服务器 Gind.cn

Articles of iptables

如何防止VPN用户在CentOS VPN网关上进行端口扫描

我使用CentOS作为VPN网关。 连接到我的服务器的用户可以访问互联网。 问题是一些用户的计算机感染了某种蠕虫,一旦连接到服务器,蠕虫就开始扫描私有IP范围的端口,如192.168.1.1-255 。 我不关心扫描,但是这与我的服务器托pipe公司的政策是不符的。 那么,我怎样才能防止端口扫描呢? 例如,我可以阻止发送到私有IP范围的所有传出数据包吗?

KVM + Cloudmin + IpTables

我在机器上有一个KVM虚拟化。 我使用Ubuntu Server + Cloudmin(为了pipe理虚拟机实例)。 在主机系统上,我有四个networking接口: ebadmin@saturn:/var/log$ ifconfig br0 Link encap:Ethernet HWaddr 10:78:d2:ec:16:38 inet addr:192.168.0.253 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::1278:d2ff:feec:1638/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:589337 errors:0 dropped:0 overruns:0 frame:0 TX packets:334357 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:753652448 (753.6 MB) TX bytes:43385198 (43.3 MB) br1 Link encap:Ethernet HWaddr 6e:a4:06:39:26:60 inet […]

GlusterFS的防火墙/ iptables规则

非常高兴能够知道在共享环境中使用哪个确切的iptables规则来保护GlusterFS 3.4.2(使用Debian Wheezy)。 我在ISP上运行一些专用的服务器。 有两台服务器(名为lb01和lb02 )同时充当节点和客户端。 我的实际规则如下所示: iptables -A INPUT -d localhost -p tcp –dport 111 -j ACCEPT iptables -A INPUT -d localhost -p udp –dport 111 -j ACCEPT iptables -A INPUT -d localhost -p tcp –dport 24007:24020 -j ACCEPT iptables -A INPUT -s lb01 -p tcp –dport 24007:24008 -j ACCEPT iptables -A INPUT -s […]

如何让被动FTP通过Iptables防火墙工作?

我有一个在Fedora Linux服务器上运行的iptables防火墙,它基本上被用作防火墙路由器和OpenVPN服务器。 而已。 我们一直在为YEARS使用相同的iptables防火墙代码。 我在12月21日做了一些改动,重新路由了一个mySQL端口,但考虑到发生了什么,我完全支持这些改变。 有些时候,这些改变后,从一个vsftpd进程中,被动的FTP退出,停止工作。 我们使用一个被动的ftp客户端来FLING(这是在Windows下运行的ftp客户端的名字:-))从我们的远程望远镜到我们的服务器的图像。 我相信这是在防火墙代码中的东西,因为我可以放弃防火墙和FTP文件传输(并通过Internet Explorer连接到FTP站点以查看文件列表)。 当我提高iptables防火墙,它停止工作。 再一次,这是我们多年来一直使用的代码。 但是,我觉得可能是我错过了,所以我使用了2009年的.bak文件。 同样的行为,被动的ftp不起作用。 所以,我一行一行地重新编译防​​火墙代码,看看是什么原因导致了这个问题。 一切工作,直到我把线 -A FORWARD -j DROP 在非常接近结束。 当然,如果我正确的话,那就是基本上“打开”防火墙的线路,除了上面所说的例外情况外,其他的一切都放弃了。 但是,自2003年以来,这条线一直在iptables的代码。 所以,我在绳子的尽头,我仍然不知道为什么这个停止工作。 我想我需要一个iptablesconfiguration专家。 这里是带有注释的iptables代码(来自iptables-save)。 # Generated by iptables-save v1.3.8 on Thu Jan 5 18:36:25 2012 *nat # One of the things that I remain ignorant about is what these following three lines # do […]

iptables:只允许build立的传出连接,如DMZ

我想模拟一个类似于DMZ的场景,其中server1(DMZ,10.1.1.0内)应该能够响应任何传入连接,并且不能自行创build新的传出连接。 如果有人提供了一个实例,我将不胜感激。 例: 我正在做一个简单的testing。 我正在从10.2.2.10访问10.1.1.10托pipe的网页。 所以如果这个规则是允许所有传入和只有相关/build立传出,我应该能够打开网页,并做所有的东西。 但有了这个规则,我无法访问网页。 如果我从10.2.2.10(server2)执行nc -v 80。 我获得成功,也可以看到在tshark传入的数据包 我尝试了一个iptables的规则,但它不工作,我期望的方式 *filter -A INPUT -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state –state NEW -j DROP -A OUTPUT -j ACCEPT -m state –state ESTABLISHED,RELATED COMMIT iptables -L -nv输出 iptables -L -nv Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target […]

