setMAC 주소가 무엇이든 상관없이 모든 사람을 차단합니다. 문제가 무엇입니까? ...
나는 달리고 Debian 8.11있고 iptables v1.4.21.ipset v6.23, protocol version: 6 작은 호스트 하위 집합을 제외한 모든 호스트에서 특정 포트에 대한 액세스를 차단하려고 하는데 작동하지 않는 것 같습니다. 먼저 작은 IP 주소 집합을 ipset이라는 목록 에 넣었습니다 allowed-hosts. 그런 다음 실행 후 다음 명령을 실행합니다 sudo /sbin/iptables -F.sudo /sbin/iptables -X sudo /sbin/iptables -I...
을 사용하고 있습니다 Debian 8 linux. 일부 IP 주소 그룹을 제외하고 대부분의 IP 주소에서 몇 개의 포트로 들어오는 액세스를 차단하려고 합니다. 다음을 수행하고 있지만 작동하지 않는 것 같습니다. % sudo /sbin/iptables -v -A INPUT -p tcp -m set '!' --match-set allow-list src -m multiport --dports 110,143,993,995 -j DROP 에 없는 IP 주소에서 이러한 포트에 액세스하려고 시도할 때마다 al...
저는 종속 포털(예, 또 하나의 포털을 구축 중입니다. ;)) 이제 핵심 기능인 iptables 규칙을 처리하려고 합니다. 이를 바탕으로 ipsetname이라는 유효한 Mac 주소 목록이 있습니다 allow-mac. 이것은 현재 구성입니다(질문 자체 제외). echo 1 >/proc/sys/net/ipv4/ip_forward ipset create allow-mac hash:mac counters ipset add allow-mac XX:XX:XX:XX:XX:XX IPT="/usr/sbin/...
ipset 및 규칙 일치를 사용하여 iptables 규칙을 작성하려고 합니다.소스 코드또는목적지(아니면 둘다). 이것 iptables -A FORWARD -m set --match-set <name_of_ipset> src,dst -j DROP 하다아니요둘 다에만 작동하기 때문에 작동합니다.소스 코드그리고목적지모두 거기에 있습니다IP 세트 이름. 나는 규칙을 두 배로 늘릴 수 있다는 것을 안다. iptables -A FORWARD -m set --match-set <name_of_i...
블랙리스트에 있는 ipv6 주소를 차단할 수 있는 미리 만들어진 스크립트를 찾고 있습니다.https://github.com/trick77/ipset-blacklist스크립트. 스크립트는 완벽하지만 ipv6를 차단할 수는 없습니다. 감사해요! 로버트 ...
ipset에 저장된 IP 주소 화이트리스트가 있습니다. 화이트리스트에 없는 모든 IP가 즉시 제거되고 체인 아래의 모든 규칙이 고려되지 않는 입력 체인에 대한 iptables 규칙을 만들고 싶습니다. IP가 화이트리스트의 주소와 일치하면 체인을 따라 계속 진행되어 다른 규칙을 확인합니다. 화이트리스트를 기반으로 기본 정책 DROP 및 ALLOW 규칙을 설정하면 화이트리스트에 없는 IP 주소가 체인의 다른 규칙과 비교되어 해당 기준에 따라 허용될 수 있지만 이는 원하지 않습니다. 또한 화이트리스트 규칙...
내 방화벽은 ipset을 사용하고 있습니다. 설정 유형 "nethash"를 사용하여 생성됩니다. 결과적으로 이 목록에는 개별 IP 주소만 포함되므로 "iphash" 설정 유형이 더 효율적이 됩니다(어쨌든 매뉴얼 페이지에 따르면). 현재 목록을 올바른 세트 유형이 있는 새 목록으로 바꾸려고 시도했지만 분명히 허용되지 않습니다. 또한 다른 설정으로 다시 생성하기 위해 현재 목록을 삭제하려고 시도했지만 방화벽에서 사용하고 있습니다. --swap ipset을 강제하는 방법이 있습니까? 아니면 기존 컬렉션을 ...