当我执行这个IPTables命令: iptables -A INPUT -p tcp -m tcp –dport 9080 -s localhost -d localhost -j ACCEPT iptables -L显示: ACCEPT tcp — localhost localhost tcp dpt:9080 ACCEPT tcp — localhost localhost tcp dpt:9080 ACCEPT tcp — localhost localhost tcp dpt:9080 ACCEPT tcp — localhost localhost tcp dpt:9080 为什么四次? 我的意思是,它做我想要的,但为什么它需要显示四次? 编辑:在我身边input的重复这个(多次)的所有命令是: iptables -A INPUT -i lo -j […]
我将自动添加和删除条目到脚本(添加不同IP地址的端口80/443)。 如果我运行这个脚本,我假设连接将不间断,除非我删除一个IP。 我在这个想法中纠正了吗? 这是我的脚本: iptables –flush iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp –dport ssh -j ACCEPT iptables -A INPUT -p tcp –dport 80 -s 1.2.3.4 -j ACCEPT iptables -A INPUT -p tcp –dport 443 -s 1.2.3.4 -j ACCEP […]
我有一些networking爬虫,一段时间后,一个特定的网站似乎暂时阻止了stream量。 即使所有的客户端都具有相同的外部IP地址(他们通过同一个网关访问互联网),它也会阻止来自我的networking的特定机器。 也就是说,这不是一个简单的IP地址块。 这怎么可能发生? 什么样的规则可以做(在networking服务器或防火墙等)来获得这种行为? 规则可以基于MAC地址还是其他机器特定的数据?
我不想在这里犯任何罪行,但每当我看看我的服务器的日志,我可以看到我不断在中国的IP地址尝试login到我的机器,希望获得暴力强制密码pipe理员或pipe理员或根等 我们位于英国,我们的服务器也在英国的数据中心。 我们有一些IP用于访问远程桌面的机器,一些用于这些机器上的远程KVM控制台,一个用于我们的主交换机,一个是Cisco SG200,另一个是Web控制面板。 这些pipe理IP只能从英国合法访问,但我不能总是保证它将来自哪个IP地址。 我们有一些托pipe网站的虚拟机 – 它们运行在同一个范围内的不同IP上,但这些IP需要在全球范围内可用。 有什么方法可以限制在某个地理位置上访问某些IP? 比方说,英国的任何一个IP都可以访问,但其他国家不能? 在思科SG200上有什么可以做到这一点,或者是否有一些其他的价格合理的硬件可以坐在我的交换机前面呢?
好, 这是交易。 假设我面向公众的IP是10.0.01。 我不能从外部networking到10.0.01,不能从外部IP SSH到mikrotik路由器。 我可以做到这一点,如果我物理连接到路由器(在同一局域网)。 它允许我通过使用10.0.0.1或使用192.168.88.1 webfig和SSH。 但是,如果我在不同的局域网上,无法连接。 顺便说一句,我设置我的IP>服务> webfig的端口是64291和SSH是23。 这是我的防火墙规则和NAT。 规则 0 ;;; ALLOW ALL TO LAN chain=input action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix="" 1 ;;; ALLOW ICMP (Ping) ON ALL chain=input action=accept protocol=icmp log=no log-prefix="" 2 ;;; Drop Everything Else chain=input action=drop log=no log-prefix="" 3 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" […]
我没有得到一个在10.0.0.0/24子网中的IP地址在DHCP工作,应该服务于一个IP,我只得到一个IP在子网169.254.0.0/16 ( 链接本地地址 ),可能是由在笔记本电脑上运行的Windows来testing这个,这让我觉得这可能是networking防火墙阻止DHCP发现服务的问题。 如果这是由防火墙造成的,我应该打开哪些端口以使DHCP Discovery正常工作?
我正在尝试访问我们networking上的链接 。 每当我尝试,页面超时。 我发现这个链接是一个Adobe ColdFusion网页。 ColdFusion是否使用80端口以外的TCP端口? 我怀疑我有一个防火墙的问题,但是我对ColdFusion并没有太多的了解。 我可以在其他networking上访问上面的链接,但是在我们的networking中它不能在任何计算机上运行。 我已经尝试了IE和Chrome。
希望有人能为我解决这个问题。 我在RHEL7.1,我注意到,在iptables中,我有一个规则,允许任何传入。 我运行这个命令来获取行号和接口只是为了确保: iptables –line-numbers -L -v –verbose 这是输出。 (仅限第一行) 1 30M 2931M ACCEPT all — any any anywhere anywhere state RELATED,ESTABLISHED 这是来自input链。 现在这是input链的最后一行: 42 243K 22M DROP all — any any anywhere anywhere 现在,我在input链之间也有很多规则。 但是我不明白为什么我甚至需要在最顶端的“任何”规则。 这不是打败了iptables运行的目的吗? 我在这里有一个错误configuration的防火墙吗?
我想知道是否可以通过接口查看防火墙后的数据包跳数。 让我们假设我有一个阻止UPD或ICMP的防火墙,所以当我跟踪路由的东西,我得到这个: C:\Users\vide>tracert terra.com.br Rastreando a rota para terra.com.br [208.84.244.116] com no máximo 30 saltos: 1 <1 ms <1 ms <1 ms 192.168.0.1 2 3 ms 1 ms 1 ms local switch 3 1 ms 1 ms 1 ms border router 4 * * * Esgotado o tempo limite do pedido. 5 * * * […]
我无法从远程服务器连接到mysql。 我有bind-address注释掉,但是当我在iptables中添加规则来阻止其他连接请求服务器的连接超时。 我试过这个build议 : iptables -I INPUT 1 -p tcp -s 1.2.3.4 –dport 3306 -j ACCEPT iptables -I INPUT 1 -p tcp –dport 3306 -j DROP 但我的联系仍然超时。 input这两行的顺序并不重要。 我试图连接时回显远程服务器的IP地址,这确实是我在我的iptables中使用的IP地址。 如果没有DROP行,连接就可以正常工作,就像在我的iptables中没有任何东西一样。 echo -e "target prot opt source destination\n$(iptables -L INPUT -n | grep 3306)" : target prot opt source destination ACCEPT tcp — 1.2.3.4 0.0.0.0/0 tcp […]