我已经在Linux后面build立了一个windows的VPN服务器 – 作为防火墙和代理服务器的Ubuntu盒子。 现在我想从外面的人能够连接到VPN服务器,但连接没有build立,我得到了客户端错误619.我检查了互联网上的问题,这似乎是一个防火墙问题。 我应该怎么做才能通过防火墙build立连接? 这里是关于我的设置信息 Firewall-External-IF-IP:172.16.1.100 Firewall-LAN-IF-IP:192.168.1.1 VPN-Server-IP:192.168.1.10 下面是我的iptables文件内容: #Generated by iptables-save v1.4.12 on Thu May 29 12:40:18 2014 *filter :INPUT ACCEPT [162000:140437619] :FORWARD ACCEPT [23282:27196133] :OUTPUT ACCEPT [185778:143961739] :LOGGING – [0:0] -A INPUT -p gre -j ACCEPT -A INPUT -s 192.168.1.10/32 -p tcp -m tcp –sport 1723 -j ACCEPT -A INPUT -s 192.168.1.10/32 […]
我正在尝试为托pipejava应用程序和ES的服务器设置防火墙。 两者都在同一台服务器上并相互通信。 我遇到的问题是我的防火墙configuration阻止Java连接到ES。 不知道为什么真的….我已经尝试了很多的东西,像打开端口范围9200:9400到服务器IP没有任何运气,但从我知道所有服务器内的通信应该允许使用此configuration。 这个想法是ES不应该从外部访问,但它应该可以从这个Java应用程序访问和ES使用端口范围9200:9400。 这是我的iptables脚本: echo -e Deleting rules for INPUT chain iptables -F INPUT echo -e Deleting rules for OUTPUT chain iptables -F OUTPUT echo -e Deleting rules for FORWARD chain iptables -F FORWARD echo -e Setting by default the drop policy on each chain iptables -P INPUT DROP iptables -P OUTPUT ACCEPT […]
我有一个混合configurationDom0:桥接networking和NAT设置。 有一个网卡连接到互联网(还有3个未使用)。 这是我的接口文件: # The primary network interface iface eth0 inet manual auto xenbr0 iface xenbr0 inet static bridge_ports eth0 address 83.149.69.150 gateway 83.149.69.190 netmask 255.255.255.192 iface xenbr0 inet6 static address 2001:1AF8:3100:A00A:21::0000 netmask 64 gateway 2001:1AF8:3100:A00A::1 这是来自其中一个虚拟机(domU)的xenconfiguration文件的vif行: vif = [ 'ip=83.149.69.154,mac=00:16:3E:5E:96:D7,script=vif-bridge,bridge=xenbr0', 'ip=172.16.1.20,mac=00:16:3E:5E:96:D8' ] 这导致了domU上的两个接口: eth0 Link encap:Ethernet HWaddr 00:16:3e:5e:96:d7 inet addr:83.149.69.154 Bcast:83.149.69.191 Mask:255.255.255.192 inet6 addr: […]
我有一个服务器汇集来自其他各种服务器的日志。 它大多工作得很好,但不时(重启后,但不是所有的重启),它将决定各种UDP“连接”处于一个奇怪的状态,并拒绝传入的数据包。 事情是,这是没有道理的,因为处理UDP时没有“连接”! 下面是我的防火墙日志中显示的一个例子: Shorewall:loc2fw:REJECT:IN=eth0 OUT= MAC=/*snip*/ SRC=10.xx4 DST=10.yy14 LEN=159 TOS=0x00 PREC=0x00 TTL=254 ID=37407 PROTO=UDP SPT=514 DPT=514 LEN=139 在运行命令sudo conntrack -D -p udp从conntrack清除所有UDP“连接”后,下面是一个日志,显示来自同一主机的传入消息: Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=/*snip*/ SRC=10.xx4 DST=10.yy14 LEN=201 TOS=0x00 PREC=0x00 TTL=254 ID=50542 PROTO=UDP SPT=514 DPT=514 LEN=181 在我运行-D命令之前,这个主机显示的是conntrack: udp 17 29 src=10.xx4 dst=10.yy14 sport=514 dport=514 [UNREPLIED] src=10.yy14 dst=10.xx4 sport=514 dport=514 mark=0 use=1 以下是我的Shorewallconfiguration中对此端口的相关位: #ACTION SOURCE […]
我正在尝试解决我正在尝试部署基于这个问题的IFB镜像相关的问题: Tc:入口pipe制和ifb镜像 我的理论是,由于入口stream量被redirect到/经由ifb被出口规则控制,所以我应该能够通过组合tc和Linux控制组net_cls控制器来限制入口带宽,其可以用分类标记分组。 然而它不工作。 我从理论上说,由于数据包是从入口开始的,即使它们被当作出口,它们也不会被标记。 但是,我能想到的唯一方法就是testing这个包,看看这个包是否在那里。 不知道如何做到这一点。 我想可能tcpdump可以但不知道相关的标志。 如果有人对我的大问题有什么想法,我会很感激的! 干杯!
mysql的真实端口是3306。 我想用公共networking53306来访问mysql,而3306不允许从公网访问。 如何写iptables规则DNAT 53306到127.0.0.1 3306? 帮我
我有一个规则,似乎没有如预期的stream量 -A INPUT -p tcp -m state –state NEW -m multiport -s xxxx -d yyyy –dports 38000:38100 -j ACCEPT 如果我删除-s参数stream量似乎是允许这个规则,但如果我再次添加stream量不再允许。 有点奇怪的是,有一个规则高于这个预期的工作,唯一的区别是它不使用-m multiport -p tcp -m state –state NEW -s xxxx -d yyyy –dport 38188 -j ACCEPT 整个规则集如下。 *filter -A INPUT -i lo -j ACCEPT -A INPUT -i !lo -d 127.0.0.0/8 -j DROP -A INPUT -m […]
我有两个用户,alpha(uid 500)和beta(uid 501),以及两个分配为eth0和eth0:1的IP地址。 我希望所有由用户alpha启动的进程发出的数据包都标记为eth0的源IP地址,而来自用户beta进程的所有数据包都将标记为eth0:1的源IP地址。 从search这个论坛和其他地方的可用答案,我发现我应该这样做: # mark packets with 11 or 12 depending which user they came from: iptables -A OUTPUT -m owner –uid-owner 500 -j MARK –set-mark 11 iptables -A OUTPUT -m owner –uid-owner 501 -j MARK –set-mark 12 # now, for a packet having mark 11 (or 12), set source IP to 192.168.1.1 […]
Haproxy目前正在平衡2台服务器A和B之间的负载。 客户端通过持久的TCP连接连接到这些服务器。 问题:我们想从服务器A升级到更强大的服务器C 我们如何添加第三台服务器C并删除A而不中断/断开客户端? 如果使用iptables将连接从Aredirect到C ,如果我们在某个时刻closures了A ,还是需要保持联机才能继续将现有客户redirect到C ,它仍然可以工作吗?
我有一个iptablesconfigurationEC2实例,如下所示: *filter :INPUT ACCEPT [121:8012] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [64:6240] -A INPUT -p icmp –icmp-type echo-request -j ACCEPT -A INPUT -p icmp -j DROP COMMIT EC2安全组有一个ICMP条目: Type Protocol Source range Source All ICMP All N/A 0.0.0.0/0 但是我不能ping通它。 从另一个例子我得到: 71 packets transmitted, 0 received, 100% packet loss, time 69999ms 从家里的Windows系统中,我得到: Packets: Sent = 4, Received […]