我已经在“服务器”设置下的服务器上设置了Logcehck。 我有我的iptables设置为拒绝input未使用的端口。 因此,我每天会收到10-50个日志邮件,其中包含以下内容: date服务器IP,内核:[数字string] iptables_INPUT_denies:然后的细节。 我试图设置我的ignore.d来阻止这些,但无法弄清楚语法。 任何人都有一个简单的方法来阻止这个? 谢谢!
我正在设置一个代理服务器以允许TCP数据包的特定path。 当到达代理的PORT A时,TCP数据包需要被redirect到代理端口B.一旦到达端口B,它们需要被DNAT到目的IP,端口B. 我在代理服务器上使用iptables规则,并将虚拟机设置为path中的每个IP地址,并使用netcat发送和监视TCP数据包。 我已经尝试了很多东西,但数据包似乎停止在代理,端口B.什么是这样做? 我在用着 -A PREROUTING -p tcp –dport PORT_A -j REDIRECT –to-port PORT_B 将数据包从代理端口Aredirect到端口B,工作正常。 但是在这一步之后,我无法将数据包移动到目的IP,端口B. 我尝试在nat Output中捕获redirect的数据包,如下所示: -A OUTPUT -p tcp –dport PORT_B -j DNAT –to DESTINATION_IP:PORT_B 我尝试了另一个预路由规则,假设redirect的数据包需要在规则链上有另一个复原(参见底部的图像) -A PREROUTING -p tcp –dport PORT_B -j DNAT–to DESTINATION_IP:PORT_B 是的,我build立了我的转发链,让它通过,并启用IP转发。 任何帮助表示赞赏。 我是新来的iptables,这真是令我困惑。 PS我已经使用这个图像作为参考。
我们正在AWS上运行一个Spark集群。 对于开发,我们的数据科学家希望在本地主机上运行驱动程序。 然而,驱动程序正在托pipe一个火花工作者需要访问的服务器。 每个数据科学家都根据他们的证书在VPN上设置一个静态IP,并且工作正常,例如我们的数据科学家拥有由VPN分配的ip 10.8.0.30。 我希望能够将端口30000从客户端转发到VPC子网(10.0.1.156)上的VPN IP。 很明显,这并不是开箱即用,因为10.8.0.0子网不能从火花工作者那里得到。 如果我主持一个小的web服务器testing(端口30000),我可以通过curl 10.8.0.30:30000从vpn服务器到达它,但是我想能够curl 10.0.1.156:30000 。 我将如何做这样的事情? 我尝试设置一个DNAT / SNAT没有运气。
我在我的iptables中有这个规则 target prot opt source destination DROP tcp — !10.0.0.61 anywhere tcp dpt:sip DROP tcp — !c-74-70-17-69.hsd1.co.comcast.net anywhere tcp dpt:sip DROP tcp — !c-74-70-17-69.hsd1.co.comcast.net anywhere tcp dpt:http DROP tcp — !c-74-70-17-69.hsd1.co.comcast.net anywhere tcp dpt:https 正如你可以看到它允许sip,http或https。 现在,如果我使用这个添加另一个 iptables -I INPUT -p tcp! -s 10.0.0.61 –dport 443 -j DROP 也允许443 10.0.0.61,它不起作用,并显示这一点 target prot opt source destination DROP […]
我有这个奇怪的问题,我不能closures端口21.我使用数字海洋运行Debian Stretch 9.我对我的域运行nmap ,它显示端口21是打开的。 作为参考的域名是: https : //fadverts.co.uk 我有一个防火墙设置,只允许以下端口:22,80,443。我已经尝试iptables和ufw无济于事。 这是从ufw status numbered输出: [ 1] 22/tcp LIMIT IN Anywhere [ 2] 80/tcp ALLOW IN Anywhere [ 3] 443/tcp ALLOW IN Anywhere [ 4] 22/tcp (v6) LIMIT IN Anywhere (v6) [ 5] 80/tcp (v6) ALLOW IN Anywhere (v6) [ 6] 443/tcp (v6) ALLOW IN Anywhere (v6) 这是iptables的输出: […]
你好,对不起我的英文不好。 我有一个基本的防火墙做NAT与默认的政策INPUT和FORDWARD到DROP。 我学习/添加QoS到我的服务器/防火墙,我有一个问题: 如果我添加一个IPTABLES RETURN,标记一个数据包之后,netfilter将停止执行mangle检查,如果不符合任何条件,或者通过防火墙忽略默认的DROP,将丢弃数据包。 必须有任何其他安全考虑与QoS规则,可以干扰我的防火墙安全?
