找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888广告投放联系QQ68610888
查看: 393|回复: 16

求解答谢谢

[复制链接]
发表于 2024-12-3 23:40 来自手机 | 显示全部楼层 |阅读模式
悬赏10恩山币已解决
本帖最后由 along123 于 2024-12-3 23:51 编辑

这条防火墙规则是哪个插件生成的

是adguardhome的?用的是dnsmasq作为上游服务器,我删了防火墙规则,卸载了adh再安装同样的设置步骤再去防火墙看规则没有了

iptables -A nat -I PREROUTING -p udp --dport 123 -j REDIRECT --to-ports 123

最佳答案

查看完整内容

这是强制重定向123端口命令,它可以劫持客户机ntp服务器到路由器,强制同步所有客户机的时钟 我猜应该是和时间相关的插件,我感觉这个命令更像是一条自定义规则 类似于53端口重定向命令的改版 iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53 iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53 不过重定向53(劫持客户机dns)用的多一点 ...
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
发表于 2024-12-3 23:40 | 显示全部楼层
这是强制重定向123端口命令,它可以劫持客户机ntp服务器到路由器,强制同步所有客户机的时钟
我猜应该是和时间相关的插件,我感觉这个命令更像是一条自定义规则
类似于53端口重定向命令的改版
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
不过重定向53(劫持客户机dns)用的多一点

点评

谢谢回复,那么这条删除了应该没啥影响吧,另外这个需不需要打开,乱搞了一桶忘了他是关着还是开着来😂  详情 回复 发表于 2024-12-4 13:10
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-3 23:49 来自手机 | 显示全部楼层
本帖最后由 along123 于 2024-12-3 23:52 编辑

顶一下
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 00:46 | 显示全部楼层
123端口是网络对时。

这个命令是劫持连接外部123端口,重定向到本设备的123端口。

点评

谢谢回复,那么这条删除了应该没啥影响吧,另外这个需不需要打开,乱搞了一桶忘了他是关着还是开着来😂  详情 回复 发表于 2024-12-4 13:09
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 04:31 | 显示全部楼层
命令拆解
这条 iptables 命令可以拆分为以下几个部分:

iptables: Linux 系统下用于配置网络防火墙的工具。
-A nat: 将规则添加到名为 "nat" 的表中。nat 表用于网络地址转换 (Network Address Translation)。
-I PREROUTING: 将规则插入到 "PREROUTING" 链的头部。PREROUTING 链用于在数据包路由之前进行处理。
-p udp: 匹配协议为 UDP 的数据包。
--dport 123: 匹配目的端口为 123 的数据包。通常,UDP 端口 123 用于 NTP (Network Time Protocol) 服务。
-j REDIRECT: 如果匹配到数据包,则执行 REDIRECT 操作。
--to-ports 123: 将匹配到的数据包重定向到本机的 123 端口。
命令含义
整体来说,这条命令的意思是:

将一条规则添加到 iptables 的 nat 表中,这条规则会拦截所有目的端口为 123 的 UDP 数据包,并将这些数据包重定向到本机的 123 端口。

具体作用
NTP 服务的端口转发: 由于端口 123 是 NTP 服务的标准端口,这条规则通常用于将来自外部网络的 NTP 请求转发到本地的 NTP 服务器。
隐藏内部 IP: 通过将外部请求重定向到本地端口,可以隐藏内部网络中 NTP 服务器的真实 IP 地址。
可能的应用场景
多层网络环境: 在多层网络环境中,可以将这条规则部署在边缘路由器上,将来自互联网的 NTP 请求转发到内部网络的 NTP 服务器。
安全考虑: 为了保护内部网络中的 NTP 服务器,可以将这条规则与其他防火墙规则结合使用,限制对 NTP 服务的访问。
注意事项
配置顺序: iptables 规则的顺序非常重要,因为规则是按照顺序逐一检查的。如果有多条规则匹配同一个数据包,则只有第一条匹配的规则会被执行。
安全风险: 不恰当的 iptables 配置可能导致网络服务不可用或安全漏洞。在修改 iptables 配置之前,建议备份现有配置并仔细测试。
示例场景
假设您有一台运行 NTP 服务器的 Linux 服务器,它的 IP 地址是 192.168.1.100。为了让外部网络的客户端能够访问到这台 NTP 服务器,可以在边缘路由器上添加一条 iptables 规则,如下所示:

