我有一个充满活力的2820n路由器,我希望允许外部(公共)服务调用一个调用HTTP服务器的特定端点,例如http://my.public.ip:8989/open_to_the_world 。 到目前为止这么好,我可以做到这一点将打开路由器上的端口8989和映射到我的Web服务器.. 但是,这可以访问整个Web服务器,而不仅仅是访问端点open_to_the_world ; 有没有什么办法可以允许stream量通过open_to_the_world端点通过,而所有其他stream量都被路由器configuration拒绝?
我有一个主机( A )与lxc容器( B )。 A本地IP地址是10.0.3.1和公共IP,比如说1.2.3.4。 B的本地IP地址是10.0.3.21。 我需要1.2.3.4:7999被转发到10.0.3.1:7999,我创build了以下规则: iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 –dport 7999 -j DNAT –to 10.0.3.21:7999 iptables -A FORWARD -p tcp -d 10.0.3.21 –dport 7999 -j ACCEPT 当我从外界连接到A (1.2.3.4:7999)时,我连接成功。 但是当我尝试从A连接到B (连接超时)时,我正在下降。 我应该创build哪些规则以便能够从10.0.3.1连接到1.2.3.4:7999?
我正在寻找一个很长的解决scheme,但无法find有用的东西。 我的networking服务器是由防火墙(ufw用户界面的iptables)保护。 默认是全部拒绝,只有一些端口是开放的。 服务器由prtg监视。 我的问题是,有人试图访问被阻止的端口每秒几次。 如果发生这种情况,监控工具会报告ping超时。 简单的DDOS deflate脚本被configuration为阻塞超过100个请求。 这个数量没有达到。 我的问题:是否有可能防止这一事件? 被防火墙挡住这个performance是否饿了?
我有一个文档系统,需要定期向不在同一networking上的用户发送用户更新。 文档系统所在的networking到目前为止是封闭的。 我必须只允许从networking发送邮件。 我有一个Netgear Prosafe防火墙FVS318。 我只是创build了一个自定义规则,阻止除了端口25和现在53以外的所有传出端口。这是足够的吗? 端口现在改变如下图所示
我们有一台启用了远程桌面的服务器,但是我们只能从局域网内访问服务器。 端口3389上的端口转发在网关/调制解调器(Comcast SMCD3G)上build立,canyouseeme.org表示端口是开放的,但是当我尝试连接WAN IP时,它说“远程桌面无法访问指定的计算机”。 服务器和网关之间唯一的一个是Netgear ProSafe GS716T,但是我没有看到任何会干扰远程桌面的设置,所以我不知道为什么它不工作。
我必须在Open DNS服务器上pipe理一台服务器。 最近,它被严重滥用ddos dns放大攻击未知的互联网攻击者。 这种DNS服务被某些本地主机程序和内部网客户端所使用,我并不完全明白,这就是为什么我怕任何重新configuration到DNS服务本身。 不过,我认为如果我拒绝来自外部互联网的所有DNS请求,它可能会解决我的问题。 我的问题是: 1)如何使用iptables拒绝来自外部networking的所有DNS请求,使localhost和intranet(IP:10.0.0.X和10.0.1.X)保持不变? 2)不会伤害内部networking的DNS服务的可用性吗? 3)它不会损害服务器上的其他互联网服务(网页+邮件+数据库)的可用性吗? 我们网站上目前使用的所有域名都由其他服务器上的其他公司pipe理,据我所知,外部互联网用户不需要访问我们的DNS服务。 谢谢。
我的问题是关于多播和iptables 。 我希望允许来自本地VLAN 192.168.1.0/24以及CentOS机器上的0.0.0.0 ICMP和IGMP组播,所以我在入站链上添加了以下规则: #ACCEPT – 来自当前VLAN的组播224.0.0.1以及0.0.0.0 # – ICMP iptables -A IP-INPUT -s 192.168.1.0/24 -d 224.0.0.1 -m pkttype -pkt-type multicast -protocol icmp -j ACCEPT iptables -A IP-INPUT -s 0.0.0.0 -d 224.0.0.1 -m pkttype -pkt-type multicast -protocol icmp -j ACCEPT # – IGMP iptables -A IP-INPUT -s 192.168.1.0/24 -d 224.0.0.1 -m pkttype -pkt-type multicast […]
我们已经在虚拟化(OpenVZ)环境中成功地使用了CSF,并结合了venet和桥接接口,所以我们可以使用公有IP +本地寻址的虚拟系统。 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.100 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.24 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr10 0.0.0.0 xxx.xxx.xxx.254 0.0.0.0 UG 0 0 0 vmbr0 我们通过一个iptables规则来路由“本地”ips的stream量: […]
gutenberg.org根据http://www.gutenberg.org/error403.php阻止访问所有托pipe服务 如何做到这一点? 有一个主机ips列表? 另外,这些会被添加到脑脊液?
今天早上,我收到几个最终用户的投诉,说他们的整个部门networking很慢,间歇性的。 因此,我已经检查过防火墙,看看设备是否出现问题。从FortiGate仪表板状态观察,CPU资源非常高(99%)。 我的第一个假设是清除日志,因为在警报日志中,Fortigate日志提到它已经满了90%。根据我的理解,可以通过重新启动防火墙来清除日志。 重新启动防火墙后,networking似乎再次好起来,但几分钟后,再次上升。条件仍然持续到现在。 有人可以告诉我,我可以检查解决这个问题吗? 我非常感谢能够到达的任何帮助。谢谢。 编辑: diag sys top命令