我build立一个ipv6唯一的代理服务器。 所以我在一台服务器上设置了一个squid代理,在eth0上有一对ipv6地址,我在eth1上使用1个ipv4地址来访问代理。 然后,我修改了ip6tables以随机化一组IPv6地址作为POSTROUTING SNAT。 当我使用代理访问支持ipv6的站点时,代理将根据需要使用随机IPv6地址。 但是,对于不支持IPv6的站点,它使用IPv4地址(我用来连接到代理服务器的地址)。 我想阻止它使用ipv4地址,只是在网站不支持IPv4的情况下丢弃请求。 任何人有任何想法如何做到这一点?
我有一个需要控制的iptables,以确保除了我的应用程序没有其他规则被添加。 而不是定期获得iptables的转储,并检查是否有什么改变Linux / iptables提供了一个应用程序/服务来控制iptables的任何其他手段?
我一直在努力接近一切。 我已经build立了一个新的DNS服务器与CentOS 7服务器之一。 安装是新鲜的,但不知何故,我不能打开端口53的服务。 我看了,每个人都在谈论的firewalld没有安装,所以我假设它正在运行iptables。 如果我运行这些命令: iptables -A INPUT -p tcp –dport 53 -j ACCEPT iptables -A INPUT -p udp –dport 53 -j ACCEPT 然后运行iptables- -L ,添加的结果显示为 ACCEPT tcp — anywhere anywhere tcp dpt:domain ACCEPT udp — anywhere anywhere tcp dpt:domain 完整的iptables输出是 target prot opt source destination ACCEPT udp — anywhere my.domain.com udp spts:1024:65535 dpt:domain […]
我在centOS上运行ISC DHCP deamon,并希望在到达dhcpd之前阻止不需要的(通过客户端MAC地址)发现消息。 我怎样才能做到这一点与iptables或其他?
Nagios服务器在Docker容器中运行。 它正在通过在networking中的各种主机上运行的NRPE来进行主机检查。 docker主机是10.10.100.100 Iptables只允许来自10.10.100.100的tcp 5666入站,用于入站NRPE检查 来自Nagios的nrpe检查成功通过了防火墙。 这将certificate数据包源地址确实是10.10.100.100 NRPEconfiguration有: server_port=5666 allowed_hosts=10.10.100.100 在进行nrpe调用时,NRPE syslog指出: Oct 20 18:42:32 dockerz01 nrpe[13382]: Allowing connections from: 10.10.100.100 Oct 20 18:42:59 dockerz01 nrpe[13411]: Host 172.20.0.2 is not allowed to talk to us! 这意味着发送给NRPE的数据包将具有源地址172.20.0.2(这是Docker桥接networking内的Docker容器IP)。 如果是这样,它将如何通过防火墙? 这不太合理,我有点难过 当然,通过在NRPEconfigurationallowed_hosts=172.20.0.2中设置allowed_hosts=172.20.0.2可以解决这个问题,但这并不是allowed_hosts=172.20.0.2的,并不能真正解决这个问题。 Nagios是否发送它认为是NRPE数据包中的“源”IP,这就是NRPE判断“源”地址的来源? 如果是这样,那怎么能改变呢? 我在这里错过了什么? 我的目标是把Docker主机作为allowed_host,因为我知道这是静态的,不会改变。
当我尝试通过我的热点访问我的局域网(192.168.1.0/24)时遇到问题,这个热点在VPN后面提供了一个DHCP连接。 目前我的热点工作正常,DHCP连接是function,我成功地在网上冲浪槽,但我想允许ping到我的局域网。 要更清楚,我想能够从192.168.220.0/24 ping 192.168.1.0/24 请在下面find我的iptables脚本: #!/bin/bash #On flush les anciennes règles iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT #On autorise les requêtes local sudo iptables -A INPUT -i lo […]
我使用Linux机器作为路由器,将eth1上的LAN 192.168.1.1/24路由到eth1上的WAN 172.16.1.5/24 ,这里的IP被分配给这个路由器。 现在我需要将一个HP Jetdirect打印机在172.16.1.21:9100映射到局域网用户的192.168.1.1:9100 。 如何写iptables规则?
我有一个多WANnetworking。 默认网关是router0。 我在这里使用router1来连接受限制的networking。 WAN: 172.16.5.0/24 LAN: 192.168.1.0/24 router0: 192.168.1.1, [Internet], default gw [Internet] router1: 192.168.1.3(eth2), 172.16.5.6(eth0), default gw 172.16.5.254 我想为局域网用户转发WAN SSH服务器10.1.2.3:22到192.168.1.3:999。 广域网通过172.16.5.254提供从172.16.5.6到10.1.2.3的路由。 我在router1上设置这些iptables ,但它不起作用: iptables -t nat -A PREROUTING -p tcp –dport 999 -i eth2 -j DNAT –to-destination 10.1.2.3:22:22 iptables -t nat -A POSTROUTING -p tcp -s 10.1.2.3:22 -j SNAT –to-source 192.168.1.3:999 我怎样才能做到这一点?
我试图理解iptables图中的多重路由决策。 当数据包第一次到达时,可能会在“mangle PREROUTING”中进行更改,而不是作为数据包的第一个目标的本地处理。 但是图中另一个“路由决策”块的目的是什么呢? 例如,如果数据包在“mangle OUTPUT”中更改为本地传送,则图的底部将执行“Routing Decision”选项。 我认为它不能将包传递回“mangle INPUT”。 iptables的工作原理图
所以我在我的虚拟机中使用Linux时遇到了困难。 基本上我想实现的是单向阻止FTP连接1个客户端访问networking。 我的意思是说:客户端1可以连接到服务器,但不能接收任何文件…或者只是阻止连接,客户端无法访问服务器,这将工作。 我不想使用状态过滤,就像尽可能基本的iptables。 从谷歌search很多,我根本无法得到我的规则工作.. :(这是我到目前为止,不起作用。 这是我有的设置: Client 1 Server [X]—–ftp,ping———–[O] .118 .207 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p 192.168.1.118 -p tcp -i eth0 –dport 20 -j ACCEPT iptables -A INPUT -p 192.168.1.118 -p tcp -i eth0 –dport 21 -j ACCEPT iptables -A OUTPUT-p 192.168.1.118 […]