- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
有我的测试 nft 规则集 ,除了 table inet test 之外的所有工作,但表 f2b-table 绝对相似(除了 drop vs接受)并且它工作正常:
table inet f2b-table {
set addr-set-sshd {
type ipv4_addr
elements = { 0.0.0.0 }
}
chain input {
type filter hook input priority filter - 1; policy accept;
tcp dport { 222 } ip saddr @addr-set-sshd drop
}
}
table inet default {
set full_op_port {
type inet_service
elements = { 222 }
}
set allowed_ips {
type ipv4_addr
elements = { 0.0.0.0 }
}
chain INPUT {
type filter hook input priority filter; policy drop;
ct state invalid drop
ct state { established, related } accept
iif "lo" accept
tcp dport @full_op_port accept
ip saddr @allowed_ips accept
ip protocol icmp accept
counter packets 17 bytes 884
}
chain FORWARD {
type filter hook forward priority filter; policy drop;
}
chain OUTPUT {
type filter hook output priority filter; policy accept;
}
}
table ip test {
chain PREROUTING {
type nat hook prerouting priority filter; policy accept;
}
chain POSTROUTING {
type nat hook postrouting priority srcnat; policy accept;
}
chain FORWARD {
type filter hook forward priority filter; policy drop;
}
}
table inet test {
set op_port {
type inet_service
elements = { 8888 }
}
chain INPUT {
type filter hook input priority filter - 2; policy accept;
tcp dport @op_port accept
}
}
我在 tcpdump 中看到包,当我在表 表 inet 测试 中进行 计数 时我看到包,但包不被接受。我做错了什么?
最佳答案
我在这里添加了另一个带有示例的答案,以阐明将策略与相同系列、类型和 Hook 的多个基础链混合使用的意外后果。尽管可以使这些优先级相同,但永远不应该。较低的优先级数字意味着较高的优先级,将首先运行。错误地应用丢弃策略可能会对您打算接受的流量造成意想不到的后果。
关于将混合系列 inet 与 ip 和 ip6 混合使用的效果,我什至不会开始自以为是,只能说这可能是个坏主意。
警告:这些示例可怕地破坏了 ipv4 流量并且是在 VM 上执行的 - 买家当心!
错误丢弃策略的示例:
table inet filter {
chain input1 {
type filter hook input priority filter + 1; policy drop;
tcp dport 80 log prefix "input1_" # SEEN
}
# input2 chain not evaluated as there is no traffic left after input1
chain input2 {
type filter hook input priority filter + 2; policy accept;
tcp dport 80 accept
tcp dport 80 log prefix "input2_"
}
}
一个 ok drop 策略的例子:
table inet filter {
chain input1 {
type filter hook input priority filter + 1; policy accept;
tcp dport 80 log prefix "input1_" # SEEN
}
chain input2 {
type filter hook input priority filter + 2; policy drop;
tcp dport 80 accept
tcp dport 80 log prefix "input2_" # NOT SEEN due previous accept
}
}
错误接受策略的示例:
table inet filter {
chain input1 {
type filter hook input priority filter + 1; policy accept;
tcp dport 80 accept
tcp dport 80 log prefix "input1_" # NOT SEEN due to previous accept
}
chain input2 {
type filter hook input priority filter + 2; policy drop;
tcp dport 80 log prefix "input2_" # SEEN - chain evaluates
