encaminhamento não funciona no iptables de 8006 para 443

Question

encaminhamento não funciona no iptables de 8006 para 443

Navegue suas respostas

#1 resposta do (1 votos)

1

Meu servidor dedicado foi conectado a vmbr0 e tem 2 placas Ethernet eth0 e eth1 suas pontes.

Eu habilitei o encaminhamento com net.ipv4.ip_forward=1 .

Eu quero redirecionar a porta 8006 para a 443.

Agora estou acessando um dos aplicativos da Web na porta 8006, ele deseja redirecionar para o 443 usando iptables .

Atualmente, estou usando essa regra para encaminhar e não está funcionando:

iptables -t nat -I PREROUTING -d 192.168.1.100 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.100:8006

Se eu aplicar essas regras iptables , a página não poderá ser acessada em 192.168.1.100: 8006:

# Default filter

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Loopback allows all.

iptables -I INPUT -i lo -j ACCEPT
iptables -I FORWARD -i lo -j ACCEPT

# Null packets are, simply said, recon packets. see how we configured the VPS and find out weaknesses.

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Reject is a syn-flood attack

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# XMAS packets, also a recon packet

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# Allow all Outgoing connection

iptables -A OUTPUT -j ACCEPT
# Ethernet allows established/related Except invalid.

iptables -A INPUT -i vmbr0 -m state --state ESTABLISHE,RELATED -j ACCEPT
iptables -A INPUT -i vmbr0 -m state --state INVALID -j DROP

# Allow TCP on Port 22 SSH with rate limiting

iptables -A INPUT -i vmbr0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set
iptables -I INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 10 --hitcount 5 -j DROP

# Allow Ping ICMP echo With Limiting

iptables -A INPUT -i vmbr0 -p icmp -m state --state NEW -m icmp --icmp-type echo-request -j ACCEPT
iptables -I INPUT -i vmbr0 -p icmp -m icmp --icmp-type echo-request -m recent --set
iptables -I INPUT -i vmbr0 -p icmp -m icmp --icmp-type echo-request -m recent --update --seconds 10 --hitcount 10 -j DROP

# Allow HTTP Requests for NON-secured 80

iptables -A INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m tcp -j ACCEPT
iptables -I INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m recent --set
iptables -I INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 5 --hitcount 20 -j DROP

# Allow HTTP Requests for SLL 443

iptables -A INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m tcp -j ACCEPT
iptables -I INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m recent --set
iptables -I INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m recent --update --seconds 5 --hitcount 20 -j DROP

# Enabling Logging

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 10/min -j LOG --log-prefix "IPTables-log:" --log-level 4
iptables -A LOGGING -j DROP

# DROP ALL Except Above Rules

iptables -A INPUT -j DROP

port-forwarding iptables

por Babin Lonston 05.07.2014 / 06:28

1 resposta

Tags port-forwarding iptables

Usando ping em várias interfaces em um NIC seção de análise de argumentos padrão

score 1 · Answer 1

Tanto para dizer, mas tão pouco foi perguntado. Se você quiser que uma máquina remota acesse algo na porta 8006, você terá que dizer ao seu firewall para aceitar conexões na porta 8006, mas atualmente você não está.

Observe que sua regra em PREROUTING modifica os segmentos endereçados a 443 e altera o endereço de destino para 8006. Você está redirecionando a porta 443 para a porta 8006. No entanto, você afirma que deseja redirecionar a porta 8006 para 443. Talvez alterando os números em A regra PREROUTING faz o que você quer.

Nota lateral: Você definitivamente precisa refazer seu script de firewall. Ele aparentemente é uma cópia e composição de material que você encontrou em algum lugar na internet. Enquanto estiver trabalhando (agora), isso vai parar de funcionar para você. Por exemplo, você define a política do INPUT como DROP, mas ainda tem iptables -A INPUT -j DROP no final do seu script. Isso é redundante e mostra que você não deu muita atenção ao assunto. Um erro mais crítico é que você habilita o encaminhamento, mas você não tem intenção de encaminhar ... eu acho.