在我们的基础设施中,我们有一个负载平衡器(apache mod_balancer)和三个后端服务器,它们运行apache作为web服务,iptables作为防火墙。最近其中一个给出了很多“(110)连接超时:proxy:HTTP:attempt连接到10.0.0.15:80(www.domain.com)失败“我通过不同的端口(9999)检查了这台服务器和负载平衡器之间的连接,它工作正常 我切换负载平衡器通过其公共IP连接到后端服务器,超时错误消失,这certificate问题不在后端的Apache服务器。 我试图让负载均衡器通过端口80从后端服务器获取一个文件,也失败了。 更新: <Proxy Balancer://cluster-fcgid lbmethod=byrequests timeout=10 maxattempts=2 > BalancerMember http://backend.domain.com loadfactor=1 retry=30 max=130 timeout=40 BalancerMember http://backend2.domain.com loadfactor=1 retry=30 max=90 timeout=40 </代理> 第三方服务器具有相同的configuration,但由于限制,我无法添加它。 更新: 防火墙表 *过滤 :input接受[0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :MYFIRE – [0:0] -A INPUT -j MYFIRE -A FORWARD -j MYFIRE -A MYFIRE -i lo -j ACCEPT -M MYFIRE -m状态 […]
我想过滤通过Fedora Linux机器上的虚拟桥接的数据包。 我已经启用了以下多个指南中所述的sysctl选项: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-arptables = 1 如果一个数据包从一个端口跨接到另一个端口,我期望它通过ip(6)表的filter表的FORWARDING链传递,但事实并非如此。 有什么需要额外configuration吗? 曼努埃尔
这里是我想用来设置openvpn隧道的安全防火墙的脚本,其中我所有的互联网stream量都通过vpn。 我有以下几个问题: #!/bin/sh # # iptables example configuration script # # Flush all current rules from iptables # iptables -F iptables -t nat -F iptables -t mangle -F # # Allow SSH connections on tcp port 22 # iptables -A INPUT -p tcp –dport 22 -j ACCEPT # # Set default policies for INPUT, FORWARD […]
我有一台Linux机器用作Win XP机器的网关。 两者都在虚拟机中进行testing。 现在我想欺骗的Win XP用户(我)转发的IP地址:我想改变目的IP地址。 例如,我想去1.1.1.1,但是linux网关把它改成了2.2.2.2所以如果我期待1.1.1.1的网页,我会得到改变的,2.2.2.2的例子想要去Facebook,我被迫去Google主页。 我该怎么做? 随着prerouting? 因为我做了很多尝试,但没有人工作:(
我有以下情况是转发到远程控制到MS Server 2008的iptables的路由器,但我还没有能够使其与当前的iptable规则,我有: -A PREROUTING -p tcp –dport 3389 –destination 192.168.0.5 -A PREROUTING -p udp –dport 3389 –destination 192.168.0.5 192.168.0.5是MS服务器的地址,所以我尝试将请求redirect到它。 任何build议。 编辑 这是什么/etc/init.d/iptable状态抛出3389 grp 10 ACCEPT tcp — 0.0.0.0/0 192.168.0.5 tcp dpt:3389 113 ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 multiport dports 21,25,110,1143,143,2082,2095,2525,3306,3389,7080,7777 11 DNAT tcp — 0.0.0.0/0 190.181.129.51 tcp dpt:3389 to:192.168.0.5:3389 12 DNAT udp — 0.0.0.0/0 […]
