iptables是否有能力指定规则的第一个或最后一个匹配? 如果这样怎么样? 其次,当指定规则时,是否存在隐式删除,或者下面仅提供该function? iptables –policy INPUT DROP iptables –policy OUTPUT DROP iptables –policy FORWARD DROP
虚拟专用服务器主机10个网站。 1用iptables做的防火墙 如果这10个网站中的一个受到来自一个IP地址的太多ping请求的攻击,那么我怎样才能限制或放弃这个网站,而不会为其他9个网站放弃? 我是否为每个网站创build防火墙? 如果是这样,怎么样? 还是改变我的规则更好? 如果是这样,怎么样? 谢谢。 原来的问题是张贴在这里https://serverfault.com/questions/373259/iptables-whats-best-practice-when-therere-several-websites-but-you-want-to-us但它太模糊。 让我知道是否需要更多的信息。
我的目标是绝对closures我的Ubuntu服务器上的所有端口,除了端口22(SSH)。 我在这里关于服务器故障的这个问题的指示,加上说明在这里和这里 。 然而,经过指示,似乎我的港口仍然是开放的。 这里是80端口,例如: $ nmap -p 80 ###.###.###.### Starting Nmap 5.21 ( http://nmap.org ) at 2012-05-09 15:36 JST Nmap scan report for ###-###-###-###.name.name.com (###.###.###.###) Host is up (0.0065s latency). PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 1.63 seconds 这里是我的iptables的内容: # sudo iptables -L Chain […]
我有一台主机充当其他主机的网关。 eth0(192.168.1.3)通过路由器连接到互联网,eth1(172.16.2.50)通过交换机连接到内部networking。 鉴于此,该主机还运行绑定到eth1的服务并为内部networking提供服务。 我想把这个服务扩展到外部世界,并试图操纵iptables,以便通过eth0发送到这个主机的任何请求被发送到192.168.1.3:80发送到172.16.2.50,并且互联网用户也可以使用该服务。 这里是我设置主机作为网关的iptable规则(这些工作正常): sudo iptables -t nat -A POSTROUTING -s 172.16.2.0/16 -o eth0 -j MASQUERADE sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE sudo iptables -A FORWARD -s 172.16.2.0/16 -o eth0 -j ACCEPT sudo iptables -A FORWARD -d 172.16.2.0/16 -m state –state ESTABLISHED,RELATED -i eth0 -j ACCEPT 这些是我想添加到iptables的规则,以达到我的目的: sudo […]
我已经按照这里给出的答案设置我的Ubuntu服务器作为路由器和networking服务器。 我面对的接口eth0 ISP有一个私人的172.16.xx / 30 ip和我的lo接口有一个公共IP在上面链接的问题的答案中提到。 设置工作正常。 我遇到过的唯一障碍是我无法find一种方法来阻止在lo接口上公开的IP所暴露的端口。 我试着做iptables -A INPUT -i eth0 -j DROP ,并且我的服务器失去了与公共networking(互联网)的连接。 我无法ping任何公共ips。 我想要的是一种方法来阻止在公共接口上公开的ip暴露的端口。 而且我还需要iptables的规则,可以暴露端口像80或openvpn端口到公共networking。
我想在iptables中允许localhoststream量,所以我添加了规则 iptables -A INPUT -i lo -j ACCEPT 当我运行iptables -L它告诉我,这个规则被翻译成 ACCEPT all — anywhere anywhere 这使我困惑。 Doensn't这意味着iptables允许所有INPUTstream量? 请帮忙
在运行相当新的Apache和PHP 5.2的基于Red Hat的主机上,我们使用solr-php-client库连接到外部Solr服务器 。 这个库需要启用PHP指令allow_url_fopen 。 因此,我想禁用通过iptables传出的PHP连接,而不是连接到必要的服务器。 谷歌search适当的iptables规则导致许多错误的path。 什么规则将允许PHP通过CURL或fopen()连接到特定的服务器,但没有其他? 谢谢。
我想调用发送一个电子邮件(或运行一个特定的脚本,如果这是可能的),当一个iptables的DROP规则正在运行。 (例如,当我在5次SSHlogin失败后阻塞IP时,我想运行mail -s "SSH Blocked" [email protected]或类似的东西。有没有办法直接让iptables执行这个? 如果没有,那么我想我需要用外部工具扫描日志,然后发送电子邮件。 任何推荐的工具呢? 请注意,我正在使用systemd所以我正在使用journalctl而不是老式的日志文件。
我试图阻止所有来往于内部IP地址的stream量(此服务器充当networking路由器)。 到目前为止,我已经尝试了以下内容:iptables -A INPUT -s 192.168.1.111 -j DROP&iptables -A OUTPUT -d 192.168.1.111 -j DROP,其中192.168.1.111是我试图阻止stream量的IP地址。 局域网连接到br0。 这是我目前的iptables设置(我已经删除了端口转发等,以便更容易通过): # Generated by iptables-save v1.4.8 on Sat Feb 16 21:21:16 2013 *nat :PREROUTING ACCEPT [184556:41149689] :POSTROUTING ACCEPT [13698:835740] :OUTPUT ACCEPT [77252:6378101] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Sat Feb 16 21:21:16 2013 # Generated by […]
我如何将iptables的特定url列入白名单? 目前所有请求都被阻止。 IE: http : //www.apple.com/library/test/success.html 我需要将这个url列入白名单,这样我的强制门户才不会在iPad上触发Captive Network Assistant。 理想情况下仍然阻止对www.apple.com的请求。 此外,有没有办法使特定于某个用户代理的规则? 谢谢!