我使用的是strongswan 4.6.4将公路战士连接到我的服务器(ubuntu 13.10),这是在防火墙后面。 left=%defaultroute leftsubnet=10.10.1.0/24 right=%any rightsubnet=10.11.1.0/24 rightsourceip=10.11.1.0/24 “leftsubnet”10.10.1.0/24也是专用的VPN服务networking,服务器本身在networking192.168.1.0/24上,并且在两个networking(192.168.1.2和10.10.1.2)中都有IP地址。 %defaultroute指向192.168.1.1。 vpn本身正在工作,如果ufw防火墙没有运行,那么从road warrior客户端访问服务器正在工作。 tcpdump显示从10.11.1.1到10.10.1.2的stream量。 现在ufw防火墙启动的时候,隧道创build仍然有效,但是来自路由器的交通是源和目的地。 这意味着tcpdump将客户端的公有IP显示为源IP而不是虚拟IP 10.11.1.1,而将目标IP显示为192.168.1.2而不是10.10.1.2。 当然,iptables中没有nat规则。 我怎样才能确定这个问题? AFAIK ufw只是维护iptables规则。 当ufw处于活动状态时,nat在哪里发生? 非常感谢!
我试图用hashlimits设置“synflood”限制,这些是我的规则片段: iptables -A SYNFLOOD_CHECK -p tcp –syn -m hashlimit –hashlimit-above 10/s –hashlimit-burst 6 \ –hashlimit-htable-expire $HTABLE_EXPIRE –hashlimit-mode $HASH_MODE –hashlimit-name synflood_s -j SYNFLOOD_DETECTED iptables -A SYNFLOOD_CHECK -p tcp –syn -m hashlimit –hashlimit-above 25/min –hashlimit-burst 6 \ –hashlimit-htable-expire $HTABLE_EXPIRE –hashlimit-mode $HASH_MODE –hashlimit-name synflood_s -j SYNFLOOD_DETECTED iptables -A SYNFLOOD_CHECK -p tcp –syn -m hashlimit –hashlimit-above 500/h –hashlimit-burst 6 […]
我使用PHPMailer类从在线应用程序发送电子邮件,它在开发服务器上正常工作,如果我禁用iptables。 然而每当iptables启动,没有邮件发送 – 它似乎排队,直到我停止iptables – 然后发送。 我原来遵循iptables设置从这里指示: https://www.digitalocean.com/community/articles/how-to-setup-a-basic-ip-tables-configuration-on-centos-6 任何build议是非常感谢! 这是我的iptables规则: Chain INPUT (policy DROP) target prot opt source destination fail2ban-SSH tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 DROP tcp — 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 DROP tcp — 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW DROP tcp — 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ACCEPT […]
我已经在我的Ubuntu 12.04服务器上安装了LXC,并创build了两个容器。 我只有一个外部IP地址,因此我在主机上使用nginx将来自某些主机的HTTP请求代理到相关容器。 我只是模糊地熟悉nginx和代理的概念,但从我的研究看来,我不能代理SSH。 因此我必须使用IP表进行端口转发。 这是不太理想的,因为我将不得不使用不同的端口SSH到不同的容器。 理想情况下,我想代理端口22在某些主机名到相关的容器,但我不明白这是如何可能的。 例如: ssh host1应该代理端口22上的容器“container1”。 ssh host2应该代理端口22上的容器“container2”。 这可能吗?
