我有我的应用程序(WordPress)和数据库(MySQL)在不同的服务器上; 他们连接在由主机服务提供商提供的专用networking上, 为了安全 ,我已经采取了所有的初步步骤 (我知道的) 。 通常,我遵循这些IPTables规则: *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allow all outbound traffic […]
我面临的问题,我的iptables规则不再工作了,我从Ubuntu 8.04的操作系统改为Debian Squeeze。 我正在尝试通过端口转发 iptables -t nat -A PREROUTING -d $extip -i eth0 -p tcp -m tcp –dport 5777 -j DNAT –to-destination 192.168.10.169:5777 /proc/sys/net/ipv4/ip_forwarding is set All policies are set to ACCEPT 192.168.10.169 is in FORWARD chain tcpdump输出: IP some_ip.33517 > ext_ip.5777: Flags [S], seq 3521672809, win 14600, options [mss 1450,sackOK,TS val 1691129923 ecr 0,nop,wscale […]
当我使用在另一个服务器上托pipe的DNS进行访问时,我遇到问题,该服务器执行redirect到我的内部networking。 例: 用户尝试访问内部DNS:intranet.site.com:8090(182.12.1.1:8090> 192.168.1.151:80) 我的路由器不允许访问。 我试过NAT不成功…. 用iptables可是我这里在公司是直接ADSL路由器坏的!
我有一个5公共IP地址范围。 (即:1.1.1.1至1.1.1.5) 我想以一种VPN路由器(RV082)通过它连接并透明地响应的方式将第一个端口分配给端口1。 我想分配其余的每个后续端口的NAT。 (即:端口2 1.1.1.2) 我怎么能做到这一点? 编辑: networking拓扑结构: WAN以太网电缆连接到FortiGate 100D上的WAN1,configuration为具有NAT的路由器,用于第一个IP xx.xx.xx.1 WAN公共IP范围包含5个IP地址(xx.xx.xx.1 o 5) 我有一个RV082作为networking的路由器使用IP xx.xx.xx.1插入,但是在接收到100D Fortigate之后,我将其插入networking的主要控制设备,以分配5个不同的WAN IP地址透明地连接到不同的端口,例如RV082可以像以前那样连接,而100D上的其他端口可以与不同的IP一起使用
我使用这个规则允许通过OpenVPN访问互联网: -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 然而,通过VPN的stream量来自于盒子的主要IP。 eth0有一个/ 29可用 – 我如何指定一个不同的外部IP? 还是比化妆舞会有更好的解决scheme?
我正在尝试在openwrt中应用一些iptables转发规则。 这是我的场景 – 我的服务器有两个卡ath0和br-lan。 br-lan连接到互联网,ath0连接到专用networking。 在networking中的另一台机器也有ath0连接到这台服务器的ath0,他们可以互相ping通。 现在,我想让networking中的其他机器使用服务器的br-lan使用互联网,所以我想使用iptables forwarding rule- 这是我试过的 – 服务器: $ ping 1.1.1.6 // <ath0-ip of client> works fine $ iptables -A FORWARD -i ath0 -o br-lan -j ACCEPT $ /etc/init.d/firewall restart 客户: $ ping 1.1.1.5 // <ath0-ip of server> works fine $ ping 132.245.244.60 // <br-lan ip of server> (not working) 我是新来的iptables的东西和openwrt。 […]
我的一个运行Ubuntu 13.04的Proxmox虚拟机在启用ufw时不会接受传入的跟踪路由。 什么命令给ufw允许传入跟踪路由(6)? 以下显示在启用ufw的系统日志中: 50:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=1 ID=33400 PROTO=UDP SPT=63757 DPT=33466 LEN=32 Nov 4 16:20:36 web kernel: [8078158.260409] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=1 ID=33401 PROTO=UDP SPT=63757 DPT=33467 LEN=32 Nov 4 16:20:41 web kernel: [8078163.262626] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=2 […]
我在中央路由器上运行防火墙。 最近有几个用户想使用Skype。 由于Skype防火墙实际上意味着closures防火墙,因此我认为允许用户暂时为系统打孔。 由于用户在路由器上没有帐户,我考虑使用Kerberos进行身份validation和授权。 路由器是一个Debian Squeeze盒子,configuration最less,即没有networking服务器,数据库或类似的噱头。 有没有人知道现有的解决scheme,可以用于这个目的? 还是有人知道易于使用和良好的文档说明的Perl,Python,C,C ++等框架…使Kerberosauthentication的客户端和服务器应用程序的设置非常简单?
我会安装l7-filter来阻止P2P洪stream,首先,我有一个linux debian。 我通过下面的命令安装 apt-get install l7-filter-userspace 然后运行命令 iptables -I FORWARD -m layer7 –l7proto bittorrent -j DROP 但面对的错误: iptables v1.4.14:无法加载匹配`layer7':没有这样的文件或目录 试试`iptables -h'或'iptables –help'以获取更多信息。 我真的不知道我该怎么办?
对于初学者来说,这不是一个Web服务器。 我想允许或拒绝服务器本身的各种端口上的HTTP方法。 理想情况下,可以编写像UFW这样的规则,只扩展到包含HTTP方法 例如 ufw allow 80 -method GET -deny POST,PUT,DELETE 有没有什么轻量级的解决scheme呢? 谢谢。 服务器通常运行诸如elasticsearch,redis等产品。只允许来自特定IP的各个端口上的操作是非常好的。