Tôi đang thiết lập tường lửa cho máy chủ linux của mình bằng iptables.
để kiểm tra, tôi không thể bảo vệ máy chủ web cục bộ (cổng 8080) khỏi truy cập Internet.
- hệ điều hành
OMV6(6.0.16-1) một linux dựa trên debian
- kết nối:
Internet
|
Máy chủ Linux (pppoe) ---- Bộ định tuyến (pppoe-relay)
|
WorkPC------------------+
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast trạng thái UP nhóm mặc định qlen 1000
liên kết/ether 00:0e:c4:cf:2e:98 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.100/24 brd 192.168.0.255 phạm vi toàn cầu enp2s0
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
liên kết phạm vi inet6 fe80::20e:c4ff:fecf:2e98/64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
3: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1454 qdisc pfifo_fast trạng thái nhóm UNKNOWN mặc định qlen 3
liên kết/ppp
inet x.x.x.x ngang hàng x.x.x.x/32 phạm vi toàn cầu ppp0
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
- Tôi đã thêm các quy tắc để loại bỏ tất cả gói đầu vào khỏi ppp0:
root@lxs:/home/aaa# iptables -L INPUT -vn
Chuỗi INPUT (chính sách CHẤP NHẬN 3625 gói, 1238K byte)
pkts byte đích prot chọn không tham gia đích nguồn
4513 638K CHẤP NHẬN tcp -- * * 192.168.0.0/24 0.0.0.0/0
460 25241 THẢ tất cả -- ppp0 * 0.0.0.0/0 0.0.0.0/0
- giám sát gói tin. Đồng thời truy cập máy chủ web (cổng 8080) từ LTE:
x.x.x.x là địa chỉ ip của ppp0.
root@nas:/home/bjn# tcpdump -i ppp0 -n port 8080
tcpdump: chặn đầu ra dài dòng, sử dụng -v[v]... để giải mã giao thức đầy đủ
nghe trên ppp0, LINUX_SLL kiểu liên kết (Linux cook v1), ảnh chụp nhanh dài 262144 byte
15:59:20.474424 IP 133.106.52.47.65368 > x.x.x.x.8080: Flags [S], seq 1901489667, win 65535, tùy chọn [mss 1300,nop,wscale 5,nop,nop,TS val 3868697852OKr 0,sack,eol] , độ dài 0
15:59:20.474678 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [S.], seq 3559979952, ack 1901489668, win 65160, tùy chọn [mss 1414,sackOK,TS val 3483431673,6wnop 3,897 0
15:59:20.542349 IP 133.106.52.47.65368 > x.x.x.x.8080: Flags [.], ack 1, win 4105, tùy chọn [nop,nop,TS val 3868697925 ecr 3483431673], độ dài 0
15:59:20.558901 IP 133.106.52.47.65368 > x.x.x.x.8080: Flags [P.], seq 1:598, ack 1, win 4105, tùy chọn [nop,nop,TS val 3868697927 ecr 3483431673], độ dài 597: HTTP: NHẬN/HTTP/1.1
15:59:20.559000 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], ack 598, win 505, tùy chọn [nop,nop,TS val 3483431758 ecr 3868697927], độ dài 0
15:59:20.619981 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [P.], seq 1:646, ack 598, win 505, tùy chọn [nop,nop,TS val 3483431819 ecr 3868697927], độ dài 645: HTTP: HTTP/1.1 200 OK
15:59:20.621516 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], seq 646:1934, ack 598, win 505, tùy chọn [nop,nop,TS val 3483431820 ecr 3868697927], độ dài 1288: HTTP
15:59:20.621763 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [.], seq 1934:3222, ack 598, win 505, tùy chọn [nop,nop,TS val 3483431821 ecr 3868697927], độ dài HTTP 1288
15:59:20.621768 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [P.], seq 3222:4510, ack 598, win 505, tùy chọn [nop,nop,TS val 3483431821 ecr 3868697927]8, độ dài HTTP 128
15:59:20.622514 IP x.x.x.x.8080 > 133.106.52.47.65368: Flags [FP.], seq 4510:5152, ack 598, win 505, tùy chọn [nop,nop,TS val 3483431821 ecr 3868697927], độ dài HTTP 642
- Những gì tôi nhận được
bạn có thể thấy truy cập từ Internet không bị chặn.
bất cứ ai có thể giúp đỡ?
