问题: 我有一种情况,IPSEC服务器和目标服务器(称为http服务器)碰巧是同一台机器,我只需要允许来自IPSEC服务器的stream量访问我的应用程序正在运行的端口,并阻止其他人在那个港口 更多细节: 安装程序如下所示:(主机A)<—- IPSEC VPN TUNNEL – >(主机B(Linux),其中应用程序在端口XXXX上运行)。 没有涉及到额外的IPSEC网关或防火墙。 主机B具有公共IP地址(静态)。 主机A发起连接并build立VPN隧道。 当我在ipsec解密之后logging到端口XXXX的stream量时,它看起来像任何正常的数据包,并且src被设置为“主机A的ip地址”并且dst被设置为“主机B的ip地址”,并且由于数据包被定位到主机B,在ipsec处理之后,POSTROUTING规则不适用于它。 现在,我已经在iptables中添加了规则来接受端口XXXX上的所有stream量: -A INPUT -p tcp –dport XXXX -s 0.0.0.0/0 -j ACCEPT 当这件事情发生时,XXXX港口向世界开放,这是危险的。 任何想法如何通过ipsecconfiguration或iptables规则或以任何其他方式来实现目标,只有来自ipsec端点的stream量才能访问XXXX? 在我心中几乎没有想法: 是否有可能确定离开IPSEC终点的TCP数据包,并在iptables中有一个规则,只允许这些数据包到达XXXX端口? ipsec处理后可能有一些iptable / ipsecconfiguration跳过INPUT规则? 这样我可以有iptable规则丢弃所有数据包到XXXX端口和ipsec出来的数据包不会受到影响。 可以在主机B上创build一个虚拟接口,并通过该接口路由IPSECstream量,只允许从该虚拟接口访问端口XXXX? 最糟糕的情况是,我将最终让ipsec服务器(主机B)和应用程序服务器(主机C)运行在不同的机器上,并允许通信从主机B到主机C上的端口XXXX。 我已经尝试了解决scheme@ 与iptables,匹配数据包通过IPSEC隧道到达,但它不工作,因为我想上述政策适用于数据包到达IPSEC,而不是离开IPSEC的数据包? 让我知道如果我错过了任何细节或任何额外的信息,你需要任何帮助/build议将不胜感激。
我正在设置我的防火墙,并安装和configurationshorewall。 不幸的是我试图直接configurationiptables,但是这不起作用。 当我启动shorewall时,我在/var/log/shorewall-init.log中得到这个消息: Processing /etc/shorewall/params … Processing /etc/shorewall/shorewall.conf… ERROR: UNTRACKED state requires Raw Table in your kernel and iptables 我能做什么? (Ubuntu的服务器14.04.1 LTS在一个虚拟机)
请帮助了解是否可以创build下列configuration。 我与我的客户有IPSEC连接。 它是客户networking和我的networking10.102.103.0/28之间的site2site vpn。 这个连接是在我的VPN节点IP 10.102.103.7/28和客户VPN节点之间build立的。 OpenSwan用于它。 VPN节点位于亚马逊,我使用OpenVPN来访问亚马逊。 OpenVPN给我自己的networkingIP 192.172.3.0/28。 是否有可能从OpenVPNnetworking访问客户networking? 如果我的客户端IP是192.172.3.5,我可以访问客户的networking吗? 据我所知,因为我可以看到IPSEC把我的数据包从OpenVPNnetworking中删除到客户的networking,因为我的IP不在10.102.103.0/28。 有没有什么好的解决scheme来解决它? 还是解决方法?
