Вопросы Теги

iptables & amp; nmap на ubuntu

Я хотел добавить комментарий, указывающий на этот ответ, но, поскольку, по-видимому, у меня недостаточно репутации, я продублирую его здесь как собственный ответ: RegExr - лучший инструмент, который я когда-либо использовал для обработки текста с использованием регулярных выражений. Это даже объяснит вам каждую часть регулярного выражения!

Это онлайн-инструмент, но есть этот ответ . Это использует Adobe AIR, который был прекращен для Linux, поэтому вам, возможно, потребуется установить его, следуя этим превосходным пошаговым инструкциям. После этого загрузите файл .air на страницу рабочего стола RexExr, указанную выше, и вы сможете открыть его с помощью установщика AIR. Затем отредактируйте!

1
задан 11 October 2010 в 20:38

18 ответов

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как говорят люди, в ваших правилах брандмауэра есть специальные исключения для облачного сервера (-A INPUT -i lo -j ACCEPT) или ваш аппарат «airtelbroadband» (сценарий, который вы запускаете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ с вашего «airtelbroadband», host (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 443 -j ACCEPT
$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 3306 -j ACCEPT

Предупреждение: очень, отличный IP-адрес очень прост чтобы заблокировать себя из работающего хоста, возившись с правилами брандмауэра, особенно с автоматизированными сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 26 May 2018 в 01:08
  • 1
    да, вы правы. Скрипт, разрешающий все мое имя домена dyndns. Невозможно разрешить только выбранные порты ?. – user3215 12 October 2010 в 06:10
  • 2
    @ user3215 Да, это возможно. Я обновил ответ с помощью некоторых инструкций эскиза. – Riccardo Murri 12 October 2010 в 11:25
  • 3
    Я надеюсь, что это действительно работает, что вы предложили, но все равно боитесь этого и проверяете, есть ли альтернативный способ сделать то же самое без какого-либо риска. Для iptables я использую «iptables-apply -t 1800 /etc/iptables.rules», чтобы избежать неправильной настройки. – user3215 12 October 2010 в 12:13
  • 4
    @ user3215 Да, но вы не можете использовать iptables-restore для таблицы dynamichosts, так как IP-адрес в этой таблице меняется - это причина использования сценария cron в первую очередь. – Riccardo Murri 12 October 2010 в 12:50
  • 5
    Как насчет того, использовать ли вариант drop, как " $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 21 -j DROP " просто добавляя такие правила в конце скрипта – user3215 12 October 2010 в 13:51

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как говорят люди, в ваших правилах брандмауэра есть специальные исключения для облачного сервера (-A INPUT -i lo -j ACCEPT) или ваш аппарат «airtelbroadband» (сценарий, который вы запускаете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ с вашего «airtelbroadband», host (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста:

$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 22 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 80 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 443 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 3306 -j ACCEPT

Предупреждение: очень, отличный IP-адрес очень прост чтобы заблокировать себя из работающего хоста, возившись с правилами брандмауэра, особенно с автоматизированными сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 25 July 2018 в 23:07

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как говорят люди, в ваших правилах брандмауэра есть специальные исключения для облачного сервера (-A INPUT -i lo -j ACCEPT) или ваш аппарат «airtelbroadband» (сценарий, который вы запускаете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ с вашего «airtelbroadband», host (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста:

$IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 22 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 80 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 443 -j ACCEPT $IPTABLES -A $CHAIN -s $IP/32 -p tcp --dport 3306 -j ACCEPT

Предупреждение: очень, отличный IP-адрес очень прост чтобы заблокировать себя из работающего хоста, возившись с правилами брандмауэра, особенно с автоматизированными сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 27 July 2018 в 02:52

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 2 August 2018 в 04:27

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 4 August 2018 в 21:00

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 6 August 2018 в 04:32

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 7 August 2018 в 22:41

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 10 August 2018 в 10:47

Это тот же вопрос, что и https://serverfault.com/questions/188550/iptables-nmap-on-ubuntu

Как показывают люди, ваши правила брандмауэра имеют особые исключения для самого облачного сервера ( -A INPUT -i lo -j ACCEPT ) или ваш компьютер «airtelbroadband» (сценарий, который вы используете, разрешает весь трафик с выбранного IP-адреса dyndns).

Итак, вам нужно запустить nmap с другого IP-адреса (например, просто использовать другую машину в облаке)

Если вы хотите ограничить доступ со своего хоста «airtelbroadband» (например, для целей тестирования), вы можете заменить последнюю строку в вашем скрипте на список правил, которые вы хотите применить. Например, следующие строки будут разрешать только соединения SSH, HTTP / HTTPS и MySQL с вашего домашнего хоста: 

  $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport  22 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 80 -j ПРИНИМАЕТ $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 443 -j ПРИНИМАЕТ $ IPTABLES  -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 3306 -j ACCEPT

Предупреждение: очень, очень, очень легко заблокировать самостоятельно из хоста, вступая в конфликт с правилами брандмауэра, особенно с автоматическими сценариями. Вместо этого рассмотрите тестирование с третьего хоста.

