我定义了一个vlan,它有3个IP地址。现在我想在任何给定时间获取每个 ip 的 RX/TX 字节。是否可以使用 iptables、 ip 、 netstat 命令来获取此信息?我更喜欢使用预安装的工具之一。
先感谢您。
我定义了一个vlan,它有3个IP地址。现在我想在任何给定时间获取每个 ip 的 RX/TX 字节。是否可以使用 iptables、 ip 、 netstat 命令来获取此信息?我更喜欢使用预安装的工具之一。
先感谢您。
我有一个 LXC 容器。我想通过tap0
与主机不同的接口 ( ) 路由其所有流量。
主机接口:
tap0
172.13.0.3,网关172.13.0.1lxcbr0
192.168.12.104 与容器的veth
成员容器中有一个eth0
192.168.12.105,默认路由为 192.168.12.104。我当然可以从容器 ping 主机,反之亦然。
容器路由表很简单:
# ip route show
default via 192.168.12.104 dev eth0
192.168.12.0/24 dev eth0 proto kernel scope link src 192.168.12.105
我在主机上制作了一个单独的路由表:
# ip rule add from all fwmark 1234 table 1234
# ip route show table 1234
default via 172.30.0.1 dev tap0
主机主路由表(同样,没什么特别的):
# ip route show
default via 192.168.xxx.xxx dev eth0 proto dhcp src 192.168.xxx.xxx metric 2004 mtu 1500
172.30.0.0/16 dev tap0 proto kernel scope link src 172.30.0.3
192.168.xxx.0/24 dev eth0 proto dhcp scope link src 192.168.xxx.xxx metric 2004 mtu 1500
192.168.12.0/24 dev lxcbr0 proto kernel scope link src 192.168.12.104
我这样配置 iptables:
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
iptables -t nat -A PREROUTING -i lxcbr0 -j MARK --set-mark 1234
现在,我尝试从容器 ping 8.8.8.8,但每隔一秒 ping 就会丢失。可靠。
# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=109 time=48.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=109 time=47.1 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=109 time=47.0 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=109 time=46.9 ms
64 bytes from 8.8.8.8: icmp_seq=9 ttl=109 time=47.1 ms
64 bytes from 8.8.8.8: icmp_seq=11 ttl=109 time=47.3 ms
64 bytes from 8.8.8.8: icmp_seq=13 ttl=109 time=47.1 ms
64 bytes from 8.8.8.8: icmp_seq=15 ttl=109 time=47.0 ms
桥上交通:
# tcpdump -i lxcbr0 -n
listening on lxcbr0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
10:04:46.208273 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 1, length 64
10:04:46.257177 IP 8.8.8.8 > 192.168.12.105: ICMP echo reply, id 138, seq 1, length 64
10:04:47.209372 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 2, length 64
10:04:48.236402 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 3, length 64
10:04:48.283429 IP 8.8.8.8 > 192.168.12.105: ICMP echo reply, id 138, seq 3, length 64
10:04:49.237599 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 4, length 64
10:04:50.252397 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 5, length 64
10:04:50.299356 IP 8.8.8.8 > 192.168.12.105: ICMP echo reply, id 138, seq 5, length 64
10:04:51.253520 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 6, length 64
10:04:52.268435 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 7, length 64
10:04:52.315270 IP 8.8.8.8 > 192.168.12.105: ICMP echo reply, id 138, seq 7, length 64
10:04:53.270429 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 8, length 64
10:04:54.284396 IP 192.168.12.105 > 8.8.8.8: ICMP echo request, id 138, seq 9, length 64
10:04:54.331473 IP 8.8.8.8 > 192.168.12.105: ICMP echo reply, id 138, seq 9, length 64
流量来自tap0
:
# tcpdump -i tap0 -n
listening on tap0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
10:04:46.208342 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 1, length 64
10:04:46.257147 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 1, length 64
10:04:48.236458 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 3, length 64
10:04:48.283402 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 3, length 64
10:04:50.252446 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 5, length 64
10:04:50.299328 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 5, length 64
10:04:52.268485 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 7, length 64
10:04:52.315242 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 7, length 64
10:04:54.284445 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 9, length 64
10:04:54.331445 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 9, length 64
10:04:56.300446 IP 172.30.0.3 > 8.8.8.8: ICMP echo request, id 138, seq 11, length 64
10:04:56.347598 IP 8.8.8.8 > 172.30.0.3: ICMP echo reply, id 138, seq 11, length 64
每当有传出 ping 时,tap0
总会有响应(因此后面的一切tap0
都正常)。
主机似乎正在丢弃来自容器的传出流量。我该如何调试这种情况?
