我们有一个侦听默认端口(3128)的鱿鱼代理设置:在eht0(192.xxx)上。 它有另一个接口eth1(10.xxx)用来连接外部世界。 它使用squidguard进行高质量的内容过滤。 但是现在我们希望networking中的一些主机绕过鱿鱼。 提供完全访问less数人。 我正在考虑一些使用iptables的东西:来自那些特定主机(代理被传递的)在代理的端口3128上的eth0的任何数据包应该被redirect到eth1,并且应该能够访问任何东西。 这会工作吗? 如果是,那么请帮我规则? 我知道这可以使用squidgaurd以良好的方式完成,但只想与iptables做到这一点。
在具有多个IP的Linux机器上,我遇到了一个问题:将特权端口redirect到服务器正在侦听的非特权端口,该端口绑定到特定IP。 将此规则添加到iptables中,将传入的通信量从端口80redirect到8080: iptables –table nat –append PREROUTING –protocol tcp –dport 80 \ –jump REDIRECT –to-ports 8080 然后启动一个netcat监听所有的IP,端口8080: nc -l 0.0.0.0 8080 然后从另一台机器发送一个数据包到端口80: echo foo | nc 10.0.0.39:80 echo foo | nc 10.0.0.39:8080 这两个数据包都被接收到。 现在是奇怪的事情。 当你让netcat监听特定的IP时,它不会看到redirect的数据包。 nc -l 10.0.0.39 8080 现在没有收到发送到端口80的数据包。 只有端口8080上的数据包。区别在于服务器如何绑定侦听端口 – 0.0.0.0可以工作,但是特定的IP不能。 问题不在于netcat,因为nginx(我在做基于IP的虚拟主机)有同样的问题。 我试图通过指定目标地址是10.0.0.39来扩展iptables规则,但是这仍然不起作用。
我试图通过这样来限制服务器上的访问权限到SSH。 这很好 iptables -A INPUT -i eth0 -p tcp –dport $SSH_port -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport $SSH_port -m state –state ESTABLISHED -j ACCEPT iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP 但是,我将使用ssh端口转发来访问127.0.0.1:port中的内部服务和另一个虚拟接口上的另一个internal_ip:端口如何实现这一点? 我用于ssh端口转发的命令: ssh -2NqCgD 55555 -p $SSH_port user@server 我尝试了许多组合,但没有成功。 摘自/var/log/auth.log sshd[xxxx]: error: connect_to […]
我有两台运行Ubuntu 10 Server x64的Dell Poweredge R210服务器。 服务器A具有Dell iDRAC6 Enterprise ILO卡(位于172.16.96.91),服务器和DRAC都使用服务器B作为网关(服务器B的WAN IP为xxx.xxx.xxx.xx)。 服务器B在IPTables中使用以下NAT规则将stream量路由到服务器A的DRAC: *NAT –append PREROUTING –in-interface eth1 –protocol tcp –destination xxx.xxx.xxx.xx –destination-port 8019 –jump DNAT –to-destination 172.16.96.91:443 –append POSTROUTING –out-interface eth1 –jump SNAT –to-source xxx.xxx.xxx.xx 对于通过服务器B访问服务器A的iDRAC,除Java虚拟控制台以外,此方法正常工作。 这失败了以下错误: com.sun.deploy.net.FailedDownloadException: Unable to load resource: https://xxx.xxx.xxx.xx:443/software/avctKVM.jar at com.sun.deploy.net.DownloadEngine.actionDownload(Unknown Source) etc. 我知道Java控制台使用端口5900,可能还有端口83和5891。 任何人都可以帮助我得到这个工作?