Bash
iptables -A nat -I PREROUTING -p udp --dport 123 -j REDIRECT --to-ports 123
请谨慎使用代码。

这样,当外部客户端向边缘路由器的公网 IP 发送 NTP 请求时,这个请求就会被重定向到内部网络中的 NTP 服务器。

总结:

这条 iptables 命令通过端口转发的方式,将外部网络的 NTP 请求重定向到本地 NTP 服务器,从而实现对 NTP 服务的访问控制和隐藏内部 IP 地址。

点评

谢谢解答,删了应该没影响吧  详情 回复 发表于 2024-12-4 13:06
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 08:45 | 显示全部楼层
BohaoTu 发表于 2024-12-4 04:31
命令拆解
这条 iptables 命令可以拆分为以下几个部分:

好专业。研究了。感谢科普。
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-4 13:06 来自手机 | 显示全部楼层
BohaoTu 发表于 2024-12-4 04:31
命令拆解
这条 iptables 命令可以拆分为以下几个部分:


谢谢解答,删了应该没影响吧
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-4 13:09 来自手机 | 显示全部楼层
99010 发表于 2024-12-4 00:46
123端口是网络对时。

这个命令是劫持连接外部123端口,重定向到本设备的123端口。 ...

谢谢回复,那么这条删除了应该没啥影响吧,另外这个需不需要打开,乱搞了一桶忘了他是关着还是开着来😂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-4 13:10 来自手机 | 显示全部楼层
BohaoTu 发表于 2024-12-4 04:28
这是强制重定向123端口命令,它可以劫持客户机ntp服务器到路由器,强制同步所有客户机的时钟
我猜应该是和 ...

谢谢回复,那么这条删除了应该没啥影响吧,另外这个需不需要打开,乱搞了一桶忘了他是关着还是开着来😂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 14:04 | 显示全部楼层
along123 发表于 2024-12-4 13:10
谢谢回复,那么这条删除了应该没啥影响吧,另外这个需不需要打开,乱搞了一桶忘了他是关着还是开着来😂 ...

这个需要打开的,打开之后,它应该会自动生成一条相应规则
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 14:05 | 显示全部楼层
along123 发表于 2024-12-4 13:06
谢谢解答,删了应该没影响吧

应该没什么问题,如果是校园网环境,反而必须打开

点评

家用😂我还以为是啥规则,这亚瑟我刚扩容了overay重置的话又得重新弄  详情 回复 发表于 2024-12-4 15:35
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-4 15:35 来自手机 | 显示全部楼层
BohaoTu 发表于 2024-12-4 14:05
应该没什么问题,如果是校园网环境,反而必须打开

家用😂我还以为是啥规则,这亚瑟我刚扩容了overay重置的话又得重新弄
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 16:02 | 显示全部楼层
这个功能有用,开启网关ntp服务器功能
然后内部服务器、网络设备可向网关设备同步时钟
有些傻瓜路由器,作为ap使用,只插LAN口,没有网关不能向外同步时钟,这个就有用了

点评

所以说这条规则要不要无所谓,这个功能得打开嘛?  详情 回复 发表于 2024-12-4 17:17
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

 楼主| 发表于 2024-12-4 17:17 来自手机 | 显示全部楼层
jforce 发表于 2024-12-4 16:02
这个功能有用,开启网关ntp服务器功能
然后内部服务器、网络设备可向网关设备同步时钟
有些傻瓜路由器,作 ...

所以说这条规则要不要无所谓,这个功能得打开嘛?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

点评

你有需求就打开,没有就算了。 具体我没研究规则,我打开这个后,ap指过来马上就同步时间了。 之前是没有网关不能去互联网同步 区域内到网关默认都是全开  详情 回复 发表于 2024-12-4 17:27
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

发表于 2024-12-4 17:27 | 显示全部楼层
along123 发表于 2024-12-4 17:17
所以说这条规则要不要无所谓,这个功能得打开嘛?

你有需求就打开,没有就算了。
具体我没研究规则,我打开这个后,ap指过来马上就同步时间了。
之前是没有网关不能去互联网同步
区域内到网关默认都是全开
只谈技术、莫论政事!(点击见详情) | 恩山无线论坛欢迎您的来访,请互相尊重、友善交流,建议保持一颗平常心看待网友的评论,切勿过度反应。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

欢迎大家光临恩山无线论坛上一条 /1 下一条

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2025-1-14 21:15

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com

快速回复 返回顶部 返回列表