我有一个Ubuntu 12.04服务器虚拟箱,其中基本上安装的软件和configuration是默认的,另外还安装了一个服务器几个网站的jetty 6服务器。 为了简单起见,我并没有安装Apache httpd,而是使用iptables将端口80(在8080端口上运行)公开到端口80.这些是 / sbin / iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp — anywhere localhost tcp dpt:http redir ports 8080 REDIRECT tcp — anywhere Ubuntu-1104-natty-64-minimal tcp dpt:http redir ports 8080 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target […]
我在我的iptables日志中有这些拒绝语句: RULE 12 — DENY IN=tun0 OUT=eth1 MAC= SRC=172.16.250.6 DST=192.168.0.11 LEN=84 TOS=0x00 PREC=0 x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=20001 SEQ=1 这是我的iptables FORWARD表 target prot opt source destination all — 172.16.250.0/24 192.168.0.11 /* Allows VPN IPs to connect to computer */ 不知道为什么iptables阻止它….任何想法? 一如既往,谢谢大家!
我正在尝试启用与我的VPNnetworking分离隧道。 我正在使用OpenVPN来托pipe我的VPNnetworking,并且已经按照步骤进行分离隧道工作,但是我的客户仍然得到:0.0.0.0 {VPN本地地址}推送 这是我在OpenVPN服务器上的server.conf文件,它有一个真正的公共接口与真正的IP。 port 1194 proto udp dev tun #ssl stuff ca /etc/openvpn/certs/ca.crt cert /etc/openvpn/certs/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/dh2048.pem #server statement and subnet for VPN IPs /24 for simplicity server 10.0.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt # for persistant IPing of VPN clients push "route-nopull" push "route 172.16.0.11 255.255.255.255 vpn_gateway" #internal node i want VPN clients […]
在我的系统中有一个Polycom HDC7000video会议设备和一个VVX1500 ip电话。 传入连接: Src:Any – Dst:ExtIP1 – Srv:Any -> DNAT to-destination IntIP7000 Src:Any – Dst:ExtIP2 – Srv:Any -> DNAT to-destination IntIP1500 Src:IntP7000 – Dst:Any – Srv:Any -> SNAT to-source ExtIP1 Src:IntP1500 – Dst:Any – Srv:Any -> SNAT to-source ExtIP2 当我加载nf_nat_h323和nf_conntrack_h323时,HDX7000无法通话,VVX1500正常工作。 当我禁用这些模块时,HDX7000工作,VVX1500停止工作。 内核是3.5.3。 我可以启用模块的特定连接。 (见我以前的post)。 可能是什么问题是? 你build议我什么? 问候,
有没有一种方法来指定使用iptables NAT?你可以在哪里使用SNAT作为外部地址池,但是当最后一个IP即将被使用时,它被用作一个过载的外部IP? 我记得有关思科设备的消息。 但不知道如何把它制作成iptables。 所以如果我有一个1.1.1.1/29的外部池给我6 IP。 我可以为他们中的5个做一个SNAT iptable规则,并且可以为最后一个做一个化妆舞会吗? 假设我在里面有一个/ 24。 -Jim
我有以下networking架构: 电脑 – 答:三个nics: 网卡1(eth0):dhcp,公网 NIC 2(eth1):静态192.168.1.1,计算机B的网关 网卡3(eth2):静态192.168.2.1,计算机C的网关 计算机B:静态192.168.1.2,使用网关192.168.1.1(NIC 2)。 计算机C:静态192.168.2.2,使用网关192.168.2.1(NIC 3)。 所以我应用这个来获得NAT的工作: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 每台电脑都可以连接到互联网。 我一直在向主计算机(计算机A)应用规则,比如删除连接到某些端口,例如ssh: iptables -A INPUT -p tcp –dport 22 -j DROP 但是,例如,现在我只想允许计算机C中端口20,21,22,53和80的连接,并且如果与外部stream量无关,则忽略外部stream量。 允许的连接应该是从计算机C到外部,而不是从外部到计算机C(我的意思是 – 计算机C不托pipe任何HTTP或SSH,但它将使用它们作为客户端)。 我想这样做应该是这样的: iptables -A OUTPUT -i eth2 -o eth0 -p tcp –dport 21 -m state –state NEW,ESTABLISHED -j ACCEPT […]
