这是关于clearOS安装。 eth0 =外部接口(dhcp Internet)eth1 =内部lan,静态192.168.0.10 eth2 = dmz 问题是,在初始安装后, 我能够连接到外部(互联网)没有太多的麻烦,但本地networking使用(即浏览)最初都是“closures” ,我可以ping机器,但浏览是不可能的。 启用Web代理解决了这个问题,除了https页面。 https页面被封锁,在networking上时全部超时。 从编程的背景来看,我不是那么熟悉iptables-lingo,这是超出我的把握,但任何提示或有用的指示,以类似于我需要做的一个有用的示例将不胜感激。 路由和iptables – 列表输出提供下面。 路线: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth2 96.22.88.0 * 255.255.255.0 U 0 0 0 eth0 default […]
我使用shorewall作为生产站点的防火墙和网关。 该站点还有一些虚拟专用网(VPN)运行在同一站点的不同服务器上(位于受保护区域)。 我在网站(在保护区域)的服务器的设置是让shorewall网关作为他们的默认网关,当他们需要访问VPN隧道另一端的资源时,网关会将stream量路由到本地VPN端点(当然是在接受防火墙规则之后),所以stream量基本上进入了保护区域接口,并通过相同的接口被路由出去。 这个设置在closuresshorewall的时候效果很好,但是当shorewall打开的时候,它会阻止这个stream量。 我想configurationshorewall允许这种types的stream量,但我不知道如何做到这一点。 Shorewall有一个名为route_rules的文件,所以我在其中添加了一个规则,如下所示: #SOURCE DEST PROVIDER PRIORITY eth1 192.168.1.0/24 main 1000 ( eth1是受保护区域的接口名称, 192.168.1.0/24是VPN的其他大小的networking, main是'shorewall-route_rules'手册页说的,您应该让路由表处理路由1000是根据所述手册页的默认优先级)。 但是这似乎对iptables规则根本没有影响,我也没有看到任何其他configuration更改作为这个规则的结果 – 显然我的stream量仍然被阻止。
在testing环境中,进程将数据包发送出特定的接口。 我希望能够将所有的数据包发送到一个nfqueue。 我可以通过执行如下操作来在接口上传入数据包: iptables -t mangle -A PREROUTING -i eth0 -j NFQUEUE –queue-num 10 但是,尝试在任何出站表上执行相同的操作都会导致-i选项无效的错误。 这是否有可能实现,如果是这样,怎么样?
再次在这里要求你的帮助… 这次我需要设置一个2个squidcaching代理的集群来加速一些apache服务器。 好处是没有NAT的调用,所以只有直接路由。 现在,我可以使用juniper防火墙[网关]上的策略路由来转移特定IP地址的stream量(如果xxxx-xxxx和dest端口中的IP dst范围= 80,则通过我的squid IP路由它,但不会改变包本身)。 但是,让我有点麻烦的是,我应该如何拦截stream量并对其进行修改,使其直接被squid盒取代,而不是路由到apache服务器。 显然这里有iptables,我并不擅长,所以如果你能给我一些帮助来设置规则,我会非常感谢你 很明显,我想要实现的只是HTTP通信的透明caching代理,它应该只使用公有IP地址加速一系列IP地址(多个服务器)。
我有一个服务器处理几个服务。 为了这个问题的目的,假设其中之一是邮件。 如果邮件发生故障,我想将其转发给另一台主机。 我的networking如下所示: — Network 1 — Box 1 eth1: 192.168.1.5 eth0: 10.10.10.3 — Network 2 — Box 2 eth0: 10.10.10.5 所以…传入的请求到达了eth1上的192.168.1.5地址,而不是停在那里,我想通过eth0将它们转发到方块2,然后让它来处理它。 我已经尝试了以下iptables规则: iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.1.5 –dport 25 -j DNAT –to-destination 10.10.10.5:25 iptables -A FORWARD -m state -p tcp -d 10.10.10.5 –dport 25 –state NEW,ESTABLISHED,RELATED -j […]