我不确定在freepbx服务器上使用iptables的最好方法是阻止来自随机外部主机的所有传入SIP连接,并且只允许SIP中继提供程序的公共IP。 服务器在路由器后面,因为端口5060-udp被转发到VoIP服务器。 我热衷于帮助进一步保护服务器的build议。 非常感谢
我想限制从指定的IP访问docker集装箱港口。 我用ipset设置iptables规则。 我公开了端口8888.来自端口8888的请求被转发到简单的泊坞窗networking服务器。 我用白名单IP地址定义ipset。 ipset create testfilter iphash ipset add testfilter 192.168.52.65 然后我创build了iptables规则。 带名称testfilter新链,带有端口8888 FORWARD规则应跳转到testfilter 。 来自testfilter链的第一个规则应该匹配来自白名单ipset的IP。 当IP与白名单不匹配时,来自testfilter链的第二条规则应该放弃通信。 iptables -N testfilter iptables -I FORWARD -p tcp –dport 8888 -j testfilter iptables -A testfilter -m set –match-set test_ips src -j RETURN iptables -A testfilter -j DROP 但是端口8888仍然可以从任何IP访问。 我也尝试使用INPUT规则而不是FORWARD规则,同时从规则中删除–dport参数,并把-m state –state NEW参数而不是那个。 任何想法如何解决?
以下信息显示了我的/ etc / network / interfaces,/etc/dnsmasq.conf,iptables-save输出和/ proc / net / ipv4 / ip_foward文件的当前内容。 从ifconfig -a信息(最后显示)中可以看到,ETH0适配器正在获取169.254.62.167地址,而不是172.24.1.xnetworking上的地址。 当我从我的笔记本电脑连接到WLAN0上的AP(HOSTAPD)时,我得到一个172.24.1.x的地址,并可以SSH入机器(172.24.1.1),我可以SSH到192.168.1.xnetworking上的机器。 ETH0适配器连接到该networking上的其他4台机器的交换机。 我希望172.24.1.1主机上的ETH0适配器能够从DNSMASQ池获取地址,我希望其他四台机器也能从172.24.1.1主机获得一个地址。 如果需要,我愿意静态地解决所有问题,但是,如果可能的话,我想使用DHCP。 关于如何让eth0networking从172.24.1.1主机获得DHCP地址,以及如果可能的话,让位于同一networking(连接到交换机)的其他机器也可以请求DHCP地址。 /etc/network/interfaces source-directory /etc/network/interfaces.d auto lo iface lo inet loopback allow-hotplug eth0 iface eth0 inet dhcp allow-hotplug wlan0 iface wlan0 inet static address 172.24.1.1 netmask 255.255.255.0 network 172.24.1.0 broadcast 172.24.1.255 allow-hotplug wlan1 iface wlan1 inet dhcp […]
我有一个设置,从我的网卡上的很多IP地址(eth0)接收镜像stream量 。 我想把收到的数据包发送到一个特定的IP地址(比如8.8.8.8)到一个在同一个主机上运行的docker容器(比如IP 172.17.0.2) 包(dst 8.8.8.0等) – > eth0 – >过滤8.8.8.8使用iptables – > docker container(172.17.0.2) 由于数据包不注定我,我无法过滤使用iptables和DNAT到docker集装箱。 由于我是新手,任何帮助将不胜感激。 有一个类似的问题,但没有真正得到它。 使用iptables过滤镜像端口stream量 编辑:网卡已经在混杂模式,因为我同时运行tcpdump。 我不知道这是否有助于回答,但NIC只用于接收镜像stream量。 并没有分配给它的IPv4。