我有两台运行php5-fpm的服务器和一台运行nginx的负载均衡器,三台服务器使用nfs共享/ var / www / drupal。 nfs工作正常。 我使用mysql master master replication复制了两台服务器的数据库。 一切工作正常,直到我添加了我的iptables规则。 在我的iptables脚本中,我首先删除所有链,然后接受我想要的链,除此之外没有其他drop语句。 我打开端口3306这样mysql复制:(规则是在两个服务器上) iptables -A INPUT -p tcp -s $ip_Of_Other_Server –dport 3306 -j ACCEPT iptables -A OUTPUT -p tcp -d $ip_Of_Other_Server –sport 3306 -j ACCEPT 问题是,当我运行这两个服务器,我尝试login使用我的帐户在Drupal它不login,虽然我发现在Drupal日志成功的login尝试。 当我只运行一台服务器时,我可以正常login。 当我允许我的iptables规则中的一切正常工作。 我相信有一些端口,我需要打开使用iptables复制才能正常工作,但我找不到哪一个打开。
好,所以我一直在我的开发服务器上搞乱。 我已经有了一段时间,因为我已经在Linux的头,我怀疑我已经打破了一些东西。 我有SSH运行,并且工作正常。 我也有HTTP,我也有FTP运行。 今天早些时候,我决定我想重命名机器,所以我更新了/ etc / hosts文件和/ etc / sysconfig / network。 我也改变了httpd.conf中的服务器名称。 我重新启动机器,并重新连接到SSH罚款。 后来我搞乱FTP服务(试图加强用户安全),当我试图远程连接到FTP没有喜悦,它说无法连接。 我以为这很奇怪,但已经计划删除FTP,因为我们将使用GITHUB所以删除FTP和移动。 然后我试图连接到网站,但主要失败。 即使连接到IP地址也是失败的。 我用l to连接到本地主机,有我的网站,所以在服务器级别发生。 我想也许有点iptables,但我没有改变他们,但尝试添加http,但仍然没有喜悦。 我有一个 – Fedora 17(Beefy Miracle)NAME = Fedora VERSION =“17(Beefy Miracle)”ID = fedora VERSION_ID = 17 PRETTY_NAME =“Fedora 17(Beefy Miracle)”ANSI_COLOR =“0; 34”CPE_NAME =“cpe:/ o: fedora项目:fedora:17“Fedora release 17(Beefy Miracle)Fedora release 17(Beefy Miracle) Linux版本3.3.4-5.fc17.x86_64([email protected])(gcc版本4.7.0 20120504(Red Hat […]
我似乎有一个IP队列的问题。 我有一台用来运行一些实验的Linux机器。 linux机器被configuration成一个路由器,有两个网卡,连接另外两台计算机,并pipe理他们的networkingstream量。 使用iptables捕获所有传入的软件包,并由C应用程序分析。 作为实验的一部分,分析数据包的应用程序具有内置延迟。 所以我有一台非常快的计算机通过我的linux路由器和一个相对慢的linux路由器发送数据包,逐个分析和处理数据包。 这种情况导致了这样的事实:当我在连接到linux-router的一台计算机上启动发件人应用程序时,linux-router上的IP队列被(几乎)瞬间填满。 IP队列的最大长度当前设置为1024,如果溢出则丢弃数据包。 这是预期的,我很好。 但是,(这是有趣的地方),每隔一段时间我会得到以下错误: “无法接收networking连接消息:没有可用的缓冲区空间” 在开始时,我以为这是由于IP队列溢出,但经过一些分析,我发现有时我得到的错误,即使IP队列缓冲区没有溢出,有时我不会得到消息,即使缓冲区DID溢出。 当我运行> cat /proc/net/ip_queue ,我得到下面的表(也用于监视IP队列溢出): Peer PID : 27389 Copy mode : 2 Copy range : 65535 Queue length : 0 Queue max. length : 1024 Queue dropped : 1166875 Netlink dropped : 2916 查看最后两个值, Queue dropped似乎是指由于缓冲区已满而无法进入IP队列的数据包。 我可以看到这个价值上升,因为我轰炸的Linux路由器。 Netlink dropped (因为它的名字暗示:)似乎与我得到的错误。 我尽了最大的努力去寻找这个错误的材料,但没能find任何似乎指向我的方向。 底线:为什么我得到这个错误,我能做些什么来避免它?
我无法让iptableslogin到任何文件。 我的iptables看起来像: Chain INPUT (policy ACCEPT 1366 packets, 433582 bytes) pkts bytes target prot opt in out source destination 869 60656 LOG icmp — venet0 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 Syslogd是唯一的日志助手运行。 默认的syslog.conf不起作用,所以我尝试添加“kern。= debug – / var / log / iptables.log”。 但该文件已经有“kern。* – / var / log / kern.log”。 有最近的syslog条目,所以它不是一个权限的事情。 我使用2.6.32-042stab061.2运行Ubuntu 12.04.1