Nginx代理filter在Fail2ban中究竟做了什么? 我目前正在为Nginx设置Fail2Ban。 几乎在任何地方我读过,他们都包含了一个[nginx-proxy]代理filter的设置。 从示例中,我可以看到这个filter如何禁止在日志中执行类似这样的事情的ipaddress: 58.218.204.110 – – [06/Mar/2011:08:04:42 -0800] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 505 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.199.147 – – [06/Mar/2011:11:01:33 -0800] "GET http://www.foodnese.com/indux.php HTTP/1.1" 404 498 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.199.147 – – [06/Mar/2011:16:00:18 -0800] "GET http://98.126.64.106/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; […]
我有一个DD-WRT路由器,有两个子网192.168.0.0/24和192.168.8.0/24。 后者用于“客人”WiFinetworking。 子网之间的stream量使用iptables进行过滤。 我想要做的是打印来宾子网,即允许从192.168.8.0/24到192.168.0.2端口631的stream量。 我目前的iptables是这样的: iptables -I FORWARD -i br1 -m state –state NEW -j ACCEPT iptables -I FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state –state NEW -j DROP iptables -I FORWARD -i br1 -p tcp –dport 631 -d 192.168.0.2 […]
目前我正试图解决一个电子邮件服务器的问题,该服务器将允许用户发送电子邮件,但不能login到服务器(POP3)或使用他们的Outlook客户端接收电子邮件。 以前这是可行的,但移动服务器到它的当前位置打破了它。 出于显而易见的原因,我怀疑这是防火墙引起的问题。 首先,在对防火墙进行任何更改之前,以下是握手(或尝试)的样子: 邮件服务器 :192.168.25.26 客户端 :192.168.25.50 Source | Destination | PROTO | INFO 192.168.25.50 192.168.25.26 TCP 50861 > pop3 [SYN] seq=0 win=65535 len=0 192.168.25.26 192.168.25.50 TCP pop3 > 58601 [RST, ACK] seq=1 win=1 len=0 192.168.25.50 192.168.25.26 TCP [TCP Retransmission] 58061 > pop3 [Syn] etc…. 在失败之前再次发生[rst,ack],[tcp转播]舞蹈。 防火墙(Cisco)有关192.168.25.26和pop3的规则如下: 内: source | destination | service any […]
我对Linux非常陌生,过去一周左右我一直在努力解决问题。 我正在尝试在工作站(主机)上安装一个LXC容器集群,它的IP为192.168.10.33,连接到IP为192.168.10.1的网关 LXC节点默认连接到IP为10.0.3.1的lxcbr0网桥,容器的IP地址在10.0.3.111和10.0.3.120之间 我可以从主机ping每个容器,我可以从容器,以及主机IP(eth0,192.168.10.33)ping网桥(10.0.3.1),但我无法到达网关(192.168.10.1)我已经阅读了大量关于networking,iptables和路由的文章和手册,但到目前为止没有任何工作(定义默认gw,ip转发…) 如果我configurationlxcbr0桥为192.168.10.33(主机IP),我的容器采取IP在相同的IP范围(192.168.10.111到120),然后它工作正常。 我想了解如何桥接2个不同IP范围的networking(桥接192.168.10.0/24与10.0.3.0/24)? (作为免责声明,我禁用了防火墙和任何可以防止到达网关的东西,我可以从主机到达) 任何有识之士指出我在正确的方向将不胜感激。 谢谢
我怎么能路由传入的udp数据包与iptables匹配的模式,如: 53 41 4D 50 5B 79 95 DB 61 1E 69 从公共接口( vmbr0 )和端口7777到192.168.0.1:7777 ?
我想限制在Linux服务器的TCP连接数,我已经使用了下面的命令。 iptables -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 25 –connlimit-mask 32 -j REJECT –reject-with tcp-reset 看来,有些事情是错误的,预期的结果不会来。 我使用以下命令获得活动连接的数量 netstat -n | grep':80'| awk -F'''{print $ 5}'| awk -F':''{print $ 1}'| sorting| uniq -c | 分类 现在,当我input上面的命令,我得到以下结果。 44 122.179.103.8 45 107.167.107.123 46 120.60.76.201 48 122.162.172.182 49 183.87.48.105 51 122.161.241.33 71 198.72.112.97 98 122.168.167.114 […]
我有一个使用亚马逊ec2 openswanbuild立一个远程对等/公共IP的VPN隧道。 隧道已经到了,但是我们这边还是远处没有看到交通? 我有没有失踪? 请看我的configuration。 我的/etc/ipsec.conf config setup dumpdir=/var/run/pluto/ protostack=netkey nat_traversal= yes plutodebug=all plutostderrlog=/var/log/pluto.log oe=off include /etc/ipsec.d/*.conf 我的/etc/ipsec.d/con-name.conf conn con-name type=tunnel compress=no auto=start # Define IKE policy authby=secret ike=aes256-sha1 ikelifetime=86400s # Define IPSec policy auth=esp esp=aes256-sha1 pfs=no keyexchange=ike rekey=yes forceencaps=yes keylife=28800s left=%defaultroute leftid=<my vpn public ip> leftsubnet=<my internal vpn ip>/32 # 10.xxx leftsourceip=<my vpn public […]