我正在尝试loggingIPTables主要用于分析的连接。 问题是,我的日志似乎写在…无处。 到这个时候我知道iptables通过kern工具login,为此,所有内容都应该写入/var/log/kern.log 。 这是我的/etc/syslog.conf的头文件 # /etc/syslog.conf Configuration file for syslogd. # # For more information see syslog.conf(5) # manpage. # # First some standard logfiles. Log by facility. # auth,authpriv.* -/var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* -/var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log iptables -L -n Chain INPUT (policy ACCEPT) target prot […]
服务器是在CentOS 5.9上通过cpanelconfiguration的标准LAMP堆栈。 我们有一个文件,称之为bad.php,在我们的一个域名上被服务提供商错误地每秒钟访问10次。 该文件不再存在,我们希望以最有效的方式阻止这些请求。 目前,我们正在返回410个响应,但仍然涉及捆绑Apache线程,发送头文件等。 理想情况下,我想放弃请求,不发送任何回应。 由IP阻止不是一种select,因为我们需要允许这些IP合法地访问其他文件。 (不,我们不能要求他们停止)。我们也没有外部防火墙可以使用(租用服务器,自定义外部防火墙的额外费用)。 我的想法是,最好的select是这样的iptables规则: iptables -I INPUT -p tcp –dport 80 –destination [ip address] -m string \ –algo kmp –string "bad\.php" -j DROP 两个问题: 首先,我尝试了这个规则(用域名的IP地址代替ip地址),但是没有任何效果。 这是iptables -L显示的第一条规则,所以不应该被以前的规则覆盖: Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp — anywhere [ip address] tcp dpt:http STRING match "bad\.php" ALGO name kmp […]
我在RHEL 5服务器上遇到一个奇怪的问题。 我改变了它的IP地址,我们正在迁移到一个新的地址池,并且有东西阻塞了所有的传出stream量,但是我可以在那个接口(eth0)上进行SSH连接。 所有的stream量在我们的私人networking(eth1)上正常工作。 我刷了iptables,所以它不应该妨碍。 我的路由表看起来就像另一个RHEL 5服务器,使交换机没有问题。 我已经重新启动,也没有喜悦那里。 还有什么地方可能存在一个潜在的旧IP地址,导致这个问题,因为当我将它切换回旧地址时,它工作得很好。 编辑:这里要求的是路由表和输出的'arp -n' # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface *****.56.0 * 255.255.255.0 U 0 0 0 eth0 10.0.0.0 * 255.255.255.0 U 0 0 0 eth1 default gateway.***** 0.0.0.0 UG 0 0 0 eth0 # arp -n Address HWtype HWaddress […]
我想限制传出networking访问(除了到本地主机的连接)到TCP和UDP通过Tor,并阻止其他所有东西(除了Tor应用程序和本地主机连接)。 目标是将用户限制为localhost和*.onion地址,为此Tor创build一个虚拟地址networking10.192.0.0/10(使用torrc文件中的VirtualAddrNetwork选项)。 这里是我目前的iptables-save: *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A OUTPUT -d 10.192.0.0/10 -p tcp -j REDIRECT –to-ports 9040 -A OUTPUT ! -o lo -p tcp -m tcp -m owner ! –uid-owner debian-tor -j […]
作为我的博士研究的一部分,我编译linux-2.6.28内核以支持内核中的l7filteringfunction。 我使用以下方法向iptables添加单个规则: iptables -t mangle -A PREROUTING -m layer7 –l7proto http -j NFQUEUE 我用libipq编写了一个标准的捕获程序来读取队列中的数据包。 为了testing,我发送一个由18个数据包组成的单个http会话,其中包含两个HTTP请求和来自另一台机器的回复数据。 问题是我的捕获程序只接收到两个数据包,第一个是HTTP响应的数据包(被filter匹配),而我希望收到所有18个数据包。 我需要的是能够读取匹配会话的所有数据包(不仅是匹配的数据包)。 例如,如果我只想在所有HTTP会话中捕获和分析Yahoo Email Message Sessions,我可以使用l7filter只传递相关会话(Yahoo Email Message Session)的数据包吗? 谢谢。
