我的情况:一个Ubuntu服务器是2个网关局域网的一部分。 它提供高速度和高延迟。 另一个低延迟的低速。 我的服务器通常使用GW1的所有stream量(由于高带宽)。 我希望能够通过低延迟连接SSH入服务器。 GW2有一个端口转发到服务器,但它显然不能开箱即用,因为服务器将通过GW1回答,这将丢弃包。 经过一番研究后,我就是这么做的(我的SSH端口是222): 我添加了一个iptables规则来标记包 iptables -L PREROUTING -t mangle Chain PREROUTING (policy ACCEPT) target prot opt source destination MARK tcp — anywhere anywhere tcp dpt:222 MARK set 0x1 我添加到/ etc / iproute2 / rt_tables以下 100 sshtable 我添加了新规则的ip表 – 这是“ip规则显示输出” ip rule show 0: from all lookup local 32764: from all fwmark […]
我在现场有一台GSM调制解调器(PSI-MODEM-GSM / ETH),作为服务器。 情况如下: "PC" | \_________Dynamic IP: 10.103.153.122 | (Internet ) (Private APN) ( GSM Net.) | | _________Static IP 10.100.10.10 | / GSM-Modem [ETH] | \_________DHCP-Server + Gateway | 192.168.0.1 | | _________ | / 192.168.0.20 (Static via DHCP) [ETH 1] "Server" GSM调制解调器中的configuration是: 火墙 NAT 但是我不能通过10.100.10.10:8443到达设备。 到GSM调制解调器的路由是好的,因为我可以通过10.100.10.10:80到达它的web前端。 调制解调器的日志文件显示 Apr 17 08:51:43 kernel: IN=ppp0 […]
我正在接pipe现有的OpenStack系统的pipe理工作,而我只有一点OpenStack的经验。 我有大约8个实例运行,并且所有这些实例看起来都能正常工作。 每个运行的各种服务。 有问题的服务: DHCP DNS MySQL <—这是我急需的一个。 我有一个在绿色和蓝色接口(两个子网,有线和无线)之间运行IPFire的自制路由器,并且我已经允许两个子网之间基本上所有的stream量尽我所能。 pkts bytes target prot opt in out source destination 0 0 ACCEPT all — * * 10.1.12.10 10.1.10.228 诸如ssh和http之类的服务似乎起作用。 而其他每个服务都configuration为侦听所有适配器。 我为每个实例设置了浮动IP的设置。 从我所知道的,机器有一个本地IP,但浮动IP是一个types的实例向前。 我仍然试图弄清整个configuration的性质。 我的问题:为什么像ssh和http这样的服务可以跨子网充分发挥作用,而某些服务(如mysql和DNS)只能在自己的子网内访问? 我看不到该IP或3306端口在防火墙上的丢弃事件。我看不到来自用户IP的丢弃。 我看不出有什么东西可以归因于我正在build立的连接或它们之间的路由器。 从无线: traceroute to 10.1.10.254 (10.1.10.254), 64 hops max, 52 byte packets 1 10.1.12.1 (10.1.12.1) 1.558 ms 1.520 ms 1.976 ms […]
我正在尝试改变ospf hello数据包(224.0.0.5)的目的地ip使用iptables规则(DNAT)链接本地地址。 这似乎并不奏效。 单播数据包(BGP控制)类似的规则已经为我工作。 任何想法? 传入接口以及链路本地接口都已经join了224.0.0.5 MC组(使用smcroute)。 我在mangle table中也有一个规则来增加ttl预先路由。
我在iptables中设置了以下规则: sudo iptables -I INPUT -i eth0 -p tcp -s 192.168.37.184 -j NFQUEUE sudo iptables -I OUTPUT -p tcp –dport 3306 -j NFQUEUE 我想要做的就是把所有的Mysqlstream量数据转发到NFQ,我希望在Suricata中检测到这些数据,但是这些iptable规则并没有像预期的那样工作, 只有部分 NFQ 中的数据进入了Suricata(或者只是数据的一部分进入NFQ)。 但是当我设置下面的iptables: sudo iptables -I INPUT -j NFQUEUE sudo iptables -I OUTPUT -j NFQUEUE 这个效果很好,所有的软件包都进入了NFQ,所有的都被Suricata检测到,但是这个iptable规则将所有的stream量转发到NFQ上,这不是我想要的。 我的问题是如何设置特定的iptables规则只适用于Mysql协议?
我想知道是否有可能用iptables nfqueue标记ndpi(ntop.org)分类引擎的stream量? 那里有代码吗? 感谢您的帮助。
我们有一个环境,我们的用户ssh进入系统,他们的shell被设置为在$ HOME / Maildir上启动Mutt。 我们想限制我们的用户只能发送/接收邮件。 我们意识到他们不能任意命令,因为他们没有shell提示符,但是一些用户可能是不信任的,并且可能find某种方式来突破Mutt并通过代码执行获得shell访问权限。 我们基本上正在考虑最坏的情况。 我们知道SELinux和guest_u帐户,但我们遇到了一个更好的解决scheme。 由于我们的用户都是一个组的一部分,所以说“用户”,我们可以使用下面的iptables规则来禁用出站数据包。 ping,挖,wget等不起作用,但邮件出站做。 这正是我们想要的,但是为什么用户通过Mutt阻止使用其他工具(如dig,host,ping等)来允许任何出站访问? 这是我们添加的规则: $IPT -A OUTPUT -p all -m owner –gid-owner users -j DROP
networking拓扑结构: ISP1 | | Alternative ISP 4G | | | Huawei 4G with DMZ | | | to 192.168.2.1 | | | LAN IP: 192.168.2.254| | | Public IP: 2.2.2.2 | ———————+ +———————-+ | +—-Main server—+ | +————eth0–| WWW, MAIL, SSH |-eth1———–+ Public IP:1.1.1.1| DNS, etc… | +——————+ Local IP: 192.168.2.1 eth2| GW: 192.168.2.254 10.10.10.10| […]
我们编写了一些工具来自动化常见的开发任务。 一个工具,例如,确保我们所有的git仓库是最新的。 为了这个工作,我们的工具需要连接到我们的git服务器并获取每个存储库的最新版本。 我们有很多的git仓库,所以这个工具最终会在短时间内创build很多连接 – 抛出iptable的速率限制规则,并locking我们一段时间(不知道多久)。 如何禁用某些IP地址的速率限制(如我们的办公室)?
我有安装了CentOS 6.5 x64的VPS服务器。 从uname命令的内核版本是2.6.18-028stab107 。 当我想要像下面的命令一样使用iptables速率限制时,我得到了下面的错误信息。 iptables -I INPUT -p tcp –dport 80 -m state –state NEW -m recent –set iptables: No chain/target/match by that name. 我认为需要conntrack模块没有安装在系统上,lsmod命令输出为空。 [root@myserver ~]# lsmod Module Size Used by 我尝试加载下面的模块,并得到了错误。 [root@myserver ~]# modprobe ip_conntrack FATAL: Module ip_conntrack not found. [root@myserver ~]# modprobe nf_conntrack FATAL: Module nf_conntrack not found. 最后,我想,我必须安装状态和conntrack模块,但不能安装,因为yumsearch结果不包括所需的软件包。 [root@myserver […]