我刚刚遇到了iptables-apply ,它应用了iptables规则集,并让用户在最终提交更改之前确认所有内容都正常工作。 如果用户在超时后没有确认,原始规则将被恢复。 目前我使用ufw来configurationiptables。 有没有一个命令为ufw提供相同的function?
我正在尝试使用iptables进行负载平衡。 我设置的规则如下,其中我想要路由请求到我的服务器与IP地址10.xx4到服务器10.xx1:1010内部IP 10.xx1:1010 10.xx2:1010和10.xx3:1010 iptables -t nat -A PREROUTING -p udp -d 10.xx4 –dport 1010 -m state –state NEW -m statistic –mode nth –every 3 –packet 0 -j DNAT –to-destination 10.xx1:1010 iptables -t nat -A PREROUTING -p udp -d 10.xx4 –dport 1010 -m state –state NEW -m statistic –mode nth –every 3 –packet 0 -j […]
我目前build立了两个PPPoE连接,第一个, ppp0 (configuration为默认网关)是完全可用的,第二个,但是ppp1似乎没有将任何stream量转发到“userland”。 如果我做ping -I ppp0 google.com我得到的答复,做第二个连接相同 – ping -I ppp1 google.com结果显然100%的数据包丢失。 同时运行tshark -i ppp1同时显示ICMP Echo请求和答复。 ping -I ppp1 google.com PING google.com (74.125.225.142) from 1.2.3.4 ppp1: 56(84) bytes of data. ^C — google.com ping statistics — 7 packets transmitted, 0 received, 100% packet loss, time 6047ms Tshark正在同时运行 tshark -i ppp1 Capturing on ppp1 8.358744 1.2.3.4 […]
我有一个运行Debian 6的专用Web服务器,以及一些Apache,Tomcat,Asterisk和Mail-stuff。 现在我们需要为特殊的程序添加VPN支持。 我们安装了OpenVPN并向VPN提供商注册。 连接运行良好,我们有一个虚拟tun0接口用于隧道。 为了将通过VPN隧道传输单个程序的目标归档,我们用程序启动程序 sudo -u username -g groupname命令 并添加了一个iptables规则来标记来自groupname的所有stream量 iptables -t mangle -A OUTPUT -m owner –gid-owner groupname -j MARK –set-mark 42 之后我们把iptables告诉一些SNAT,并告诉ip路由使用特殊的路由表来标记stream量数据包。 问题:如果VPN失效,那么特殊的待通过隧道的程序有可能通过正常的eth0接口进行通信。 期望的解决scheme:所有标记的stream量不应该直接通过eth0,必须先通过tun0。 我尝试了以下不起作用的命令: iptables -A OUTPUT -m owner –gid-owner groupname! -o tun0 -j拒绝 iptables -A OUTPUT -m owner –gid-owner groupname -o eth0 -j REJECT 这可能是问题,上面的iptable规则不起作用,因为数据包首先被标记,然后放入tun0,然后通过eth0传输,而他们仍然被标记。我不知道如何在tun0之后去掉它们,或者告诉iptables,所有标记的数据包可能会通过eth0,如果它们在tun0之前,或者它们去了我的VPN提供商的网关。 有人有任何想法解决scheme吗? 一些configuration信息: iptables -nL […]
我有一套使用iptables设置的netfilter规则,但是有人告诉我使用system-config-firewall来添加一个与Windows共享文件的规则。 (Samba)这重写了iptables规则文件,并且丢失了我自己的自定义规则。 我有一个备份副本,但在恢复时遇到问题。 编辑:服务器是Centos,我已经尝试恢复规则与iptables-restore < /root/working.iptables.rules但由于某种原因,规则不会改变。 你想做什么? 尝试恢复我在备份文件中的iptable规则。 你为了做到这一点而尝试过什么? 我试图用vim修改iptables文件,因为命令iptables-restore没有任何帮助。 你期望什么结果? 为了取回旧的规则。 究竟发生了什么? 没有什么,当我运行命令或手动编辑文件时,文件根本不会改变。 也许别的东西是覆盖。
我在OpenVZ容器内使用CentOS 6.4。 我试图configurationAPF 9.7-2允许入站SSH和HTTPstream量(仅)和出站HTTP和HTTPSstream量(如果其他出站工作不关心)。 我的conf.apf文件设置为默认值,但以下情况例外: IFACE_IN="venet0" IFACE_OUT="venet0" SET_MONOKERN="1" SYSCTL_CONNTRACK="131072" IG_TCP_CPORTS="22,80" LOG_DROP="1" (请注意,我没有启用输出过滤;表皮生长因子仍然等于0.) 当我启动APF时,我发现任何出站连接都被阻塞。 [root@beta ~]# wget http://www.google.com –2013-11-19 17:21:02– http://www.google.com/ Resolving www.google.com… 173.194.115.20, 173.194.115.16, 173.194.115.19, … Connecting to www.google.com|173.194.115.20|:80… 这并没有完成。 我可以看到stream量被入站规则阻塞:(我用1.2.3.4replace了我的服务器IP) [root@beta ~]# grep "173.194" /var/log/messages | tail Nov 19 17:21:02 beta kernel: ** IN_TCP DROP ** IN=venet0 OUT= MAC= SRC=173.194.115.20 DST=1.2.3.4 LEN=48 TOS=0x08 PREC=0x00 […]
