我们正在为DRtesting一个VPN服务器。 我们有一个rackspace云实例,一个运行在racoon上的纯IPSEC VPN服务器,为“战士”客户提供服务。 我们有一些NAT在服务器上进行外部路由: -A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT –to-source wxyz 它工作得很好,与windows,苹果IOS和Android客户端连接完美。 我们想要做的是将服务器设置为只在VPN上托pipe几个网页,即服务器在VPN上具有IP。 我们可以使用vpnc来做到这一点,连接到公共IP,但这似乎是矫枉过正。 有没有一种方法,我们可以做到这一点,使用浣熊,或回环接口也许? 我们的(testing)浣熊conf: path pre_shared_key "/etc/racoon/psk.txt"; remote anonymous { ph1id 1; exchange_mode aggressive,main; my_identifier user_fqdn "redacted"; peers_identifier keyid tag "blah"; dpd_delay 20; ike_frag on; nat_traversal on; passive on; initial_contact off; generate_policy unique; proposal_check claim; lifetime time 24 hour; mode_cfg […]
我想转发一个内部IP地址到外部。 所以这就是我所做的: echo 1 > /proc/sys/net/ipv4/ip_forward 然后我使用iptables: iptables -t nat -A PREROUTING -s 192.168.1.x -j DNAT –to-destination 95.211.yz iptables -t nat -A POSTROUTING -j MASQUERADE 在这一点之后,当我ping 192.168.1.x时,我希望到达95.211.yz的服务器。 换句话说,我希望把所有针对内部IP的stream量都转换成外部IP,但这种情况不会发生。 我错在哪里?
我在logpath值中使用通配符,如下所示: [http-get-dos] enabled = true filter = http-get-dos logpath = /var/log/ispconfig/httpd/*/access.log maxretry = 250 findtime = 300 #ban for 10 hours bantime = 36000 action = iptables-multiport[name=HTTP, port="http,https", protocol=tcp] 这很好,但我想排除特定的日志,因为我需要为此创build一个单独的filter。 所以,例如,如果我想排除/var/log/ispconfig/httpd/mysite.com/access.log,我该如何做?
背景 在一个小的隐私networking(1路由器/ FW + 1服务器)事件中,我的服务器意外地暴露在互联网上。 幸运的是,它被自己的UFW保护,只允许来自特定netrange的一个特定stream量,并放弃该界面上的所有其他内容。 因此,在事件中,它logging了很多我试图分类的exceptionstream量。 我有 : 端口扫描(仅限SYN数据包) DNS扫描(UDP到端口53) 尝试DNS欺骗(从端口53到端口> 40000的UDP) 但我也有一个模式,我不能分类… 题 我对我的分类是否正确? 你知道什么样的stream量/攻击企图会触发我的防火墙logging下列规格的数据包: 仅限TCP 标志: ACK (90%)或ACK+PSH (10%) 主要来自port 8888 (70%) LEN=52 WINDOW=18 (50%); LEN <100 (90%)和WINDOW<=20 (90%) 30000以上的目的地港口范围广泛
我试图限制到我的Ubuntu服务器的连接数量在最近的50秒内不超过10个IP地址。 我正在尝试使用iptables来做到这一点。 我从来没有configuration或input任何iptables命令。 这些命令因此失败: # /sbin/iptables -I INPUT -p tcp –dport 80 -i venet0:0 -m state –state NEW -m recent –set iptables: No chain/target/match by that name. # /sbin/iptables -I INPUT -p tcp –dport 80 -i venet0:0 -m state –state NEW -m recent –update –seconds 50 –hitcount 10 -j "DROP" iptables: No chain/target/match by that […]