我试图分享我的networking之间的VPN连接没有任何运气。 我有一个办公室,有几台电脑,我们使用iptables和我们的DNS服务器共享互联网连接,我们也有邮件和FTP服务器。 我们的ISP不断改变那里的规则,他们开始阻止像25,21和143这样的一些端口。所以我能想到的最好的解决scheme是使用vpn服务,使用静态ip地址来代替我的ISP ip地址。 我需要我的本地networking中的所有计算机都使用VPN IP地址,而不是我的ISP IP地址。 我的networking基础设施是这样的: 具有2个NIC的主DNS服务器:/ etc / network / interfaces auto lo eth0 eth1 iface lo inet loopback #互联网 iface eth0 inet static 地址10.0.0.2#dsl调制解调器 networking掩码255.255.255.192 网关10.0.0.1 #本地 iface eth1 inet static 地址10.0.1.1#本地networking networking掩码255.255.255.240 邮件服务器/ etc / network / interfaces 汽车 iface lo inet loopback #主要networking接口 auto eth0 iface eth0 inet static […]
我有一个configuration为SNMP代理的系统,并将TRAPS发送到其他一些configuration为SNMPpipe理器的远程m / c。现在,从这个SNMP代理我想要使用Linux中存在的IPTABLES实用程序来限制SNMP陷阱。编写一个单独的应用程序来限制SNMP陷阱的SNMPpipe理器,我想不使用OUTPUT链中的IPTABLE规则来实现这个function。 可能吗! 如果是的话,任何人都可以提出产出链的规则。
我正在尝试为一群人设置一个openvpn服务器,但是我在configurationiptables规则时遇到了问题。 该箱有5个专用IP地址,我想使用ips不是默认的传出IP地址也我想限制开放端口上的VPN(80 443 53 …),并阻止其余。 openvpn client ip range is : 10.1.8.2 – 10.1.8.255 openvpn server ip : 10.1.8.1 outgoing ip address : abcd ( real ip ) allowed ports : 80 443 53 21 经过大量的研究,我发现下面的命令可以为我工作? iptables -t nat -A PREROUTING -p TCP -m multiport –dports 21,53,80,443 -m iprange –src-range 10.1.8.2-10.1.8.255 -j DNAT –to-destination ABCD […]
我有一个OpenVPN服务器,称之为vpn-server,后面有一个局域网192.168.3.0/24。 客户端vpn-client也有一个局域网,10.4.0.0/24。 192.168.3.0/24上的机器可以访问10.4.0.0/24(有一个例外)。 10.4.0.0/24上的机器可以访问192.168.3.0/24。 (服务器和客户端都是基于Linux的。) 一个例外是VPN主机本身不能访问10.4.0.0/24。 irc上的#openvpn中有人提到,当openvpn服务器连接到客户端networking时,它使用的是VPN IP,而不是本地IP,我应该检查我的iptables伪装规则。 我的伪装规则和相关接口的接口configuration在http://pastebin.com/Q9RDy0es 。 服务器和客户端的OpenVPNconfiguration文件可以在http://pastebin.com/gtfm82pEfind。 我觉得这是主机方面的防火墙问题,但我似乎无法得到它的工作。 我需要新的/不同的伪装规则吗? 我很确定VPNconfiguration是正确的。 VPN服务器路由表 Destination Gateway Genmask Flags Metric Ref Use Iface 10.54.1.9 * 255.255.255.255 UH 0 0 0 tun1 10.8.1.2 * 255.255.255.255 UH 0 0 0 tun0 <pubIP redacted> * 255.255.255.248 U 0 0 0 eth1 10.18.1.0 10.8.1.2 255.255.255.0 UG 0 0 0 […]
我有两个网卡的防火墙。 从互联网可以访问外部IP,然后转发到内部服务器。 但是当在DMZ和访问外部IP时,我不会被转发回到内部服务器。 我想这是与这个问题有关的规则。 他们不应该够了吗? $IPTABLES -t nat -A PREROUTING -p TCP -d $MAIL_IP –dport 122 -j DNAT –to-destination $DMZ_MAIL_IP:22 $IPTABLES -A FORWARD -p TCP -o $DMZ_IFACE -d $DMZ_MAIL_IP -m multiport –dports 122 -j allowed 我有很多其他的规则,实际上有两个网卡,只是隔离这里的问题。 解: 我有一个限制性的SNAT规则。 像这样的东西解决了这个问题。 iptables -t nat -I POSTROUTING -s $ INTERNAL_CLIENT -j SNAT – 源代码$ MAIL_IP