我试图想出一个最简洁的方式来将用户redirect到ISP网关路由器的login/付款页面。 我们运行一个小的ISP,并想强制用户login后才能连接上网。 我经常在酒店无线上看到这种情况,那些为时间付费的无线接入点等等。 这将在网关级运行。 我们正在使用所有的CentOS Linux。 我想通过DHCP在networking上发布IP。 我曾经想过使用iptables(我之前用FreeBSD和ipfw的fwd操作 – 而不是iptables)和DNS做过。 iptables似乎是更好的select – 因为它可以很容易地编程创build/删除规则,而无需重新加载或重新启动任何服务。 但是,处理安全连接(SSL)是有问题的 – 用户在被redirect到login页面时会得到证书警告。 有没有人做过这样的事情? 任何经验或知识将非常感激。 如果我遗漏了什么或者有什么不清楚的道歉,我很抱歉。
简短的简历 没有错误,没有丢包,ping到客户端,tcpdump显示软件包旅行,一切都不会到达LAN主机(或OpenVPN客户端)。 编辑 尝试消除所有可能的干扰因素后,我重新configuration我的虚拟机设置使用桥梁,而不是MacVTap 。 现在访问LAN客户端按预期工作。 我希望这不是最终的答案(我想保持MacVTap)。 我之前做过一些虚拟机和networking连接,但是下面描述的这种行为对我来说是全新的。 编辑:最让我印象深刻的是响应(例如DNS查询)被路由回客户端(我添加了一个tcpdump),但仍然运行到超时。 我已经在这个问题上摸索了好几天了,在互联网上我找不到任何东西(可能是searchfunction很弱),所以我认为是时候让你的ServerFaulters在那里了。 任务 (本质上简单):设置一个OpenVPN服务器,将stream量路由到它后面的LAN。 问题 :Pings成功了,“其他一切”都没有。 在主机上有一个运行的DNS服务器以及一个OpenSSH-Server,两者都不能联系到。 我认为可能会涉及伪装/ NAT ,但这根本不是罪魁祸首。 其实我觉得我现在太愚蠢了 所以,请帮助一个绝望的家伙 (不要犹豫,要求更多的细节)。 build立 VPN-Server和Host是在一台机器上运行的虚拟机VPN-Client直接连接到。 这两个虚拟机可以看到对方,iptables策略设置为接受所有主机上。 OpenVPN的 – 服务器 eth0 10.0.0.3 tun0:1 172.16.0.3 tun0 10.8.0.1 # cat /proc/sys/net/ipv4/ip_forward 1 # lsmod xt_conntrack 12681 3 iptable_filter 12536 1 ipt_MASQUERADE 12594 3 iptable_nat 12646 1 nf_conntrack_ipv4 18499 4 nf_defrag_ipv4 […]
尽我所能,我现在无法得到这个工作2天。 你的举动,互联网。 我希望iptables透明地转发(localhost)192.168.1.40:2222到192.168.2.22:22,我不想让192.168.2.0/24有权访问192.168.1.0/24 我有一个宽带业务类电缆连接到我的办公室,可以采取任何端口的stream量。 它的function是相当有限的,所以多年来我已经NAT了一个更好的netgear wifi路由器(桥接到上游调制解调器是不可能的)。 从第一个电缆调制解调器我转发所有端口到networking路由器,从那里我转发到其他一切(媒体服务器,邮件服务器,VPN服务器等) 今天,我把虚拟机放在一个新的vmware NATnetworking上。 我希望它完全与主networking隔离,并且我希望透明地从主networking上的主机转发到它的vmware NAT'ednetworking。 拓扑结构: 192.168.0.0/24 +—–+ +——-+ +————–+ +———————-+ | WAN |<->| Modem |<->| Netgear wifi |<->| Debian Linux 7 | +—–+ +——-+ | Router | | Server Running | +————–+ | VMWARE Workstation | 192.168.1.0/24 +———————-+ eth0: 192.168.1.40 vmnet99: 192.168.2.1 \\_+————–+ \_| Guest | | Linux […]
我需要通过VPN服务器路由到Internet上的某些主机。 组态: 电脑:ubuntu-12.04 eth0 – xxxx / 24 tun0 – inet addr:10.8.0.6 PtP:10.8.0.5掩码:255.255.255.255 有OpenVPN服务器(亚马逊): Ubuntu的12.04 eth0 – yyyy / 24 tun0 – inet addr:10.8.0.1 PtP:10.8.0.2掩码:255.255.255.255 互联网上有主机:qqqq 我想stream量到qqqq去扔OpenVPN服务器。 为此我做: iptables的: 我在表格中标记数据包: sudo iptables -t mangle -A OUTPUT -d qqqq -j MARK –set-mark 2 我发送stream量到qqqq扔tun0: sudo iptables -t nat -A POSTROUTING -d qqqq -j SNAT –to-source 10.8.0.6 […]