1
ответ дан 13 August 2018 в 17:21
  • 1
    да, вы правы. Скрипт, разрешающий все мое имя домена dyndns. Невозможно разрешить только выбранные порты ?. – user3215 12 October 2010 в 06:10
  • 2
    @ user3215 Да, это возможно. Я обновил ответ с помощью некоторых инструкций эскиза. – Riccardo Murri 12 October 2010 в 11:25
  • 3
    Я надеюсь, что это действительно работает, что вы предложили, но все равно боитесь этого и проверяете, есть ли альтернативный способ сделать то же самое без какого-либо риска. Для iptables я использую «iptables-apply -t 1800 /etc/iptables.rules», чтобы избежать неправильной настройки. – user3215 12 October 2010 в 12:13
  • 4
    @ user3215 Да, но вы не можете использовать iptables-restore для таблицы dynamichosts , так как IP в этой таблице меняется - это причина использования скрипта cron в первое место. – Riccardo Murri 12 October 2010 в 12:50
  • 5
    Как насчет того, использую ли я вариант drop, как & quot; $ IPTABLES -A $ CHAIN ​​-s $ IP / 32 -p tcp -dport 21 -j DROP & quot; просто добавляя такие правила в конце скрипта – user3215 12 October 2010 в 13:51

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules. Обратите внимание, что совпадение ACCEPT all -- anywhere anywhere позволит что угодно.

Вы, вероятно, захотите добавить что-то в /etc/rc.local, чтобы позвонить iptables-restore < /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 26 May 2018 в 01:08
  • 1
    Сценарий создает новую цепочку, называемую «dynamichosts». Невозможно ли добавить некоторые правила, чтобы он допускал только указанные в этой цепочке порты. – user3215 12 October 2010 в 06:06
  • 2
    ACCEPT all -- anywhere anywhere вызвано правилом -A INPUT -i lo -j ACCEPT: он будет принимать что угодно, но только из интерфейса lo. К сожалению, ограничения на уровне интерфейса не отображаются на регулярном выходе iptables. – Riccardo Murri 12 October 2010 в 11:13

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules. Обратите внимание, что совпадение ACCEPT all -- anywhere anywhere позволит что угодно.

Вы, вероятно, захотите добавить что-то в /etc/rc.local, чтобы позвонить iptables-restore < /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 25 July 2018 в 23:07
  • 1
    Сценарий создает новую цепочку, называемую «dynamichosts». Невозможно ли добавить некоторые правила, чтобы он допускал только указанные в этой цепочке порты. – user3215 12 October 2010 в 06:06
  • 2
    ACCEPT all -- anywhere anywhere вызвано правилом -A INPUT -i lo -j ACCEPT: он будет принимать что угодно, но только из интерфейса lo. К сожалению, ограничения на уровне интерфейса не отображаются на регулярном выходе iptables. – Riccardo Murri 12 October 2010 в 11:13

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules. Обратите внимание, что совпадение ACCEPT all -- anywhere anywhere позволит что угодно.

Вы, вероятно, захотите добавить что-то в /etc/rc.local, чтобы позвонить iptables-restore < /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 27 July 2018 в 02:52
  • 1
    Сценарий создает новую цепочку, называемую «dynamichosts». Невозможно ли добавить некоторые правила, чтобы он допускал только указанные в этой цепочке порты. – user3215 12 October 2010 в 06:06
  • 2
    ACCEPT all -- anywhere anywhere вызвано правилом -A INPUT -i lo -j ACCEPT: он будет принимать что угодно, но только из интерфейса lo. К сожалению, ограничения на уровне интерфейса не отображаются на регулярном выходе iptables. – Riccardo Murri 12 October 2010 в 11:13

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 2 August 2018 в 04:27

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 4 August 2018 в 21:00

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 6 August 2018 в 04:32

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 7 August 2018 в 22:41

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 10 August 2018 в 10:47

На основании вывода вашего iptables -L кажется, что ничего не читает ваш файл /etc/iptables.rules . Обратите внимание, что ПРИНИМАЕТ все - где угодно совпадение позволит что угодно.

Возможно, вы захотите добавить что-то к /etc/rc.local для вызова iptables-restore & lt; /etc/iptables.rules. Будьте осторожны, вы не блокируете себя из своей системы. :

)
1
ответ дан 13 August 2018 в 17:21
  • 1
    Сценарий создает новую цепочку, называемую «dynamichosts». Невозможно ли добавить некоторые правила, чтобы он допускал только указанные в этой цепочке порты. – user3215 12 October 2010 в 06:06
  • 2
    ПРИНИМАЕТ все - где угодно из-за правила -A INPUT -i lo -j ACCEPT : он примет что угодно, но только из lo . К сожалению, ограничения уровня интерфейса не отображаются на регулярном выходе iptables . – Riccardo Murri 12 October 2010 в 11:13

Другие вопросы по тегам:

Похожие вопросы: