Рубрика «iptables»
Как подружить KeeneticOS 5 с xHTTP
2026-03-15 в 9:15, admin, рубрики: domain-based routing, iptables, KeeneticOS, Xray-core, раздельное туннелированиеL7 маршрутизация Squid+IPTables и WireGuard, или как завернуть трафик в тоннель на основе имени домена
2026-01-09 в 14:15, admin, рубрики: iptables, l7, squid, wireguardВозникла задача заворачивать трафик в тоннель, основываясь на имени домена ресурса, к которому идёт обращение.Многие интернет-ресурсы имеют большой пул ip-адресов, более того, этот пул может меняться. Делать nslookup для каждого интересующего сервиса и заворачивать все выдаваемые подсети - неудобно и неэлегантно. На помощь может придти прокси-сервер squid, настроенный прозрачно с функцией ssl_bump.
Строим лабораторию по исследованию ВПО
2025-09-05 в 10:41, admin, рубрики: eBPF, iptables, linux, podman, sandbox, seccomp, tcpdump, виртуализация, вирусы, Песочница
Защита при DDOS от метода SYN Flood подручными средствами ОС Linux
2025-09-02 в 10:06, admin, рубрики: ddos-защита, fail2ban, iptables, UbuntuВ наше время возникла необходимость создать программируемый и настраиваемый роутер, который обеспечивал бы доступ в Интернет домашней сети без геополитических ограничений. Поискав среди старых вещей, обнаружил материнскую плату двадцатилетней давности с твердотельными конденсаторами на борту, которая, издав тихий писк, успешно стартовала. Подробности технических характеристик ПК здесь не важны, поскольку передача пакетов процесс не требовательный к мощности "железа". Докупив дополнительную сетевую карту Wi-Fi стандарта 5G и установив Ubuntu 20.04, настроил устройство согласно руководству на данном Читать полностью »
Прозрачное туннелирование трафика с маршрутизацией на основе геолокации IP-адресов
2024-10-28 в 16:15, admin, рубрики: iproute2, ipset, iptables, systemd-networkd, vpn, маршрутизацияВ этой статье попробую рассказать как в домашней сети создать еще один шлюз по умолчанию и настроить на нем на выборочную маршрутизацию на основе списка подсетей. Используя в качестве такого списка базу данных геолокации IP-адресов, можно перенаправлять трафик в зависимости от страны назначения.
В моем случае все манипуляции проводились на файловом сервере и свелись к следующим шагам: создаем виртуальный интерфейс и список подсетей, настраиваем маршрутизацию, используем этот интерфейс как шлюз по умолчанию для устройств в домашней сети.
Что ты такое, dhclient?
2023-11-20 в 7:02, admin, рубрики: dhclient, dhcp, iptables, linux, администрирование, ненормальное программирование, сетевые протоколы, яндекс
Сетевой стек Linux не прост даже на первый взгляд: приложение — в юзерспейсе, а всё, что после сокета, — в ядре операционки. И там тысяча реализаций TCP. Любое взаимодействие с сетью — системный вызов с переключением контекста в ядре.
Чтобы лишний раз не дёргать ядро прерываниями, придумали DMAЧитать полностью »
Как мы боролись с багами при подготовке релиза 1.43 K8s-платформы Deckhouse и какие выводы из этого сделали
2023-05-03 в 6:31, admin, рубрики: alertmanager, containerd, deckhouse, devops, iptables, Istio, kubernetes, nftables, баги, Блог компании Флант, работа над ошибками, системное администрирование, фейлыРазработка собственной Kubernetes-платформы — большой и сложный проект со множеством взаимодействующих компонентов. В процессе неизбежно сталкиваешься с различными трудностями. Иногда их даже создаешь себе сам. В статье кратко рассмотрим три проблемы, с которыми нам пришлось столкнуться во время подготовки Deckhouse 1.43 к релизу, как мы их устраняли и какие выводы из всего этого сделали.
Port knocking и не только
2022-06-29 в 9:52, admin, рубрики: Drop, fail2ban, ipset, iptables, linux, portknoking, reject, tarpit, tcp, Блог компании inDriver, информационная безопасность, Настройка Linux, системное администрированиеПрочитав по диагонали статью гражданина @Winseven«ICMP открывашка портов для сервера», я сдержался. Все-таки велосипединг — это весело. Но вчитавшись, я опешил. Зачем запускать отдельное приложение для отслеживания нужных пакетов? Правильно ли, что достаточно один раз попасть пальцем в небо, чтобы порт был открыт? По мне, как-то не по фэншую.
Душа все это не вынесла, и я решился на статью.
Переход с iptables на nftables. Краткий справочник
2021-10-04 в 9:00, admin, рубрики: Debian, firewall, iptables, linux, nftables, ruvds_статьи, Блог компании RUVDS.com, Настройка Linux, Серверное администрирование, системное администрирование
В Debian теперь нет iptables. Во всяком случае, по умолчанию.
Узнал я об этом, когда на Debian 11 ввёл команду iptables и получил “command not found”. Сильно удивился и стал читать документацию. Оказалось, теперь нужно использовать nftables.
Хорошие новости: одна утилита nft заменяет четыре прежних — iptables, ip6tables, ebtables и arptables.
Плохие новости: документация (man nft) содержит больше 3 тысяч строк.
Чтобы вам не пришлось всё это читать, я написал небольшое руководство по переходу с iptables на nftables. Точнее, краткое практическое пособие по основам nftables. Без углубления в теорию и сложные места. С примерами.
Читать полностью »
BPF для самых маленьких, часть нулевая: classic BPF
2020-03-24 в 10:34, admin, рубрики: C, cls_bpf, iptables, seccomp, strace, tcpdump, xt_bpf, Разработка под Linux, Сетевые технологииBerkeley Packet Filters (BPF) — это технология ядра Linux, которая не сходит с первых полос англоязычных технических изданий вот уже несколько лет подряд. Конференции забиты докладами про использование и разработку BPF. David Miller, мантейнер сетевой подсистемы Linux, называет свой доклад на Linux Plumbers 2018 «This talk is not about XDP» (XDP – это один из вариантов использования BPF). Brendan Gregg читает доклады под названием Linux BPF Superpowers. Toke Høiland-Jørgensen смеется, что ядро это теперь microkernel. Thomas Graf рекламирует идею о том, что BPF — это javascript для ядра.
На Хабре до сих пор нет систематического описания BPF, и поэтому я в серии статей постараюсь рассказать про историю технологии, описать архитектуру и средства разработки, очертить области применения и практики использования BPF. В этой, нулевой, статье цикла рассказывается история и архитектура классического BPF, а также раскрываются тайны принципов работы tcpdump, seccomp, strace, и многое другое.
Разработка BPF контролируется сетевым сообществом Linux, основные существующие применения BPF связаны с сетями и поэтому, с позволения @eucariot, я назвал серию "BPF для самых маленьких", в честь великой серии "Сети для самых маленьких".