Centos 6似乎忽略了iptables规则

解: 这与iptables无关。 这是我的路由器阻塞所有端口的问题。 我刚刚添加了一个规则,允许传入连接到VNC端口。 题: 我正在变得疯狂。 我在CentOS 6.6,我只是想添加一个简单的规则,以打开端口5901(VNC服务器),并允许传入连接的iptables。 以下是我编辑iptables文件的方法: vi /etc/sysconfig/iptables iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 5901 -j ACCEPT 然后我重新启动了vncserver和iptables。 这是iptables -L的输出 ACCEPT tcp — anywhere anywhere state NEW tcp dpt:vnc-800x600x16 这里是iptables -v -n -L的输出: Chain INPUT (policy ACCEPT 4428 packets, 5769K bytes) pkts bytes target prot opt […]

将传入的数据包redirect到环回

我正在尝试使用iptables将eth0上的传入数据包redirect到在回送接口上监听的服务。 基于这个链接,我试图制定以下规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT -o lo –to-port 80 但是我得到了如下所示的错误: Can't use -o with PREROUTING 手册页解释了为什么这不起作用: (REDIRECT) redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface 我如何接收传入的数据包并将它们馈送到回送接口?

命令为OS X Mavericks的传出数据包设置dscp / ToS值?

我想为通过端口22发送的所有数据包设置一个特定的DSCP(或ToS)值。我有一个iptables命令来这样做,但小牛只有相当于pfctl,我不知道如何将命令转换为PF。 谁能帮忙? 我怎样才能应用这个设置,但是使用pfctl而不是iptables: iptables -A OUTPUT -p tcp -m tcp –sport 22 -j DSCP –set-dscp 0x10 谢谢

允许使用负载平衡器访问网站(更改IP),禁用iptablesrest

我需要阻止访问除一组工作站上的几个URL之外的所有网站。 显然,这些网站中有一些是负载均衡的。 我使用iptables: iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -s my.dns.ip -j ACCEPT # local DNS … # some other websites iptables -A INPUT -p tcp -s www.rcsb.org -j ACCEPT # problematic website, load balanced? iptables -A INPUT -p tcp […]

如何从挖掘中删除请求?

基本上,我得到了大量的请求到我的命名/绑定服务,基本上这些请求被拒绝的命名,这些是我得到的消息,从吨ips。,如何extacly我可以放弃拒绝他们的请求,谢谢提前。 Jan 20 16:43:01 lexneva named[2704]: client 66.230.160.1#7699: query (cache) './NS/IN' denied Jan 20 16:43:01 lexneva named[2704]: client 66.230.160.1#13391: query (cache) './NS/IN' denied Jan 20 16:43:02 lexneva named[2704]: client 66.230.128.15#43014: query (cache) './NS/IN' denied Jan 20 16:43:04 lexneva named[2704]: client 66.230.128.15#45178: query (cache) './NS/IN' denied
Intereting Posts
GNOME桌面放慢了Ubuntu Server 9.04的速度? 尝试通过pam-mysql更改密码时出现令牌错误 Linux服务器虚拟以太网接口停止响应arp请求 覆盖Icinga中的隐式inheritance服务 在同一networking中获取IP地址和计算机名称 重写移动url的规则 我如何知道在MongoDB服务器上是否启用了NUMA? MySql *完全随机*无法连接 Server 2008 R2的Windows时间 使用Golang应用“gcloud app deploy”后出现错误 使用squidview来查看用户现在滥用networking 'co.uk'是顶级域名吗? 仅从一台服务器恢复Exchange 2010 httpd将不会以更新的SSLCipherSuite(POODLE)开始 configuration通往Nexentastor设备的SSH隧道以配合无人机Crashplan使用的问题