我有 一项称为传统服务的服务 另一种称为开发服务的服务 一堆HTTP请求来到传统服务 有没有办法在不编写自定义实用程序的情况下将HTTP请求代理到传统服务和新服务? 所以我可以在真实stream量上testing我的开发服务,但不closures传统服务。
我们在ESX上运行RedHat 5.8 VM,并使用iptables作为防火墙。 这个盒子有多个nics,一个nic作为我们networking的网关,其他nics每个都去一个单独的VLAN /networking。 我看到的问题是,从主机直接向防火墙虚拟机执行iperftesting,速度为800 Mbps,但尝试从防火墙外的主机到防火墙内的主机执行iperftesting(导致stream量通过通过防火墙)产生约30Mbps或更低的速度。 细节: 我不确定我们正在运行的ESX或UCS的版本是什么,但我可以看出这是否重要。 我们的系统pipe理员保持最新,所以他们最有可能在最近几次更新。 我知道我们正在为networking适配器使用VMXNET 3驱动程序。 所有连接都被validation为1Gbps。 我试过了: 从我读过的内容来看,e1000驱动程序的效果更好,所以我们添加了一些使用该驱动程序的nics,并通过这些接口testing了iperf,结果相同。 检查testing接口上的LRO是否被禁用。 当我运行“ethtool -K ethX lro off”时,它会报告“没有卸载设置已更改”,我假定它已被禁用。 在testing的接口上也禁用了TSO。 当我进行速度testing时,通常是通过同一个集群上的防火墙从物理设备到虚拟设备进行testing。 我也尝试通过防火墙从虚拟设备到虚拟设备进行testing,得到了相同的结果。 禁用iptables并运行速度testing,收到相同的结果。 上面的项目都没有改变什么,除了可能使事情变得更慢(我得到了一点<10 Mbps的)。 因为我可以得到800 Mbps以上的防火墙本身,这使我认为nics本身的configuration没有任何问题。 我觉得这是操作系统本身的转发问题,因为它只是在stream量通过防火墙时才显现出来。 我也应该注意到在这个过程中我没有观察到任何CPU峰值。 我相信我会留下一些细节,所以如果还有其他问题,请告诉我。 我感谢任何帮助!
我环顾四周,尝试了很多东西。 如果我想要一个(centos)服务器只能发送邮件(通知给我),但没有其他的互联网访问进出或什么是iptables。 我已经尝试过,但不起作用,只有当iptables停止时才发送电子邮件。 iptables -A INPUT -p udp -m udp –sport 53 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m tcp –sport 53 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp –dport 25 -j ACCEPT iptables -A OUTPUT -p tcp –sport 25 -m state […]
需要一些帮助来configurationiptables规则转发和伪装 鉴于我有这些configuration: switch1 —-(eth1)—– router —-(eth2)—– switch2 | | 了(eth0) | | 互联网 多台PC通过switch1和switch2连接 我在Ubuntu服务器上运行这个networking,我假设eth1和eth2具有相同的IP地址,因为所有连接的PC的默认网关是这个路由器的IP地址。 所以我做的是: 去/etc/sysctl.conf并取消注释net.ipv4.ip_forward = 1 去/etc/rc.local并为iptables添加规则,比如: echo 1> / proc / sys / net / ipv4 / ip_forward iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING […]
我不确定如何logging与GOOD_IPS的IP地址匹配的成功的ssh尝试。 到目前为止,我只logging传入和传出的尝试是否允许相关的IP地址。 我将如何编写一条语句,logging所有成功的与GOOD_IPS中的地址匹配的SSHlogin尝试,以及从GOOD_IPS之外的地址logging成功和拒绝尝试的成功和拒绝的尝试? #allow ssh for ip addresses in GOOD_IPS chain iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p TCP –sport 22 -m state –state NEW -j GOOD_IPS iptables -A OUTPUT -p tcp –sport 22 –syn -j LOG –log-prefix "iptables: ssh outgoing attempt" iptables -A OUTPUT -p TCP –sport 22 […]