当我启动iptables服务时,由于连接超时而没有ftp访问。 当我停止iptables服务,ftp工作正常。 这是目前的iptables数据: 更新 :在p21规则中replace为ESTABLISHED for NEW。 问题仍在发生 。 # Generated by iptables-save v1.4.7 on Sun Dec 14 23:48:26 2014 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:2848] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp […]
我目前正在Linode的多个数据中心之间build立OpenVPN。 OpenVPN的设置工作非常好,现在我正专注于设置防火墙,以便我的公共和私有IP由Linode提供保护。 不过,我似乎遇到了这个问题。 在我的VPN服务器上,当我设置我的防火墙并重新启动VPN服务器时,防火墙会在启动时自动加载,但是,我的VPN客户端似乎都无法ping通VPN服务器(位于10.8.0.1 )。 当我在VPN服务器( iptables -F )上closures防火墙时,客户端能够ping VPN服务器。 当我然后在服务器上恢复防火墙( iptables-restore < /etc/iptables.up.rules )时,客户端仍然能够ping VPN服务器。 我会假设防火墙要么阻止或不,我似乎无法弄清楚为什么会发生这种行为。 这些是我在VPN服务器上的iptables: *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound […]
我使用Mdaemon邮件服务器。 它可以从内部networking和互联网访问(使用邮件客户端和Web界面)。 问题是我需要限制哪些用户可以从互联网上访问他们的邮件。 我想过通过防火墙进行基于IP的过滤,但我无法控制哪些IP用户访问服务器。 有没有邮件服务器可以做我想要的? 任何其他方式我可以实现这个要求?
我在我的iptables有一个规则拒绝连接logging,即-A INPUT -m limit –limit 5/min -j LOG –log-prefix "iptables denied: " –log-level 7 我想要一个类似的规则,logging所有已build立的,即不拒绝连接到所有端口。 我怎么能做到这一点,我试图search谷歌和试验,但我找不到匹配的string
最近我的服务器遭到了中国防火墙的DDoS攻击。 根据http-host头部的mod_security阻止请求中的回复中的build议,以及https://mattwilcox.net/web-development/unexpected-ddos-blocking-china-with-ipset-and-iptables中的build议/我一直在试图使用IPTables阻止来自中国防火墙的redirectDDoSstream量,通过阻止来自“Bittorrent”string的请求,并通过使用最新的IP列表阻止来自中国的所有IP :http:// www.ipdeny.com/ipblocks/data/countries/cn.zone 。 我的防火墙看起来像这样。 *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Block anything from China # […]
这是一个常见的问题,很容易出现在search中,似乎与防火墙有关,但我似乎无法弄清楚如何解决这个问题。 其实我之前已经问过了 ,但是这次我回来了更多关于这个问题的信息,并且更好的理解了这个问题。 当我的openvpn服务器(位于一个NAT之后)有其外部IP改变,因为我的互联网连接有一个dynamicIP,问题出现。 所以,只要我的外部IP变化,我的VPN客户端不能再连接到服务器。 这是一个令人头疼的问题,因为在重新启动(openvpn服务器,也许还有防火墙)之后,事情通常不会被纠正。 几次重新启动后,虽然事情会得到工作几天,直到我的IP更改。 以下日志是从2(服务器和客户端)slackware linux系统获得的。 我的服务器configuration如下: cd /etc/openvpn proto udp port 32456 comp-lzo verb 1 log-append /var/log/openvpn/server.log status /var/log/openvpn/server-status.log daemon dev tun persist-tun persist-key server 192.168.26.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt client-to-client client-config-dir ccd route-gateway 'dhcp' route 192.168.114.0 255.255.255.0 route 192.168.18.0 255.255.255.0 push "route 192.168.112.0 255.255.255.0 vpn_gateway" push "route 192.168.114.0 255.255.255.0" push "route […]
我是第一次这样做,所以我可能会错过一些非常基本的东西。 我在一台新的服务器上安装了Centos 7,并成功地连接上了networking。 现在我想能够ssh进入主机。 首先,我需要findIP地址。 我相信在Centos 7上这样做的正确方法是使用命令ip addr show并使用inet下的地址监听来设置nic(对,这是正确的吗?) 我无法ping通这个地址。 使用nmap -p7 -Pn $(addr) ,我看到有一个主机在这个地址(我认为它是我的!),但是这个端口(和ssh端口22)被过滤: Host is up. PORT STATE SERVICE 7/tcp filtered echo 我认为这将意味着防火墙是问题。 只是为了检查,我试图用systemctl stop firewalld彻底closuressystemctl stop firewalld并validation它是systemctl status firewalld处于非活动systemctl status firewalld 。 但我仍然无法ping通服务器, nmap继续声称它被过滤。 所以这或者意味着别的东西在做过滤或者我有错误的IP地址。 接下来要检查的是什么?
我在位于美国东西海岸的两个数据中心有几台Linux(Debian)服务器。 我从每个位置select一台服务器作为NTP服务器。 NTP服务器与0-3.us.pool.ntp.org服务器同步时间。 这似乎迄今运作良好。 客户端被configuration为使用ntp1和ntp2。 我在客户端上设置了防火墙规则(UDP 123)。 我的问题是,如何configuration服务器,以便客户端可以使用我的NTP服务器,并防止我的NTP服务器成为公共时间服务器给其他人? 我不知道如何configuration服务器上的/etc/ntp.conf文件,以限制只有我的服务器,因为将有公共/私有IP地址的混合。 现在我有restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap这将限制每个NTP所在的本地子网。
我设置Nginx拒绝一个特定的IP地址,并希望确认它正在工作。 我怎样才能做到这一点? 原则上,我想要做这样的事情: ping -from <blocked ip address> <my ip address> 并看到被阻止的东西。
我有问题,我不能达到3306端口(MySQL),即使我在iptables设置它。 我该如何解决这个问题? root@vps191532:# iptables-save # Generated by iptables-save v1.4.21 on Thu Oct 22 20:42:38 2015 *filter :INPUT ACCEPT [695:36753] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [469:37083] -A INPUT -p tcp -m tcp –dport 3306 -m state –state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp –sport 3306 -m state –state ESTABLISHED -j ACCEPT COMMIT # […]