我正在运行VPS,部署了一些项目。 由于我是唯一访问服务器的人,而且我有一个固定的IP,所以我决定configurationiptables,这样服务器访问只能从我的固定IP访问。 因为我非常关心安全问题,所以当我只有我的固定IP有权访问时,我不确定是否需要额外的东西来保护我的服务器。 是否有额外的安全改进,我不得不考虑?
我的服务器被长度为4的UDP数据包充斥(头是32字节)。 04:56:26.844797 IP 108.241.236.114.47034 > 185.5.173.249.14522: UDP, length 4 04:56:26.844831 IP 5.2.81.91.41240 > 185.5.173.249.14522: UDP, length 4 04:56:26.844866 IP 210.87.250.55.40919 > 185.5.173.249.14522: UDP, length 4 04:56:26.844900 IP 94.73.142.23.55904 > 185.5.173.249.14522: UDP, length 4 04:56:26.844940 IP 122.146.80.27.53779 > 185.5.173.249.14522: UDP, length 4 04:56:26.844970 IP 151.164.8.177.57392 > 185.5.173.249.14522: UDP, length 4 04:56:26.845003 IP 107.199.209.29.58712 > 185.5.173.249.14522: UDP, […]
我有一个脚本,试图连接到rabbitmq使用默认的url和端口( localhost:5672 )。 是否有可能使Linuxredirect到此URL的所有连接和端口到不同的服务器? 我正在创造一些概念certificate,这样的事情对我来说是有用的。
我在一台centOS机器上对我的iptables做了一些修改。 我注意到,一旦我closures服务器刷新所有我的iptables,并返回到默认值。 有没有办法把这个关掉?
我在云虚拟机上configuration了一个小型networking。 这个虚拟机有一个分配给eth0接口的静态IP地址,我将叫$ EXTIP。 mydomain.com指向$ EXTIP。 里面,我有一些Linux容器,通过在子网10.0.0.0/24(我称为虚拟接口nat )通过DHCP获得他们的IP。 他们运行一些可以通过DNAT达到的服务。 然后我想通过IPSec隧道连接到这些容器,所以我configuration了StrongSwan。 ipsec.conf文件: conn %default dpdaction=none rekey=no conn remote keyexchange=ikev2 ike=######## left=[$EXTIP] leftsubnet=10.0.1.0/24,10.0.0.0/24 leftauth=pubkey lefthostaccess=yes leftcert=########.pem leftfirewall=yes leftid="#########" right=%any rightsourceip=10.0.1.0/24 rightauth=######## rightid=%any rightsendcert=never eap_identity=%any auto=add type=tunnel 一切工作正常,IPSec客户端获得10.0.1.0/24子网的IP,并可以到达容器子网。 我的问题是,我无法通过隧道获得SSH连接。 它根本不工作,SSH客户端不会产生任何输出。 用tcpdump嗅探给出: tcpdump的: 09:50:29.648206 ARP, Request who-has 10.0.0.1 tell mydomain.com, length 28 09:50:29.648246 ARP, Reply 10.0.0.1 is-at 00:ff:aa:00:00:01 (oui Unknown), […]
在/etc/fail2ban/jail.local ,当我将MTA设置为Postfix时,Fail2Ban显示错误,无法启动。 [DEFAULT] ignoreip = 127.0.0.1/8 bantime = 1800 maxretry = 4 destemail = [email protected] mta = postfix action = %(action_mwl)s 错误: WARNING 'findtime' not defined in 'ssh'. Using default value ERROR /etc/fail2ban/action.d/postfix-whois-lines.conf and /etc/fail2ban/action.d/postfix-whois-lines.local do not exist ERROR Error in action definition postfix-whois-lines[name=ssh, dest="[email protected]", logpath=/var/log/auth.log, chain="INPUT"] ERROR Errors in jail 'ssh'. Skipping… ['set', 'loglevel', […]
我得到了lo ( 127.0.0.1 )和eth0 ( 172.17.0.8 )。 我想redirect到127.0.0.1:80数据包到172.17.42.1:80 (从eth0路由)。 我试过了 iptables -t nat -A OUTPUT -p tcp –dport 80 -d 127.0.0.1 -j DNAT –to 172.17.42.1:80 但是当我curl localhost:80我没有得到任何回应,当我curl 172.17.42.1:80它只是工作。
在我们的服务器上运行top给我们 平均负载:68.67,63.48,60.30 我们怀疑这是来自太多的httpd连接。 运行: netstat -tun 2>/dev/null | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr 给我们(所有IP转换为私人地址): 418 176 192.168.1.1 41 192.168.1.2 8 192.168.1.3 5 192.168.1.4 5 192.168.1.5 4 192.168.1.6 2 192.168.1.7 2 192.168.1.8 2 192.168.1.9 2 127.0.0.1 1 servers) 1 Address 1 192.168.1.10 1 192.168.1.11 正如你可以看到192.168.1.1 (从广域网地址转换,就在这里),它似乎有176连接到我们的服务器。 […]
我试图从一台服务器转移到另一台服务器。 我已经尝试了无数的iptables命令,但他们不工作。 难道我做错了什么? 这是我的设置: VPS1:1.1.1.1 SMTP端口:25 UFW:OFF iptables策略:接受全部 主机名:mailbox.xxxxxx.com 操作系统:Ubuntu 14.04 邮件服务器:2.2.2.2 SMTP NAT端口:15324 我已经尝试了这些命令: iptables -t nat -A PREROUTING -p tcp –dport 25 -j DNAT –to-destination 2.2.2.2:15324 iptables -A FORWARD -d 2.2.2.2 -p tcp –dport 15324 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -nvL 链路PREROUTING(策略接受459个数据包,17802字节)pkts字节目标protselect输出源目标19 1088 DNAT […]
我需要在VMWare ESXi 6.0上安装一个虚拟机,可以访问互联网,但不能访问局域网。 这是一个外部用户远程login到机器,并使用互联网谁不应该有任何访问局域网的工作。 networking设置简单。 路由器是华为HG8244H,设置为192.168.1.1 / 255.255.255.0,没有任何Microsoft ISA服务器,我想: 将路由器networking掩码更改为255.255.0.0 在192.168.2.xnetworking中设置“外部用户”虚拟机。 使用iptables添加一个带有两个IP地址(192.168.1.x和192.168.100.x)的Linux虚拟机,将来自第一个虚拟机的任何stream量直接转发到路由器,并阻止对.1networking的所有其他访问。 这似乎是矫枉过正,所以我正在寻找一个更简单的解决scheme。 提前致谢!