我在 ubuntu 服务器上遇到奇怪的行为,其中添加的任何新“ip 规则”都会以优先级零添加。我添加的规则没有优先级,它曾经被添加到可用优先级中。预期重复的规则或已填充(事实并非如此),但对旧规则进行了一些清理以释放它,但从未使用新的可用优先级。
Server >> VERSION="18.04.6 LTS (Bionic Beaver)"
Kernel >> 4.15.0-172-generic
Example
0: from all lookup local
0: from all iif bb2671448 lookup 7173
0: from all oif bb2671448 lookup 7173
0: from all iif ebb90d64d lookup 7415
0: from all oif ebb90d64d lookup 7415
1000: from all lookup [l3mdev-table]
32765: from all fwmark 0x4d2 lookup 123
32766: from all lookup main
32767: from all lookup default
谢谢
设置:
在 GNS3 中虚拟化的 3 个 Linux Ubuntu 18.04 全部连接到以太网集线器,我们称它们为 VM1、VM2 和 VM3,每个 VM 都有一个称为 ens3 的物理接口和一个来自主路由器上运行的 DHCP 服务器的 IP 地址。
在 VM1 上,我创建了两个新的虚拟接口,分别称为 macsec1 和 macsec2,在 VM2 上创建了 macsec1,在 VM3 上创建了 - macsec1。它们是使用以下命令创建的:
对于虚拟机1:
# Creating the virtual macsec1 interface and its Rx channels
sudo ip link add link ens3 macsec1 type macsec port 1 encrypt on validate strict
sudo ip macsec add macsec1 tx sa 0 pn 1 on key 11 11111111111111111111111111111111
sudo ip macsec add macsec1 rx address 0c:a0:95:25:00:00 port 1
sudo ip macsec add macsec1 rx address 0c:a0:95:25:00:00 port 1 sa 0 pn 1 on key 22 22222222222222222222222222222222
# Creating the virtual macsec2 interface and its Rx channels
sudo ip link add link ens3 macsec2 type macsec port 2 encrypt on validate check
sudo ip macsec add macsec2 tx sa 0 pn 1 on key 44 44444444444444444444444444444444
sudo ip macsec add macsec2 rx address 0c:99:22:ee:00:00 port 1
sudo ip macsec add macsec2 rx address 0c:99:22:ee:00:00 port 1 sa 0 pn 1 on key 33 33333333333333333333333333333333
# Set the IP and bring the interface UP
sudo ip link set dev macsec1 up
sudo ip link set dev macsec2 up
sudo ifconfig macsec1 10.1.0.1/16
sudo ifconfig macsec2 10.2.0.1/16
对于虚拟机2:
# Creating the virtual macsec1 interface and its Rx channels
sudo ip link add link ens3 macsec1 type macsec port 1 encrypt on validate strict
sudo ip macsec add macsec1 tx sa 0 pn 1 on key 22 22222222222222222222222222222222
sudo ip macsec add macsec1 rx address 0c:63:58:d6:00:00 port 1
sudo ip macsec add macsec1 rx address 0c:63:58:d6:00:00 port 1 sa 0 pn 1 on key 11 11111111111111111111111111111111