我GOOGLE了,没有find我的问题的答案。 请帮帮我。 有两个服务器: serverA with public IP 12.0.0.10 and an private IP 10.0.0.5 serverB with public IP 20.0.0.11 我已经在serverB上设置SOCKS代理到serverA: ssh -D20.0.0.11:2222 [email protected] 所以当我在我的本地机在浏览器中指定SOCKS代理20.0.0.11:2222(serverB:2222)作为外部IP,而浏览时,我得到12.0.0.10(serverA IP)。 那没问题。 以及如果我去http://10.0.0.5 (serverA私有IP)它也是可及的。 那是我需要的。 我想让服务器s A private IP to be available through server的B公共IP在某些端口,但没有指定我的浏览器中的SOCKS。 我可以使用ssh端口,但问题是 – 我需要转发很多端口,不知道究竟是哪一个 – 我只知道范围。 所以当我连接到20.0.0.11到任何端口,例如,从3000:4000范围,我希望该stream量redirect到10.0.0.5在同一端口。 这就是为什么我决定可能通过SSH的SOCKS代理和iptables的REDIRECT可以帮助我。 客户端 – > serverBPublicIP(3000:4000范围内的任何端口) – > serverAPublicIP – > serverAPrivateIP(在serverBPublicIP上请求端口) 在serverB我做: […]
我有一个DMZ服务器设置为转发特定的端口到几台机器。 预期的行为是给我一个特定的端口发送一个请求到非军事区,让公众无法访问的机器公开地回应数据。 在这个例子中,我将端口10001转发到端口80上的非发布服务器。 我可以看到转发正在工作,因为我可以看到数据包通过服务器上的tcpdump进入。 无论出于何种原因,它所回应的数据包都没有返回到我的terminal(我正在curl)。 iptables-save命令: # Generated by iptables-save v1.4.10 on Fri Dec 23 17:36:10 2011 *nat :PREROUTING ACCEPT [5609:332934] :INPUT ACCEPT [5609:332934] :OUTPUT ACCEPT [5231:376507] :POSTROUTING ACCEPT [5248:377595] -A PREROUTING -i eth0 -p tcp -m tcp –dport 10001 -j DNAT –to-destination 192.168.1.11:80 COMMIT # Completed on Fri Dec 23 17:36:10 2011 # Generated […]
我有一个专门的OpenVPN服务器坐在NAT路由器后面,我有服务器的静态IP设置在DMZ中; 问题在于,使用当前规则集(如下面的屏幕截图所示),我无法从Internet连接到VPN服务器,也无法连接到SSH。 但是,如果我允许在eth0上的stream量都很好,但是这几乎可以让任何types的stream量到达主机,并且完全破坏了iptables规则集的目的; 在屏幕截图中,我已经将stream量设置为eth0(第二条规则从下到上),主机无法访问上面规定的规则,但是如果我将规则设置为接受所有规则都没问题,但正如我所说的那样,以上所有规则的目的 主机只有一个物理以太网适配器(eth0),在NAT路由器后面有一个静态IP 我不知道这里的问题是什么,任何帮助将不胜感激; 如果我在NAT后面的networking上,一切正常,并且所有策略都可以正常工作,即使从下到上的第二个规则设置为Nothing(不活动) 谢谢! View post on imgur.com OpenVPN守护程序实例在端口1194和1195上运行SSH守护程序在端口50上运行 这里是iptables规则集configuration文件,我修剪了所有的规则,只留下了端口50公开,但我仍然无法访问它 # Generated by iptables-save v1.3.8 on Mon Jan 2 14:46:33 2012 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Jan 2 14:46:33 2012 # Generated by iptables-save v1.3.8 […]
我有以下接口/路线: #ip route show 192.168.101.0/24 dev eth0 proto内核作用域链接src 192.168.101.10 192.168.8.0/24 dev tun0 proto kernel scope链接src 192.168.8.1 默认通过192.168.101.251 dev eth0 Device eth0通过网关(192.168.101.251)连接到互联网,设备tun0连接到接入点(带有一些热点软件)。 我可以从eth0 ping一个互联网主机,但是我不能从tun0访问互联网。 如何将tun0的数据包路由到互联网(并返回)?
我想实现一个代理,logging和重播对特定主机的请求。 这样我可以在testing应用程序时将外部服务请求删除。 做这个的最好方式是什么? 我已经尝试修改hosts文件,以便domain.com进入我的本地主机,但是这样就阻止了我的代理从那个请求到那个域。 是否有一些/ etc / hosts更改和iptables的组合,我可以用它来实现这一点?
大家好:)我有两台虚拟机KVM。 我做了两个别名eth0 – eth0:0和eth0:1,并把它们放在一个外部IP(eth0:0 – 89.114.122.3,eth0:1 – 89.114.122.4)。 现在的问题是:从IP 89.114.122.3和89.114.122.4 IPredirect到为dhcp获得虚拟机的虚拟内部地址(virbr0桥)…我喜欢这样的: Host_address = 89.114.122.3 Host_port = 23 Guest_ipaddr = 192.168.122.86 Guest_port = 23 iptables -t nat -A PREROUTING -p tcp -d $ {Host_address} –dport $ {Host_port} -j DNAT \ –to $ {Guest_ipaddr}:$ {Guest_port} iptables -I FORWARD -d $ {Guest_ipaddr} / 32 -p tcp -m state […]