Вопросы Теги

Новички вопрос о IPTables

yourcommand | findstr "blah" > nul 2>&1
if not errorlevel 1 (
    :: do something
) else (
    echo Failed!
)
1
задан 11 March 2011 в 11:54
2 ответа

Первое правило примет любые входящие соединения во внешнем интерфейсе (принятый от $EXTIF) на любом исходном адресе к внешнему IP-адресу, если состояние пакета будет УСТАНОВЛЕНО или СВЯЗАНО. Это означает, что НОВЫЕ пакеты не будут позволены через. Возможный пример использования для этого - то, если Вам получили НОВЫЙ пакет через некоторое другое правило.

Вам, возможно, понадобится СВЯЗАННОЕ состояние в HTTP/HTTPS для пакетов в TIME_WAIT, но я не уверен в этом.

С Вашим третьим вопросом ВПЕРЕД правило, передает пакеты к внутреннему интерфейсу (снова, принятый), вероятно, для туннельного интерфейса, другого хоста или подобный.

Из того, что я читал, conntrack удерживается от использования и теперь заменяется nf_conntrack по причинам, которые я не знаю.

0
ответ дан 4 December 2019 в 10:29 
-A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Это правило позволяет пакеты, вводящие Внешний IP и предназначенный для самого поля брандмауэра (не подвергающийся NAT) ниоткуда, пока состояние УСТАНОВЛЕНО (т.е. ответ на исходящий пакет) или СВЯЗАНО (например, сообщение ICMP об ошибке относительно исходного исходящего пакета, как 'desination недостижимый')

-A INPUT -i $EXTIF -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP --dport 80 -j ACCEPT
-A INPUT -i $EXTIF -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp -s $UNIVERSE -d $EXTIP --dport 443 -j ACCEPT

НОВЫЙ, УСТАНОВЛЕННЫЙ и СВЯЗАННЫЙ практически покрывает 99% возможного пакета к портам 80 и 443. Как ранее, СВЯЗАННОЕ главным образом используется для соответствия сообщениям ICMP об ошибке.

-A FORWARD -i $EXTIF -o $INTIF -m conntrack --ctstate ESTABLISHED,RELATED  -j ACCEPT

INPUT правило выше пакета соответствий, предназначенного к самому полю брандмауэра. FORWARD правило позволяет пакеты, которые не предназначены к самому полю брандмауэра, но к хосту во внутренней сети. Значение УСТАНОВЛЕННЫХ и СВЯЗАННЫХ совпадает с прежде.

Кроме того, когда я делаю lsmod I видит nf_conntrack и nf_conntrack_ftp. Я должен все еще использовать-m conntrack или-m nf_conntrack?

Да. nf_conntrack и nf_conntrack_ftp модули являются предпосылками для -m conntrack работать. Это будет загружено автоматически iptables в первый раз -m conntrack встречен.

Нет такой вещи как -m nf_conntrack.

0
ответ дан 4 December 2019 в 10:29

Теги

Похожие вопросы