# Set the IP and bring the interface UP
sudo ip link set dev macsec1 up
sudo ifconfig macsec1 10.1.0.2/16
对于 VM3:
# Creating the virtual macsec1 interface and its Rx channels
sudo ip link add link ens3 macsec1 type macsec port 1 encrypt on validate check
sudo ip macsec add macsec1 tx sa 0 pn 1 on key 33 33333333333333333333333333333333
sudo ip macsec add macsec1 rx address 0c:63:58:d6:00:00 port 1
sudo ip macsec add macsec1 rx address 0c:63:58:d6:00:00 port 1 sa 0 pn 1 on key 44 44444444444444444444444444444444
# Set the IP and bring the interface UP
sudo ip link set dev macsec1 up
sudo ifconfig macsec1 10.2.0.2/16
预期结果:
例如,根据配置,我应该能够从 VM1 ping VM2 和 VM3,并且数据包应该从相应的接口路由。从 VM1 到 VM2 的 ping 请求应来自 10.1.0.1 源,10.1.0.2 应该是目标,从而应用正确的 MACsec 配置,这是 VM1 和 VM2 之间通信的情况,但对于 VM1 来说这不起作用VM3,现在我们解决问题了。
问题和故障排除过程:
VM1无法使用创建的虚拟接口到达VM3,检查路由后,一切对我来说似乎都是正确的,这是VM1和VM3的:
VM1 路由:
Destination Gateway Genmask Flags Metric Ref Use Iface
default homerouter.cpe 0.0.0.0 UG 100 0 0 ens3
10.0.0.0 0.0.0.0 255.255.255.0 U 100 0 0 ens3
10.1.0.0 0.0.0.0 255.255.0.0 U 0 0 0 macsec1
10.2.0.0 0.0.0.0 255.255.0.0 U 0 0 0 macsec2
VM3 路由:
Destination Gateway Genmask Flags Metric Ref Use Iface
default homerouter.cpe 0.0.0.0 UG 100 0 0 ens3
10.0.0.0 0.0.0.0 255.255.255.0 U 100 0 0 ens3
10.2.0.0 0.0.0.0 255.255.0.0 U 0 0 0 macsec1
检查 tcpdump 后,我发现以下内容:
当 VM3 ping VM1 时,VM3 上的 macsec1 接口向 10.2.0.1 发送 ICMP 回显请求,但未收到回复。
IP vm3 > 10.2.0.1: ICMP echo request, id 3387, seq 1, length 64
IP vm3 > 10.2.0.1: ICMP echo request, id 3387, seq 2, length 64
在 VM1 上,我可以看到传入的 echo 请求以及响应。
IP 10.2.0.2 > vm1: ICMP echo request, id 3387, seq 1, length 64
IP vm1 > 10.2.0.2: ICMP echo reply, id 3387, seq 2, length 64
检查 VM3 上 ens3 接口上的流量后,我们可以看到请求和回复都已通过该接口,但 macsec1 接口尚未收到回复。
0c:99:22:ee:00:00 > 0c:63:58:d6:00:00, ethertype Uknown (0x88e5), length 130:
0c:63:58:d6:00:00 > 0c:99:22:ee:00:00, ethertype Uknown (0x88e5), length 130:
现在回到问题:为什么 VM3 上的 macsec1 接口没有收到来自 VM1 的回复数据包,即使 ens3 接口收到了回复数据包?另外,为什么 VM1 和 VM2 之间的通信不会出现此问题?
我正在尝试从互联网访问路由器设置网页。
我在 AWS EC2 上设置了 WireGuard VPN。路由器和 WireGuard 服务器之间的握手看起来不错,但我无法使用 ec2 实例的公共 IP 访问该 url - http://yyyy:51820。
有没有人有办法解决吗?
