我试图build立一个使用Squid的debugging代理,主要是testing我们自己的客户端通信库的各种代理types(我们的客户端的一种可能性,是连接到外部拦截和过滤代理服务)。 我们的networking设置如下所示: [客户端设备/浏览器] – [代理,公共IP只] – [目标网站,例如Google,Facebook等] 在testing设置时,从Linux客户端执行此操作可以正常工作(因为端口8991没有设置拦截): $ curl –proxy http://<squidserverip>:8991 http://www.example.com/ 然而,这个版本从Squid发出一个拒绝访问的错误页面(因为端口8990被设置了拦截): $ curl –proxy http://<squidserverip>:8990 http://www.example.com/ 在Squid服务器上,我在cache.log中看到以下内容: 2015/03/11 20:10:44 kid1| WARNING: Forwarding loop detected for: GET / HTTP/1.1 User-Agent: curl/7.26.0 Host: www.example.com Accept: */* Via: 1.1 <servername> (squid/3.4.8) X-Forwarded-For: <client-source-ip> Cache-Control: max-age=259200 Connection: keep-alive 在这些例子中,出于安全原因,我已经混淆了实际的请求(带有占位符名称/标题)。 我的squid.conf目前看起来像这样(删除了注释行和空行): acl SSL_ports port 443 acl SSL_ports […]
我试图用nginx在Debiannetworking服务器上执行TCP SYN泛洪。 在洪泛时执行tcpdump "tcp[tcpflags] & (tcp-syn) != 0" ,我看到所有的数据包都来了。 iptables似乎很好地处理从原始套接字生成的SYN数据包,但与hping3 178.33.123.111 –flood -S -L 0 -p 80攻击不hping3 178.33.123.111 –flood -S -L 0 -p 80 。 请问,你能build议iptables规则logging和放弃这个攻击吗?
我在Ubuntu的ssh服务器上configuration了多个IP地址。 现在可以使用任何IP地址(从192.168.0.51到192.168.0.99)访问服务器。 根据某人使用哪个IP地址访问此服务器,我希望将请求转发到本地主机,在特定的端口上。 例如: 如果我的IP地址是192.168.0.51,SSH服务器应该把我的请求转发到localhost:5001 如果我的IP地址是192.168.0.52,SSH服务器应该把我的请求转发到localhost:5002 如果我的IP地址是192.168.0.53,SSH服务器应该把我的请求转发到localhost:5003 实际上,这实际上会将会话转发到另一个使用反向NAT连接到此ssh服务器的主机。
我一直试图没有成功,像在电脑上设置一个透明的代理服务器。 我发现的大多数例子都没有在同一台计算机上的网关和代理,所以我可能会看到错误的例子。 这是我的'路由器'电脑如何设置: 它充当无线AP,并具有两个LAN端口(目前仅使用一个LAN端口) 它有一个DHCP和DNS服务器上设置 Dansguardian和鱿鱼是完全安装(我已经用telnet和squidclienttesting) 通过iptables NAT是所有设置和工作正常。 我目前的iptables安装脚本(是的,这是非常简单的,并允许太多。我得到透明代理工作后,我会更好地locking它): LAN="wlp4s0" WAN="enp3s0" PROXY_PORT="8080" iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X #handle unmatched traffic iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -A INPUT -m state –state INVALID -j […]
我正在寻找一些iptables的规则,可以帮助我从服务器路由一些stream量: Client 1 —-| Client 2 —-| |———-| Client N —-| ssh, | Server B | | http, | (NAT) | | … |———-| | | | |———-| | ————-| Server A |————| |———-| (all traffic initiated by A should be redirected to B) 任何客户端都应该能够访问服务器A上的一些服务,如ssh,http等(这里不需要特别的工作)。 为了回答客户端发起的一些请求(比如HTTP请求),服务器A应该在外面获取一些信息,但是它应该具有作为NAT的服务器B的IP(实际上我们有很多的服务器A)。 我的问题是:如何在服务器A上设置iptables,将服务器A发起的所有出站stream量路由到服务器B.