# all traffic dropped here by policy including accepted input1 traffic
}
}
一个好的接受策略的例子:
table inet filter {
chain input1 {
type filter hook input priority filter + 1; policy accept;
tcp dport 80 log prefix "input1_" # SEEN
}
chain input2 {
type filter hook input priority filter + 2; policy drop;
tcp dport 80 accept
tcp dport 80 log prefix "input2_" # NOT SEEN due to previous accept
}
}
如 nft 的手册页所述,按规则或策略进行的丢弃会立即丢弃,而无需进一步处理优先级较低的基础链。接受不。它会将当前优先级的剩余规则短路并移交给下一个优先级较低的规则,但如果没有规则可以接受,它仍然会被规则显式丢弃或被策略隐式丢弃。
也许实现它的最简单方法是使用单个基础链并跳转/转到非基础链,这与 iptables 的工作方式非常有效。
关于firewall - 如何在其他表 nftables 中创建第二个输入链?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64801304/
RFC 5780对于 STUN,为服务器发送回请求客户端的 STUN 消息响应定义了 Response-Origin 属性。 它描述为: The RESPONSE-ORIGIN attribute i
我正在关注 excellent french course专为 symfony 4 设计并开始适应 symfony 5。 我正在尝试在用户进入管理/注销路由时创建重定向路由。根据Symfony 5 o
在机器上运行的防火墙是否只阻止来自该机器外部的东西,或者它们是否阻止通过端口进行通信的机器上的进程之间的通信? 具体来说,我正在编写一个 Windows 服务,它将为机器上的其他进程公开一个 http
我需要实现一个UDP协议(protocol)。 PC 必须在专用 UDP 端口上监听传入数据包。它还发送数据包(应答)。该应用程序在 Windows XP、7、8、...上运行。 Windows 防火
我知道我可以使用netsh advfirewall firewall add rule或wf.msc创建新的防火墙规则;但是当我以这种方式创建规则时,它将没有 groupName ,因此我无法同时管理
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 8年前关闭。 Improve this q
我们可以手动或以编程方式更改或优先选择一个 Windows 防火墙规则而不是其他规则吗? 实际上,我添加了一个防火墙规则来阻止所有出站流量。然后我又添加了一个关于应用程序的防火墙出站规则,我可以在出站
我有一个相当大的应用程序,它使用 MSDTC。我应该打开多少个端口?有什么办法可以确定吗? 编辑:我知道 什么 我需要打开的端口,我不知道多少我需要。 最佳答案 我想 Migol 想知道 RPC dy
Closed. This question is opinion-based。它当前不接受答案。 想改善这个问题吗?更新问题,以便editing this post用事实和引用来回答。 6年前关闭。
我的防火墙当前处于非事件状态。 # systemctl status firewalld firewalld.service Loaded: masked (/dev/null) Ac
安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd --zon
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 12年前关闭。 Improve this qu
我正在尝试从 firewall-cmd 中删除一些丰富的规则,它似乎有效: firewall-cmd --remove-rich-rule 'rule family="ipv4" source
我们有一个应用程序可以在我们客户的(Windows 操作系统/PC)计算机上自动安装自身的升级。它是轻量级的 (650K),可以为我们的客户完成一项非常具体的任务,帮助我们为他们收集数据,作为我们为客
我已为 Azure 存储帐户启用虚拟网络和防火墙访问限制,但遇到问题,即我无法从 Azure Functions(ASE 环境)访问存储帐户,尽管事实上 ASE 公共(public)地址已添加为异常(
有我的测试 nft 规则集 ,除了 table inet test 之外的所有工作,但表 f2b-table 绝对相似(除了 drop vs接受)并且它工作正常: table inet f2b-tab
我需要查询、修改、添加、删除规则。我还没有找到任何 API 来执行此操作。 我发现的最接近的是 pfctl 工具,它使用 pfctl -s 和 pfctl -f 来转储规则、修改并重新添加它们。我考虑
有我的测试 nft 规则集 ,除了 table inet test 之外的所有工作,但表 f2b-table 绝对相似(除了 drop vs接受)并且它工作正常: table inet f2b-tab
我想在端口 80 上捕获所有要发送到转发地址的 tcp 数据包,并将它们传递给用户空间程序进行修改。我知道如何使用 IPtables 规则来做到这一点,例如 iptables -A FORWARD .
我使用 AVG,并注意到在安装需要互联网访问的程序时,它们经常会向 AVG 的防火墙添加“受信任的规则”,从而赋予它们适当的互联网访问权限。有谁知道这是如何实现的? 最佳答案 您可以在安装过程(MSI
我是一名优秀的程序员,十分优秀!