服务器
[Interface]
Address = 172.31.16.1/20
SaveConfig = true
ListenPort = 51820
PrivateKey = PrivateKey
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
服务器
interface: wg0
public key: public key
private key: (hidden)
listening port: 51820
peer: public key
endpoint: x.x.x.x:6140
allowed ips: 172.31.16.2/32
latest handshake: 2 minutes, 1 second ago
transfer: 13.91 KiB received, 3.77 KiB sent
客户
interface: wg0
public key: public key
private key: (hidden)
listening port: 46734
peer: public key
endpoint: y.y.y.y:51820
allowed ips: 0.0.0.0/0
latest handshake: 2 minutes, 7 seconds ago
transfer: 3.77 KiB received, 16.08 KiB sent
persistent keepalive: every 25 seconds
我的服务器位于反向代理nginx后面,但是客户端访问的ip在apache日志中显示如下,看起来正常,日志中没有x-forward的东西。
103.221.234.206 - - [28/Feb/2024:14:37:29 +0800] "GET /styles/pke/?mejiku=zeus138 HTTP/1.1" 404 3888 "https://x.y.z.a/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68"
65.109.34.52 - - [28/Feb/2024:14:37:29 +0800] "GET /index.php/index/user/register HTTP/1.1" 200 9568 "https://x.y.z.a/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36"
103.221.234.206 - - [28/Feb/2024:14:37:31 +0800] "GET / HTTP/1.1" 200 8561 "https://x.y.z.a" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68"
194.32.229.95 - - [28/Feb/2024:14:37:32 +0800] "GET /index.php/index/user/register HTTP/1.1" 200 9487 "https://x.y.z.a/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36"
接下来..配置fail2ban很好,但是iptables无法阻止ip来自公共ip。我的 iptables 如下所示。仅当禁止本地 ip 时才有效。
Chain INPUT (policy DROP 22909 packets, 8800K bytes)
pkts bytes target prot opt in out source destination
691K 72M f2b-apache-noscript tcp -- any any anywhere anywhere multiport dports http,https
690K 85M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
76 4560 ACCEPT all -- lo any anywhere anywhere
1 60 ACCEPT icmp -- any any anywhere anywhere
1 64 ACCEPT tcp -- any any 10.0.0.0/8 anywhere tcp dpt:ssh
807 42768 ACCEPT tcp -- any any 10.0.0.0/8 anywhere tcp dpt:webmin
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
34019 2040K ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 720K packets, 2306M bytes)
pkts bytes target prot opt in out source destination
Chain f2b-apache-noscript (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- any any 77.111.244.49 anywhere reject-with icmp-port-unreachable
0 0 REJECT all -- any any 103.151.140.101 anywhere reject-with icmp-port-unreachable
0 0 REJECT all -- any any 20.125.101.243 anywhere reject-with icmp-port-unreachable
我的 iptables 无法捕获来自该特定 ip 的流量。
我应该怎么做才能使我的fail2ban工作而不改变我的服务器位于反向代理后面的网络拓扑。
我正在将一台 linux 机器配置为路由器,并从 tomato 路由器获取了 /etc/iptables 文件。我想使用这个文件作为 Linux 机器上防火墙规则的起点。
那里有很多我认为我理解的事情,还有一些我不知道的事情,希望得到一些帮助。“vlan2”是外部接口,“br0”是内部接口。
文件中的第一部分是
*mangle
-I PREROUTING -i vlan2 -j DSCP --set-dscp 0
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
第一行重写了 IP 标头中 TOS 八位字节中的 DSCP 位,我不知道为什么。第二行我完全不明白。
下一节是
*nat
-A PREROUTING -d 67.162.98.230 -j WANPREROUTING
-A PREROUTING -i vlan2 -d 192.168.1.1/255.255.255.0 -j DROP
-A WANPREROUTING -p icmp -j DNAT --to-destination 192.168.1.1
-A WANPREROUTING -p tcp --dport 4662 -j DNAT --to-destination 192.168.1.12:4662
-A WANPREROUTING -p udp --dport 4665 -j DNAT --to-destination 192.168.1.12:4665
-A WANPREROUTING -p udp --dport 4672 -j DNAT --to-destination 192.168.1.12:4672
-A WANPREROUTING -p tcp --dport 22 -j DNAT --to-destination 192.168.1.12:22
-A WANPREROUTING -p udp --dport 1195 -j DNAT --to-destination 192.168.1.12:1195
-A POSTROUTING -o vlan2 -j MASQUERADE
-A POSTROUTING -o br0 -s 192.168.1.1/255.255.255.0 -d 192.168.1.1/255.255.255.0 -j SNAT --to-source 192.168.1.1
COMMIT
第 2 行和第 3 行为到达外部接口的任何内容设置 WANPREROUTING 目标,但发往专用网络的数据包除外。接下来的几行为某些端口和协议设置目的地,以用于端口转发。MASQUERADE 线路设置 NAT。我不确定 COMMIT 之前的最后一行做什么。
我将把最后一部分分成几个部分,并在规则前面插入行号。
*filter
1 -A INPUT -m state --state INVALID -j DROP
2 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
3 -A INPUT -i lo -j ACCEPT
4 -A INPUT -i br0 -j ACCEPT
第 1,2 行丢弃具有无效状态的传入数据包(到任何接口)并接受来自已建立连接的数据包。第 3、4 行接受所有进入环回和内部接口的内容。
5 -A FORWARD -i br0 -o br0 -j ACCEPT
6 -A FORWARD -m state --state INVALID -j DROP
7 -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
真的不确定上面三行的作用,尤其是第一行(数据包从 br0 转发到 br0 ?)