目标 :在我自己的Debian VPS上复制StrongVPN的function。 使用StrongVPN,表面上看,所有提供的公共IP上的所有端口都被转发到客户端,也就是说,例如,“外部”的ssh:22连接到我的路由器。 还upnp / NATPMP等在我的路由器的客户端只是工作(Skype的,回到我的Mac)。 需要注意的是,服务器需要在某些端口(22,80等)上“保持”接收stream量以保持function,所以这些将需要通过IPtables设置的任何转发“缺口”。 服务器 :我有一个VPS,最新的Debian运行OpenVPN和bind9。 我有一个NIC和一个公共IP。 这个服务器也运行Apache,我需要通过ssh访问它进行configuration。 客户端 :运行OpenWRT的路由器。 目前我已经设置了使用StrongVPN。 我想转移到使用我自己的VPS。 必需 :帮助为iptables生成一组合适的规则。 我有一个基本的,工作OpenVPNconfigurationbuild立如下以及iptable规则的开始。 client.conf: remote 46.aaa.xxx.yyy 1194 udp dev tun ifconfig 172.19.233.2 172.19.233.1 secret static.key redirect-gateway def1 为server.conf: dev tun proto udp port 1194 ifconfig 172.19.233.1 172.19.233.2 secret /etc/openvpn/static.key 使用ifconfig: eth0 Link encap:Ethernet HWaddr 52:XXXXXXXXXXXX inet addr:46.aaa.xxx.yyy Bcast:46.aaa.xxx.xxx Mask:255.255.255.0 […]
我正在尝试使用StrongSwan解决站点到站点的VPNconfiguration问题,这将允许远程站点连接到我们的AWS VPC。 值得注意的是,远程网关可能会使用与VPC相同的子网,并且它们将无法在其端点上执行任何NAT,因此都必须在AWS网关上完成。 我遇到了IKEV2和StrongSwan的“虚拟IP”支持,我认为结合IPTable规则可以解决这个问题。 虽然我有几个关于这个架构的问题,你可以在下面的图中看到。 我们在VPC中为映射的远程VPN设备定义了一个特殊的子网,这是为了确保我们有足够的空间,因为在VPC的其他地方会有很多自动缩放。 最终,我select的架构将需要能够支持所有连接到我们的VPC的多个远程站点。 首先,在这种情况下,这种架构看起来是否合理,还是有更好的方法来完成这一点? 假设问题1的答案是肯定的, 我很容易确定一个虚拟子网,使其不会与我的VPC(10.0.0.0/16)或远程站点(10.0.0.0/16)重叠,例如我手动select11.0.0.0/24。 我如何跟踪虚拟池中的谁是谁? 地址是否简单映射为1对1,例如10.0.0.15 – > 11.0.0.15? 跟踪这个映射的最好方法是什么? 我喜欢特殊子网“Mapped VPN Subnet”的想法,因为我可以跟踪我的可用空间。 然而,你认为这种方法只是使拓扑过于复杂? 另一种select是废弃该子网并简单地使用虚拟IP池。 假设问题#3的答案是肯定的, 实施NAT IPTable规则的最佳方式是如何在虚拟池中寻址PRE / POST路由到“映射的VPN子网”。 像这样的东西? 规则 iptables -t nat -A PREROUTING -d <virtual address> -j DNAT –to-destination <mapped vpc address> iptables -t nat -A POSTROUTING -d <mapped vpc address> -j SNAT –to-source <virtual […]
Ubuntu 14.04.2 VM,IP为1.2.3.4和1.2.3.5。 我试图将1.2.3.5的所有stream量路由到1.2.3.189的另一个地址(在另一台服务器上,并且可以通过networking上的任何机器访问)。 在/etc/sysctl.conf中 :我启用了设置net.ipv4.ip_forward = 1 我用这个脚本重置了一切 echo "Stopping firewall and allowing everyone…" iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT 然后我把这个作为脚本来处理stream量 sudo iptables -t nat -A PREROUTING -d […]
我们有一台ubuntu-12.04主机,另外还有一台ubuntu-12.04客机正在运行。 两者之间的networking接口被桥接。 我想把主机放在防火墙后面,但是每当我打开端口22的时候启用ufw,我就失去了与虚拟机的连接。 正如在我不能ssh或甚至ping它。 我浏览了大量的在线材料,试图找出这种行为没有成功。 任何人都可以请指出我在这里失踪以及如何解决这个问题? 任何帮助非常感谢。 编辑:iptables的输出 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp — 0.0.0.0/0 0.0.0.0/0 udp dpt:67 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 ufw-before-logging-input all — 0.0.0.0/0 0.0.0.0/0 ufw-before-input all — 0.0.0.0/0 0.0.0.0/0 […]
我想使用iptables来提供NAT转换,并将数据包转发出不同的接口。 networking设置如下: 别名: eth0:220,IP地址为10.1.1.220 / 255.255.252.0 eth0:221,IP地址为10.1.1.221 / 255.255.252.0 标记的VLAN: eth1.220,IP地址为192.168.0.1/24 eth1.221,IP地址为192.168.0.1/24 据我所知,下面这几行提供了NAT转换: iptables -t nat -A PREROUTING -i eth0:220 -d 10.1.1.220 -j DNAT –to-destination 192.168.0.23/24 iptables -t nat -A PREROUTING -i eth0:221 -d 10.1.1.221 -j DNAT –to-destination 192.168.0.23/24 但是,如何指定数据包出口的接口呢? eth0:220需要离开eth1.220才能使数据包标记正确的VLANID。 using -o eth1.220 is not allowed with PREROUTING 在eth1.220到10.1.0.1网关的stream量上是否需要做任何事情? 添加更多的信息:这个想法是,testing者将连接到10.1.0.0/22networking,当他们在networking浏览器中input10.1.1.220时,VLAN220上的IP地址为192.168.0.23的网站将被显示。 这将允许他们更改被测设备(DTU),而不必更改DTU的默认IP地址。 这些VLAN中大约有200个。