我给了Linode一个尝试,我刚刚启动了我的第一个运行CentOS的实例。 即使完全丢弃防火墙,我也无法连接到盒子上的端口。 (我的脚本通过localost成功连接,而不是从外部机器连接) 这里有一些信息: iptables的: # iptables -n -L -v –line-numbers Chain INPUT (policy ACCEPT 580 packets, 45519 bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 482 packets, 78913 bytes) […]
概要 有一个虚拟主机(1.1.1.5)和一个路由客人(1.1.1.6)。 有些东西将端口25上的任何stream量redirect到客户端,无论是stream入还是stream出,都到达了端口2525的1.1.1.5,我找不到什么东西。 当然,ips和mac是为了这个post而改变的。 build立 我有以下设置: 有一个IP 1.1.1.5的debian根服务器,托pipe一个virtualbox服务器 第二个IP(1.1.1.6)被路由到这个服务器 这个第二个IP被路由到一个虚拟networking接口“virbr1”,这个接口被一个debian virtualbox访客邮件服务器使用 在根服务器上,iptables正在运行并使用ufw进行configuration 设置工作完美 – 我可以ping通1.1.1.6上的邮件服务器,并达到其networking界面等,邮件服务器可以到达互联网,一切都很好, 除了一个端口 :试图到端口25上的邮件服务器无法正常工作。 这不是关于ISP阻止端口25或类似的东西,更复杂。 阅读:) 问题的诊断 从外部Telnet 当我尝试从另一台服务器telnet时: telnet 1.1.1.6 25 连接将超时。 在主机系统的系统日志(1.1.1.5)中,出现以下来自IP表的消息: [UFW BLOCK] IN=eth0 OUT= MAC=c8:c8:c8:c8:c8:c8:c8:fe:3d:46:e6:0f:08:00 SRC=2.2.2.5 DST=1.1.1.5 LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=45855 DF PROTO=TCP SPT=64059 DPT=2525 WINDOW=65535 RES=0x00 SYN URGP=0 有一件重要的事情要注意:我试图连接到1.1.1。 6端口25 ,但iptables块发生在1.1.1。 5在2525港口 从访客信箱中远程login 当我SSH到邮件服务器客人,然后telnet另一台服务器: telnet 9.9.9.5 […]
这个问题之前已经在这里提过,但是有矛盾的,可能过时的答案。 这似乎取决于操作系统,操作系统的版本和NFS的版本。 在CentOS 6.5服务器上,默认规则类似于: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [47:3512] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state –state NEW -m tcp –dport 22 -j ACCEPT -A INPUT -j REJECT –reject-with icmp-host-prohibited -A […]
我是新来的nDPI,我已经安装了nDPI,但是当我添加规则时, iptables -I OUTPUT -m ndpi –http -j拒绝它显示错误 iptables v1.4.7:无法加载匹配的`ndpi':/ lib64 / xtables / libipt_ndpi.so:无法打开共享目标文件:没有这样的文件或目录 试试`iptables -h'或'iptables –help'以获取更多信息。 Plz,如果有人能告诉我如何configurationiptables的nDPI。 我正在使用centOS 6.5 谢谢;
我在proxmox中正确configurationnetworking时遇到了一些问题。 总之,从一个容器,我可以到达任何外部的Web服务器(例如:google.com),但我无法到达我的容器上的Web服务器。 networking服务器可以从互联网上获得。 这是设置: DNS:mydomain.example – > xxxx / 32 主办 vmbr0:xxxx venet0 :(路由到每个容器) iptables规则: iptables -t nat -A PREROUTING -p tcp -d xxxx –dport 80 -i vmbr0 -j DNAT –to-destination yyyz:n iptables -t nat -A POSTROUTING -o vmbr0 -s yyy0/24 ! -d yyy0/24 -j MASQUERADE 集装箱 venet0:yyyz 问题 从容器执行的命令: ping google.com: 好的 ping mydomain.example: […]
我已经包含了一个绘图,所以你知道它是如何工作的。 (红色= LDAP连接,蓝色= HTTP / AJP在后端) 问题:我们希望将客户应用程序服务器连接到客户的LDAP(或者让他们这样做)。 现在,如果我们用应用程序服务器的公共接口来做到这一点,那么我们希望随着时间的推移禁用这个接口。 我们希望将所有需要的stream量路由到代理,并将数据包传送到目的地。 现在这也将用于其他服务,但主要的是LDAP(如果我们有LDAP的话,configuration额外的服务并不那么困难)。 我们不想redirect所有的stream量,因为我们仍然需要stream量来到我们的后端服务(数据库等)。 解决scheme将是: 从应用程序服务器启动LDAP请求。 将所有LDAP请求+stream量从应用程序服务器发送到eth1到代理eth1 将所有来自eth1的LDAP通信redirect到eth0(代理),以便能够访问Internet。 我想知道如何用IPTABLES以最安全和可扩展的方式来解决这个问题(使之自动化)。 所以我正在寻找最好的IPTABLES解决scheme来实现我们的应用服务器和代理 编辑: 使用2个stream浪箱进行testing: 主机0 =应用程序服务器主机1 =代理 仍然与此结合。 但是我越来越近了。 我的所有LDAPstream量正在发送到代理服务器,但我只是得到[S]和[S.]回来,没有连接。 这是我做的。 应用服务器: iptables -t mangle -A OUTPUT -p tcp –dport 389 -j MARK –set-mark 0x1 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE $echo 1 LDAP >> /etc/iproute2/rt_tables $ip […]