iptables -N NEW_TCP_PACKETS_NO_SYN iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m state –state NEW -m limit –limit 10 / day -j LOG –log-prefix“New packets but not syn:” iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -p tcp! –syn -m状态 – 状态NEW -j DROP iptables -A INPUT NEW_TCP_PACKETS_NO_SYN -f -j DROP 1)我正在用-N选项创build一个新的用户生成链 2)我正在logging不是syn的新数据包,而且我正在添加一个限制,以防止我的日志文件被淹没 3)我丢弃不是SYN的新数据包 4)我正在使用-f,因为我留下了碎片的数据包,我想丢弃这些数据包。 一个build议,以改善类似的东西在这里findhttps://serverfault.com/a/245713/114606 ,这是添加它在-t raw -A PREROUTING […]
我遇到了一个问题,试图指定webmin只能从我的私人IP访问。 但是我可以使端口范围正确工作。 我在allow_hosts.rules文件中使用了这个。 tcp:in:d=10000:s={IP HIDDEN} tcp:in:d=30000_35000:s={IP HIDDEN} udp:in:d=30000_35000:s={IP HIDDEN} 我有这些设置时得到的错误是 apf(21256): {trust} allow inbound tcp {IP HIDDEN} to port 10000 apf(21256): {trust} allow inbound tcp {IP HIDDEN} to port 30000-35000 iptables v1.4.7: invalid port/service `30000-35000' specified Try `iptables -h' or 'iptables –help' for more information. apf(21256): {trust} allow inbound udp 10.16.149.68 to port 3000-35000 iptables […]
我试图build立一个半透明的桥梁。 我说半,因为我希望它作为一个透明的水龙头桥梁两侧的所有交通。 我还想要的是为网桥的Web界面提供“绿色区域”,以显示IDS和其他networking监控工具的所有结果。 我的例子会是这样的: eth0 <–> bridge(br0) <–> eth1 整个networking将在同一子集上,但是从eth0到eth1任何内容都将被接受。 如果eth0试图访问br0 ,唯一的情况就是丢弃。 如果有人试图通过eth1访问br0上的Web界面,它将成功。 我觉得我最大的问题是,如果我试图阻止从eth0到br0任何事情,这将会把桥梁全部放在一起。
我们使用UFW,但不能使源专用端口打开,这很奇怪,所以我们清除了UFW并切换到IPTables,使用Webmin进行configuration。 如果入站链在DENY和SSH端口打开(从Webmin判断),PuTTY将using username "root"并在那停止,而不是询问公钥pw。 入站链上的ACCEPT pw被问到。 UFW没有发生这个问题。 Webmin中IPTablesconfiguration的图片: http : //s284544448.onlinehome.us/public/PlusLINE%20Dedicated%20Server,%20Webmin,%20IPTables,%200.jpg 地址是以前的rautamiekka.org 。 编辑1:我意识到系统有Portsentry运行,但aptitude remove没有帮助。 我无法重新启动。 编辑2:尝试在Ubuntu 11.10 administrator@rauta-m1530-ubuntu:~$ ssh -v -v -v -v -v -v -i ~/<filename removed> -l root <IP removed> OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug2: ssh_connect: needpriv 0 debug1: […]
我正在尝试在HTTP和HTTPS上使用Litespeed清漆。 我遇到的问题是Litespeed偏移了HTTP和HTTPS端口。 所以在我当前的设置中,我已经设置偏移量为8000,这会导致Litespeed分别在端口8080和8443上侦听HTTP和HTTPS。 我已经在端口80上设置了清漆,并正确代理了8080上的litespeed。 我的问题是:是否可以通过configurationiptables来允许用户通过端口443上的HTTPS请求Litespeed,并获得正确的响应? 我有以下规则传入stream量,据我所知可以正确连接到8443上的litespeed套接字: iptables -t nat -A PREROUTING -p tcp –dport 443 -j REDIRECT –to-ports 8443 还需要做些什么才能使此设置正常工作?