Я пытаюсь настроить iptables на своем сервере LTS Ubuntu 12.04 к порту передачи 443 - 8 443.
Но когда я выполняю эту команду:
sudo iptables -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443
Я получаю следующую ошибку:
iptables: No chain/target/match by that name.
Моя iptables текущая конфигурация:
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:https
DROP tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Что я пропускаю или делаю неправильно?
Поскольку PREROUTING
цепочка принадлежит NAT
таблица, не FILTER
таблица. Если Вы не упоминаете таблицы явно -t
опция, то FILTER
принят.
Так, необходимо упомянуть тип таблицы с -t nat
:
sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443
<час> Примечание, что, MANGLE
и RAW
таблицы также имеют PREROUTING
цепочка, но поскольку Вы перенаправляете порты только, Вы, по-видимому, ищете NAT
таблица.
Цепочка PREROUTING, только доступная для туземного, искажения и необработанных таблиц.
iptables принимает таблицу фильтра, таким образом, необходимо указать один из них, например, iptables -t nat ...
Я получаю подобную ошибку, когда я выполняю команду
docker run -d -p 8084:8080 knockdata/zeppelin-highcharts
d9c5d34f500d621585470b0e70b915395fcb6b3437859e0f610dbb58d51faf25
docker: Error response from daemon: driver failed programming external connectivity on endpoint elegant_jang
(7ca0f5ad689f5443ce7533f66b4a86c34d2dbd9d076bac4812288dd3f6a76698):
iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8084 -j DNAT --to-destination 172.17.0.2:8080
! -i docker0: iptables: No chain/target/match by that name.
(exit status 1).
докера, я смог зафиксировать ее, переустанавливают механизм докера
apt-get remove docker-engine
apt-get install docker-engine
Можно установить (безопасность Сервера Конфигурации & Брандмауэр) и использование следующие настройки.
nano /etc/csf/csf.conf
SYNFLOOD = "" => SYNFLOOD = "1"
CONNLIMIT = "" => CONNLIMIT = "80;75,443;75,21;50”
PORTFLOOD = "" => PORTFLOOD = "80;tcp;5;250"
SYSLOG = “0” => SYSLOG = "1"
DOCKER = “0” => DOCKER = "1"
nano /etc/csf/csfpost.sh
#!/bin/sh
echo "[DOCKER] Setting up FW rules."
iptables -N DOCKER
iptables -t nat -N DOCKER
iptables -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
iptables -t nat -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
# Masquerade outbound connections from containers
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
# Accept established connections to the docker containers
iptables -t filter -N DOCKER
iptables -t filter -A FORWARD -o docker0 -j DOCKER
iptables -t filter -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
# Allow docker containers to communicate with themselves & outside world
iptables -t filter -A FORWARD -i docker0 ! -o docker0 -j ACCEPT
iptables -t filter -A FORWARD -i docker0 -o docker0 -j ACCEPT
echo "[DOCKER] Done."
Примечание: Эта конфигурация также предотвращает Вас от основной DDos-атаки.