Tham gia Đăng nhập
Điểm:0
Joe avatar Server

debian dưới dạng gatway chặn cổng từ ip

lá cờ cn
Joe

Tôi có một số ip công khai phía sau bộ định tuyến debian được kết nối với vms. Tôi muốn một ip cụ thể không thể sử dụng cổng 25 gửi đi.

Tôi đã thử /sbin/iptables -A OUTPUT -o ens19 -p tcp --destination-port 25 -s xxx.xxx.xxx.xxx -j DROP cùng với một số tổ hợp lệnh khác nhưng tôi không thể làm cho nó hoạt động. Nó sẽ chặn tốt các cổng đi trên bộ định tuyến nhưng không chặn được các hệ thống đằng sau nó.

41
1 + 1
uww
lá cờ in
NiKiZe
Có bất kỳ lưu lượng truy cập đi nào từ các máy chủ cũng đi qua bộ định tuyến deb của bạn không? `iptables -A FORWARD -p tcp --destination-port 25 -s xxx.xxx.xxx.xxx -j DROP` Lưu ý FORWARD và không -o
0
Hồi đáp
Điểm:1
avatar Server
lá cờ in
NiKiZe

ĐẦU RA là từ chính máy, để chặn lưu lượng được chuyển tiếp, bạn cần PHÍA TRƯỚC như trong:

iptables -A FORWARD -p tcp --dport 25 -s xxx.xxx.xxx.xxx -j DROP

Cũng bỏ qua -o ens vì bạn có thể muốn chặn cổng 25 khỏi IP đó, bất kể nó xuất hiện trên giao diện nào và cũng có một số vị trí trong bảng mà một số thông tin không có sẵn, càng ít thông số kỹ thuật thì càng ít xảy ra sai sót.

0 + 9
Joe avatar
lá cờ cn
Joe
Tôi vừa thử cách này nhưng có vẻ như nó không chặn được. Chính sách chuyển tiếp mặc định của tôi là chấp nhận?
0
Hồi đáp
lá cờ in
NiKiZe
Trước tiên, bạn có thể thực sự muốn kiểm tra xem có bất kỳ lưu lượng truy cập nào thực sự đi qua bộ định tuyến của mình hay không, đồng thời kiểm tra các quy tắc của bạn và bạn không có bất kỳ quy tắc nào khác trước quy tắc này.
0
Hồi đáp
Joe avatar
lá cờ cn
Joe
Nó phải đi qua bộ định tuyến đó để truy cập internet rộng hơn. Dán là kết quả của iptables -L https://pastebin.com/BmLARLBb (Tôi đã thử nghiệm nó với cổng 80 để đảm bảo quy tắc đang hoạt động).
0
Hồi đáp
lá cờ in
NiKiZe
`iptables -vnL` hãy cố gắng tìm một quy tắc được đánh, chẳng hạn như `iptables -A FORWARD -s x.x.x.x -j ACCEPT`
0
Hồi đáp
Joe avatar
lá cờ cn
Joe
-vnl tạo ra kết quả hầu như giống nhau. https://pastebin.com/bKGgGzpw cài đặt chuyển tiếp được thực hiện bằng cách chỉnh sửa tệp /etc/sysctl.conf không nằm trong iptables.
0
Hồi đáp
Joe avatar
lá cờ cn
Joe
Với quy tắc chuyển tiếp bổ sung, nó hiển thị dưới dạng xử lý dữ liệu. https://Pastebin.com/LzQR3azw
0
Hồi đáp
Joe avatar
lá cờ cn
Joe
Tôi nghĩ rằng tôi đã sửa nó. Thay vì --dport tôi đã đổi nó thành --sport.
0
Hồi đáp
lá cờ in
NiKiZe
`--sport` là cổng nguồn, điều đó không thực sự có ý nghĩa, thể thao trong hầu hết các trường hợp là ngẫu nhiên, Bạn có chắc là mình đang cố chặn đúng hướng không?
0
Hồi đáp
Joe avatar
lá cờ cn
Joe
--sport có chặn theo hướng đi hoặc đến không? Dport không làm gì cả.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.