12 -A FORWARD -i vlan2 -j wanin
13 -A FORWARD -i br0 -j ACCEPT
14 -A wanin -p tcp -m tcp -d 192.168.1.12 --dport 4662 -j ACCEPT
15 -A wanin -p udp -m udp -d 192.168.1.12 --dport 4665 -j ACCEPT
16 -A wanin -p udp -m udp -d 192.168.1.12 --dport 4672 -j ACCEPT
17 -A wanin -p tcp -m tcp -d 192.168.1.12 --dport 22 -j ACCEPT
18 -A wanin -p udp -m udp -d 192.168.1.12 --dport 1195 -j ACCEPT
第 12、14-18 行处理端口转发。不确定 13,这是否意味着接受通过 br0 接口路由的所有内容?
您能否评论一下我的上述假设是否正确,并解释一下我无法弄清楚的规则。感谢您的阅读。
系统:CentOS 7 我注意到在我的服务器上,我阻止的一些 IP 地址实际上并未被阻止,而是继续保持连接。我开始查看 iptables 级别,发现了一件奇怪的事情。在某些规则中,地址不是按 IP 地址而是按 DNS 名称输入拒绝。我尝试检查这一点并阻止一个 IP 地址,结果 iptables 的规则规定阻止该 IP 地址的 DNS 名称 可能是什么问题?
我这样阻止:
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address="Х.Х.Х.Х" reject" && firewall-cmd --reload
结果,iptables中出现如下规则:
REJECT all -- ec2-Х-Х-Х-Х.eu-central-1.compute.amazonaws.com anywhere reject-with icmp-port-unreachable
我只向通过 OUTPUT 链的 LOG 数据包添加了一些规则,但根本没有任何内容通过 NAT 表。从这里的 NAT 表链计数器可以清楚地看出(计数器为零):
sudo iptables-save
# Generated by iptables-save v1.8.4 on Tue Feb 13 03:49:55 2024
*raw
:PREROUTING ACCEPT [197:319667]
:OUTPUT ACCEPT [178:12147]
COMMIT
# Completed on Tue Feb 13 03:49:55 2024
# Generated by iptables-save v1.8.4 on Tue Feb 13 03:49:55 2024
*mangle
:PREROUTING ACCEPT [197:319667]
:INPUT ACCEPT [197:319667]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [178:12147]
:POSTROUTING ACCEPT [178:12147]
COMMIT
# Completed on Tue Feb 13 03:49:55 2024
# Generated by iptables-save v1.8.4 on Tue Feb 13 03:49:55 2024
*filter
:INPUT ACCEPT [1491:3438016]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1687:231563]
-A OUTPUT -j LOG --log-prefix "SEP [filter-OUTPUT] "
COMMIT
# Completed on Tue Feb 13 03:49:55 2024
# Generated by iptables-save v1.8.4 on Tue Feb 13 03:49:55 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:test - [0:0]
-A OUTPUT -j LOG --log-prefix "SEP [nat-OUTPUT] "
COMMIT
# Completed on Tue Feb 13 03:49:55 2024
我还启用了 ipv4 ip 转发,如下所示:
sudo sysctl -w net.ipv4.ip_forward=1
但问题仍然存在。
我的 iptables 规则运行了多年,没有发生任何事件,但在允许所有受信任的 MAC 访问之后:
/sbin/iptables -A INPUT -m mac --mac-source $MAC -j ACCEPT
/sbin/iptables -A FORWARD -m mac --mac-source $MAC -j ACCEPT
我正在尝试标记其他 mac 地址,例如:
/sbin/iptables -A PREROUTING -t mangle -i $INT_DEV -p tcp --dport 80 -j MARK --set-mark 99
但是当我现在尝试通过这样做来读取该地址时,
conntrack -L | grep "src=10.1.1.234"
我在任何地方都看不到我未知的 10.1.1.234 freeloader...
但是我想继续在 iptables 中通过以下方式将我的 freeloader 转移到登录页面
/sbin/iptables -t filter -A FORWARD -m mark --mark 99 -j DROP```
And obviously it doesn't work because I can't even see it from my conntrack listing.
What am I doing wrong here..?