ufw insert 1 deny to any ufw enable ufw status 状态输出: Status: active Logging: on (high) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From — —— —- Anywhere DENY IN Anywhere Anywhere (v6) DENY IN Anywhere (v6) 然而,我可以从任何地方强奸服务器,我想…什么给了? 这是在没有安装其他东西的股票Ubuntu 14.04服务器上。 如果有帮助,这是/etc/network/interfaces文件: auto lo iface lo inet loopback auto eth0 iface […]
所以我按照说明(对于Ubuntu 10.04): 这里(设置iptables)和这里(保存iptables) ,最后在这里可笑地(因为10.04不会得到保存的版本) ,现在一切都很舒适。 我的服务器是安全的,现在我想用ftp。 通常我使用filezilla,我只是把它指向ssh(或sshd?)端口,给它我的用户名和密码,我closures了。 不过 ,我读到了“vsftpd”,并认为我可能会尝试使用它 – 所以有一些问题源于此。 我需要使用vsftpd ,还是事实上,我的filezilla连接和工作足够好? 我如何使用vsftpd? 这是正确的吗? 我设置vsftpd.conf包括: listen_port=21 pasv_enable=Yes pasv_max_port=10100 pasv_min_port=10090 然后我使用这个链接在这里更新iptables 然而,当我做这一切(并告诉filezilla使用端口21)filezilla只是挂起。 如果vsftpd没有提供更安全的方法,那么我不会去使用它(因为即使5分钟设置也是浪费时间),但是如果这样做的话…当我做错了什么,怎么做我设置vsftpd? 奖金问题任何人都知道为什么你必须手动保存iptables在Unix? 为什么保存它是一个这样一个劳动过程?
我有一个基于Linux的防火墙/路由器运行iptables和SNAT通过一个单一的上行链路传输到互联网的stream量 – 这工作正常。 此服务器上运行的应用程序也很less,这也可以正常工作。 我也有一个运行在这个路由器上的OpenVPN客户端,我想要将一个特定的本地用户的stream量路由到这个隧道。 我已经build立了一个接口tun_v的隧道启动和运行。 我创build了一个新的路由表(/ etc / iproute2 / rt_tables)v.tunnel,我在这个表中添加一个单一的默认路由。 我已经创build了一个IP规则来使用这个表标记为1的stream量 我用1标记了用户的stream量。 IP路由添加默认通过172.25.26.61 dev tun_v表v.tunnel ip规则添加fwmark 1表v.tunnel iptables -t mangle -A OUTPUT -m所有者–uid-owner 1002 -j MARK –set-xmark 0x1 / 0xffffffff 我也在路由器上伪装stream量: iptables -t nat -A POSTROUTING -o wan -j MASQUERADE#这是正常的NAT到Internet iptables -t nat -A POSTROUTING -o tun_v -j MASQUERADE#对于隧道 防火墙还默认input(和转发)链,所以我允许相关的: iptables -A INPUT […]
我试图做一个鱿鱼代理服务器作为一个透明的代理服务器,即时通讯面临一些问题,我无法找出原因。 如果你说(例如:1个vlan用于诸如平板电脑和启动电话的外部/客人设备,其他用于诸如平板电脑和智能手机的内部设备,以及最后一个用于“普通”桌面和networking打印机)。 vlan中的这些访问由包括互联网访问的Checkpoint防火墙控制,在那里我想要使用透明代理的VLAN使用端口映射选项将所有端口80stream量从该VLANredirect到鱿鱼服务器,这样我就可以pipe理与鱿鱼networking访问。 我画了一个简单的图,我解释得不好(对不起,我的主要语言不是英文..) 我正在使用安装有Debian 7.6的1个NIC的虚拟机,并使用以下开关从源代码编译squid 3.4.6: #!/bin/sh './configure' \ '–build=x86_64-linux-gnu' \ '–srcdir=.' \ '–prefix=/usr' \ '–includedir=/usr/include' \ '–localstatedir=/var' \ '–mandir=/usr/share/man' \ '–infodir=/usr/share/info' \ '–libexecdir=/usr/lib/squid' \ '–datadir=/usr/share/squid' \ '–sysconfdir=/etc/squid' \ '–localstatedir=/var' \ '–bindir=/usr/sbin' \ '–enable-inline' \ '–enable-ssl' \ '–enable-ssl-crtd' \ '–enable-icap-client' \ '–enable-follow-x-forwarded-for' \ '–enable-removal-policies=heap,lru' \ '–enable-delay-pools' \ '–enable-cache-digests' \ '–enable-storeio=ufs,aufs,diskd,rock' \ '–enable-disk-io' \ '–enable-linux-netfilter' […]
我试图在TCP端口443上使用静态密钥身份validation(而不是TLS)来设置OpenVPN; 但连接到服务器后,客户端无法通过VPN访问互联网。 这是我目前的设置: 服务器 这是在OpenVZ上运行的启用了TUN / TAP 的Debian VPS 。 这是configuration文件: dev tun proto tcp-server port 443 ifconfig 10.8.0.1 10.8.0.2 secret /etc/openvpn/static.key push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" 这也是我应用的iptables脚本: #!/bin/bash # A Sample OpenVPN-aware firewall. # vetnet0 is connected to the internet. # eth1 is connected to a private […]
有人可以解释我为什么当我设置我的主机iptables规则是这样的: iptables -I PREROUTING -t mangle -j TTL –ttl-inc 1 从这一刻起, traceroute将会隐藏起来吗?
我正在寻找一个解决scheme,当用户login时自动向iptables添加一些规则,并在注销时删除这些规则。 我想以某种方式从SSH连接获取用户的IP地址,并使用它。 任何人都有一个关于如何实现这一目标的提示?
我有以下业务场景: Apache HTTP服务器通过ajp负载平衡客户端请求到应用程序服务器 所有的资源密集型工作都是在每个请求的应用服务器上完成的 请求是基于应用程序用户的,但是没有简单的方法来限制用户。 大多数用户将来自一个单一的IP,有几个可能来自几个ips。 因此,为了这个问题的意图,我假设每个用户将来自一个IP。 目标是防止任何单个用户用请求淹没服务器。 我目前使用iptables限速来限制每个ip的最大并发连接数。 有更好的方法吗?
我正在做我的服务器上的出口logging使用IPTABLES与下面的行应该提供所有logging的stream量的UID信息: -A OUTPUT -j LOG –log-prefix "IPTABLES(O): " –log-level info –log-uid 但是,偶尔,我会得到没有UID的日志,如下所示: IPTABLES(O):IN = OUT = eth0 SRC = 1.2.3.4 DST = 5.6.7.8 LEN = 83 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 54321 DF PROTO = TCP SPT = 50505 DPT = 443 WIND = 342 RES = 0x00 ACK […]
我有一个ipsec隧道工作,可以访问192.168.4.0/24局域网。 它工作正常,我可以访问没有问题的另一边的主机: # from fw and lan hosts: # ping 192.168.4.44 PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data. 64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms 但是当我尝试将公共IP地址上的一个端口转发到另一端的主机时,它不会路由stream量: # from wan side: # telnet xxxx 33901 telnet: Unable to connect to remote host: No route to host 在防火墙上执行telnet(wan)的tcpdump捕获: # tcpdump -n -i eth0.20 host 37.15.173.52 10:09:48.312840 […]