现在的情况: 我有一台运行3个虚拟机的主机。 一个IP为eth0(xxx.xxx.xxx.239),一个为eth0:1(yyy.yyy.yyy.35)。 这对我来说很好… Host (eth0) (xxx.xxx.xxx.239) | | <- (virbr0) -> |– VM1 (10.0.0.21) |– VM2 (10.0.0.22) |– VM3 (10.0.0.23) …但我想要的是通过一个接口上的外部IP(yyy.yyy.yyy.35)和第二个(10.0.0.23)接口访问我的第三个虚拟机addtional 内部目的 : Host (eth0) (xxx.xxx.xxx.239) | | <- (virbr0) -> |– VM1 (10.0.0.21) |– VM2 (10.0.0.22) |– VM3 (10.0.0.23) Host (?!?) (?!?) | |– VM3 (yyy.yyy.yyy.35) 如何实现这个和我需要哪些iptable规则? 提前致谢。
我有一个2个网卡的Linux路由器,从networking192.168.0.0/24伪装成一个ADSL路由器。 users <—-> NIC A [router] NIC B <—-> INTERNET 现在我正在尝试使用NIC A上的代理ARP来拦截networking中的所有IP请求。 我为这个用户在192.168.0.0/24networking中有一个地址池。 如何the IP 10.0.0.64转换to 192.168.0.64`来授予互联网访问权? 我已经尝试了SNAT – DNAT,即使我写了一个NFQUEUE应用程序来欺骗IP地址,但没有运气。
我正在KVM专用服务器上运行一些guest虚拟机,并且我想使用主机作为防火墙,使用转发规则来控制来自虚拟机pipe理程序的所有访问。 这是一个好主意,或者更好的是在每台客户机上运行iptables? 你知道任何类似的使用情况,或任何指导?
Debian上有ProxmoxVE2.1统治的KVM节点,还有一堆虚拟机的guest虚拟机。 这就是我的networking如何: # network interface settings auto lo iface lo inet loopback # device: eth0 auto eth0 iface eth0 inet static address 175.219.59.209 gateway 175.219.59.193 netmask 255.255.255.224 post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp 我有两个工作子网解决scheme auto vmbr0 iface vmbr0 inet static address 10.10.0.1 netmask 255.255.0.0 bridge_ports none bridge_stp off bridge_fd 0 post-up ip route add 10.10.0.1/24 dev […]
我试图build立到第三方VPN站点的VPN连接,然后将stream量从我的内部计算机(现在的ssh和ping)转发到使用IPTables的VPN站点。 第三方< – >(tun0 / eth0)Linux VPN盒(eth1)< – > Windows7TestBox 我在CentOS 6.3 Linux上运行,并有两个networking连接eth0-> public eth1-> private。 我正在运行目前连接到我的目的地的vpnc-0.5.3-4。 当我连接时,我可以ping通目标IPAddresses,但是尽可能的我可以得到。 ping -I tun0 10.1.33.26成功 ping -I eth0 10.1.33.26失败 ping -I eth1 10.1.33.26失败 我有我的私人networkingWindows 7testing框设置为我的VPN服务器的eth1(私人)networking作为其网关,并可以ping他好。 我需要IPTables将Windows 7stream量发送出VPN隧道。 我已经尝试了几天不同的IPTablesconfiguration从这个站点和其他例子,或者其他例子太简单或过于复杂。 这台服务器唯一做的就是连接到VPN并转发所有stream量。 所以我们可以“冲洗”一切,从头开始。 这是一个空白的石板。 #!/斌/庆典 回声“定义variables” IPT = “/ sbin目录/ iptables的” 回声“清零所有计数器” $ ipt -Z $ ipt -t nat -Z $ […]
CentOS 4.x 我有几个旧的CentOS 4.x系统,并configuration了iptables来允许ICMPstream量。 原来,我有一个iptables规则,看起来像: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT 这似乎一段时间工作正常,但我们的监控解决scheme之一,要求平常更多的时间比一秒(长话短说,但这是一个要求)。 为了适应这一点,我改变了规则: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -j ACCEPT 奇怪的是,我在多个CentOS 4.x服务器上有这个相同的规则,而且大多数都处理得很好,但其中一个还是间歇性地不发送echo ping回复。 我已经确认IPTables规则在所有服务器之间是相同的。 有什么想法可以在这里发生? 为了更好的衡量,我在CentOS服务器端收集了一个数据包捕获,但是我所看到的只是服务器间歇地发回一个关于目的地和主机不可达的ICMP Type 3 / Code 1消息(这对我来说似乎很奇怪,这个消息响应的盒子本身)。 有任何想法吗?
我有Plusserver防火墙,需要添加两条规则才能访问http和https网站。 iptables -A OUTPUT -p tcp –dport 80 -d 00.00.00.00 -m state –state NEW -j ACCEPT iptables -A OUTPUT -p tcp –dport 443 -d 00.00.00.00 -m state –state NEW -j ACCEPT 如果我只使用一条线将工作,每个这些,但不是在同一时间的任何。 我重新启动了防火墙。 没事了。 谢谢。 稍后编辑:我发现了这个问题。 在每一行的结尾应该有一个; closures线。
是否有可能限制iptables或haproxy每秒(或每秒字节)传入的TCP数据包? 我发现了很多例子,但是没有一个似乎起作用。
我有几个需要连接到远程服务的服务器。 这些服务器是我控制下的ec2实例。 远程服务运行在我公司pipe理的服务器上,但不是我的部门,我不确定它在哪里托pipe。 出于安全原因,远程服务将只允许在特定端口上的一个IP地址(这是一个AWS弹性IP)访问该服务,因此所有请求都必须通过代理。 我已经查阅了几个如何完成这个任务的例子,并尝试了许多不同的改动,而且没有任何改动。 我试图根据我对iptables的了解来创build规则,并且提出了我已经有的规则(这依然不起作用)。 我希望有人能够帮助我迅速做到这一点。 $ cat /proc/sys/net/ipv4/ip_forward 1 $proxy_ip $remote_server_ip $remote_server_port *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -d $proxy_ip/32 -p tcp -m tcp –dport $remote_server_port -j DNAT –to-destination $remote_server_ip:$remote_server_port -A POSTROUTING -d $remote_server_ip/32 -p tcp -m tcp –dport $remote_server_port -j SNAT –to-source $proxy_ip […]
我使用我的服务器作为NAT /路由器,运作良好。 但是现在我正试图转发3478端口,这是我无法工作的。 eth0 =公共接口 eth1 =专用networking $ cat /proc/sys/net/ipv4/conf/eth0/forwarding 1 $ cat /proc/sys/net/ipv4/conf/eth1/forwarding 1 然后转发端口3478到10.0.0.7,我读了我应该跑的地方 iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 3478 -j DNAT –to-destination 10.0.0.7:3478 iptables -A FORWARD -p tcp -d 10.0.0.7 –dport 3478 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 我也跑了 ufw allow 3478 但是用http://www.canyouseeme.org/testing端口3478不起作用。 任何想法我做错了什么?