我一直在使用自己制作的“iptables规则”来阻止游戏服务器上所有主要types的DDOS攻击,因为这些攻击是针对应用程序/游戏服务器的,而不是一般的DDOS攻击。 我花了差不多3年的时间研究这些攻击,并以这些规则作出回应。 直到现在,我在iptables上使用一个速率限制,如果它达到每秒250次计数,客户端速率远远低于这个速度(最大值就是500kb / s),那么它会自动丢弃IP。 这是因为攻击者通常会发送大量长度为15:30的数据包,因为这是游戏服务器响应良好的通用数据包长度。 这个工作真的很好,直到有人用今天不同的东西来攻击这个规则。 -A INPUT -p udp -m udp –dport 16000:29000 -m recent –set -A INPUT -p udp -m udp –dport 16000:29000 -m recent –update –seconds 1 –hitcount 250 -j DROP 最近,我观察到攻击很容易使1-3mb /秒的input,通过“iftop”看到我的服务器和上述规则没有阻止他们,因为我的游戏服务器响应“….断开”数据包到所有传入的连接。 当游戏服务器不能识别inputstring或数据包的长度时,会发生这种情况。 这是数据包的内容: http://paste.ubuntu.com/6000381/ 现在你也可以看到这个包有很大的长度。 根据Wireshark我抓包的数据包的长度是700和数据大小/长度大约是5000字节。 而我之前也看到过,如果数据包的数据长度/数据量较大,即使数量较less,仍然可以获得更高的速率 。 所以这就解释了为什么它的input是3mb / s左右,而且没有被计数器阻塞,因为它从来没有超过250的计数。 现在我需要一些比带宽更具体的数据包/秒。 我需要一个iptables规则,可以自动阻止大于1mb / s的input,如果需要的话,它可以使用数据包的长度。 公平的游戏服务器客户端的一般数据大小/长度通常具有小于500字节的分组长度和数据大小,但是在某些情况下它可能会更高,但永远不会超过500kb / s的带宽。 这个问题与之前回答的其他问题不同,因为它首先是特定于应用程序的。 […]
让一个debian服务器有多个网卡(eth0和eth1)作为网关。 我怎样才能configuration这些网卡,所以他们可以将stream量从一个路由到另一个。 networking布局: DSL-router(192.168.1.1) —-> Debian gateway —-> Network 1 (10.10.10.10 | |—> Network 2 (20.20.20.20 在目前情况下,服务器都连接到交换机,然后连接到上行链路(光纤)。 configurationdebian作为网关主要是为了备份的目的。 如果光纤失败..我不知何故应该能够连接其中一个电缆(eth0或eth1)到交换机,并在那里路由stream量。 所有已经连接到交换机的机器都有网关10.10.10.1 任何人有任何想法我怎么能build立这样的事情?
我在VPC上的AWS上的CentOS AMI上运行了一个简单的webserver(仅限apache)。 我已经为端口80打开了AWS安全组和iptables,没有源代码需求。 然后,我设置了一个Elastic Load Balancer来将stream量引导到单个实例(当一切正常时,我将克隆它以获得多个负载均衡的实例)。 在负载平衡器上注册的实例就好了,目前被列为“健康” 如果我在浏览器中提取实例的本地IP地址,我可以很好地连接/查看页面。 如果我在浏览器中提取ELB的主机名,则超时。 我检查实例上的/ var / log / messages,并且iptables已经丢弃了这个包。 我不知道为什么iptables没有find这些数据包的匹配,但直接连接。 我删除了iptables中的大部分规则,以确保没有什么交互的奇怪。 这是我目前的规则集: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT […]
编辑:我已经编辑的问题和标题带来更多的清晰度,希望有人能够指出我在正确的方向。 ************************* * Internet Modem/Router * * 192.168.1.1 * ************************* * * * 192.168.1.2(eth0) ************************* * Linux Firewall * ************************* * 192.168.2.1(eth1) , 192.168.3.1(eth1:0) <— (Virtual Interface) * * * ************************* *********** * Switch * * * * * Router ********** 192.168.0.x network. ************************* *********** * * 10.0.0.200 * * * * * * * […]
我想在Ubunutu服务器上激活iptables-persistent。 configuration文件位于 /etc/iptables/rules.v4 /etc/iptables/rules.v6 我已经安装了iptables-persistent包。 当尝试初始化/启动时,它会返回一个失败消息。 /etc/init.d/iptables-persistent start * Loading iptables rules… * IPv4… * IPv6… [fail] 我能做些什么来使iptables-persistent正确启动?