问题标签 [iptables]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
25 回答
332539 浏览

linux - 有没有办法让非 root 进程绑定到 Linux 上的“特权”端口?

对我的开发框有这个限制是非常烦人的,因为除了我之外永远不会有任何用户。

我知道标准的解决方法,但没有一个完全符合我的要求:

  1. authbind(Debian 测试中的版本,1.0,仅支持 IPv4)
  2. 使用 iptables REDIRECT 目标将低端口重定向到高端口(ip6tables 的“nat”表尚未实现,iptables 的 IPv6 版本)
  3. sudo(以root身份运行是我要避免的)
  4. SELinux(或类似的)。(这只是我的开发箱,我不想引入很多额外的复杂性。)

是否有一些简单sysctl的变量允许非 root 进程绑定到 Linux 上的“特权”端口(端口小于 1024),或者我只是运气不好?

编辑:在某些情况下,您可以使用功能来执行此操作。

0 投票
2 回答
2492 浏览

iptables - 您如何通过 ddwrt 从 vpn 连接进行端口转发?

我有一个 ddwrt 路由器 v24 并构建了一些东西。我可以用它连接到我的 vpn,给我一个没有问题的 ip (192.168.10.200)。我想将 8080/tcp 从 vpn ip/接口转发到我的内部局域网 10.0.0.50:80。

我已经尝试了几乎所有我能想到的 iptables 命令,但仍然没有运气。感觉问题在于事情不是从 ppp0 遍历到 lan 的。看起来这应该很简单,但事实并非如此。谢谢。

至今:

iptables -t nat -I PREROUTING -p tcp -d 192.168.10.200 --dport 8080 -j DNAT --to 10.0.0.50:80

iptables -I FORWARD -p tcp -d 10.0.0.50 --dport 80 -j ACCEPT

0 投票
1 回答
3676 浏览

linux - 为什么我的 iptables 条目不阻止 ping Xen 虚拟机?

我正在编写一个 bash 脚本来为 Xen 添加简单的防火墙。

这是实际的防火墙配置:

我想为我的每个虚拟机添加一个新链(每个虚拟机都有一个名为 vif1.0、vif2.0 等的虚拟接口)。输出接口(桥接)是xenbr0。

这是我所做的(例如阻止 ping 'in'to domU1, vif1.0):

但是..它不起作用,我仍然能够ping入/出domU。

一定是真的“愚蠢”,但我不知道出了什么问题。

有什么线索吗?

谢谢

0 投票
3 回答
474 浏览

networking - 透明代理 telnet 流量?

我们编写了一个工具来代理 telnet 流量,并分叉入站/出站流以进行记录(这是一个测试遗留系统的测试工具)。然而,我们遇到了障碍。在某些情况下,遗留系统依赖于知道客户端的 IP 地址,但是当我们使用代理时,客户端的地址全部更改为代理的地址。由于我们控制遗留系统用作网关的机器,我想知道是否没有某种方法可以通过 iptables 或其他一些数据包处理技术来欺骗它。所以,换句话说,没有代理我们有:

使用代理我们得到:

我们需要的:

有没有办法做到这一点?

谢谢!

0 投票
2 回答
5080 浏览

linux - Linux iptables TRIGGER 目标描述

我正在编写控制 Linux 防火墙的应用程序(使用 iptables)。我需要实现一些端口触发。有似乎适合它的 TRIGGER 目标。但是,我找不到它的好文档(实际上很难找到这个目标的任何文档)。有人可以将我重定向到有关 iptables 的 TRIGGER 目标的任何信息吗?

0 投票
1 回答
311 浏览

firewall - ip6tables 有 connlimit 模块吗?

有谁知道是否有可用于 ip6tables 的 connlimit 模块?请告诉我。

谢谢,肯尼斯

0 投票
1 回答
27111 浏览

linux - iptable 规则以丢弃有效载荷中具有特定子字符串的数据包

我正在尝试编写规则来丢弃任何数据包,无论它是传出、传入还是转发,它在 TCP 或 UDP 有效负载中具有特定的子字符串。

我该怎么做?

0 投票
2 回答
3284 浏览

linux-kernel - 使用 iptables 丢弃具有匹配字符串的数据包会丢弃所有不匹配的后续数据包

我正在尝试在应用层编写蠕虫过滤实用程序。

我已经设置了以下规则来丢弃带有特定子字符串的 tcp 数据包。

iptables -A INPUT -p tcp -m string --string "test" -j DROP --algo kmp

但是,一旦找到具有匹配字符串的数据包,所有后续数据包,即使字符串不匹配也会被丢弃,直到我从 iptable 刷新规则。

我想知道为什么会发生这种情况以及解决方案是什么。

谢谢

0 投票
3 回答
4644 浏览

linux-kernel - iptables 和 libpcap

我已设置规则以丢弃具有匹配字符串的 udp/tcp 数据包。但是,我使用 libpcap 捕获数据包的程序仍然能够看到这个数据包。

为什么是这个/,在libpcap看到之前丢弃数据包的iptable规则应该是什么?

无论如何,也许除了 iptables 规则之外,在 libpcap/tcpdump 看到它之前丢弃这个数据包?

0 投票
1 回答
290 浏览

linux - 使用 htb qdiscs 上传优先级以给予 slingbox 高优先级

我正在尝试使用以下命令将 slingbox 连接设置为 1:20 类:

iptables -t mangle -A to-cable -p tcp --dport 5001 -j CLASSIFY --set-class 1:20 iptables -t mangle -A to-cable -p tcp --sport 5001 -j CLASSIFY --set- 1:20 班

我还有其他用于 ssh、http 和新闻的类相关命令。

我使用命令“tc -s class ls dev eth0”来查看发生了什么,即使我连接到 slingbox,也没有通过 1:20 类的数据传输。其余端口(ssh、http、news)通过类正确转发。

有没有更好的方法来捕捉 slingbox 数据传输?