我只是改变了与ipv6服务器,因此我改变了我的防火墙脚本。 改变我的iptables脚本到ip6tables似乎并没有工作。 这是ipv6的一部分,既不允许传出stream量也不允许ipv6传入stream量(但应允许所有传出,只允许ssh,https); ipv4的作品就像一个魅力: #IPv6 # Setting default policies: ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT ACCEPT # Exceptions to default policy ip6tables -I INPUT -i lo -j ACCEPT ip6tables -A INPUT -p tcp —dport 22 -j ACCEPT # SSH ip6tables -A INPUT -p tcp —dport 443 -j ACCEPT # HTTPS […]
我找不到这个问题的答案。 我有7个IP地址范围,我想允许RDP(端口3389)到我的networking内的一个服务器。 我的主要路由器使用iptables,我似乎无法弄清楚什么是正确的组合… 这是我得到的最接近,似乎没有工作 iptables -t filter -l FORWARD -d 192.168.x.xx -p tcp -m iprange –src-range xx.xxx.xxx.100-xxx.xxx.xxx.200 –dport 3389 -j ACCEPT 什么是这样做的正确方法… 更新: 我find了解决这个问题的办法。 请参阅下面的答案我的解决scheme
我一直在设置OpenVPN,并且我一直遵循的所有标准指南都build议设置iptables以便VPN服务器在VPN客户端上执行NAT: iptables -t nat -A POSTROUTING -s *vpn-ip-range* -o eth0 -j MASQUERADE 这很好。 但是,由于NAT在我们其他内部机器上的所有日志都报告来自VPN服务器IP而不是客户端IP的stream量。 我想删除NAT,并在整个networking中使用客户端IP(用于审计目的)。 我已经完成了以下工作: 更新OpenVPNconfiguration为所有客户端提供内部IP地址(子网10.0.0.0/8 ) 添加一个静态路由到我们的主要网关将这个子网路由到VPN服务器的IP地址 最后一步是更新iptables 。 这是我似乎无法得到它的工作。 网卡是eth0 ,所有OpenVPNstream量都在tun0 。 我所要做的就是让VPN服务器在与10.0.0.0/8stream量相关的接口之间转发stream量。 任何人都可以build议我将如何做到这一点?
在某些情况下,我发生了一些自我伤害的DoS,我试图找出是否可以使用iptables来缓解这种情况。 简短的版本是“我怎样才能限制传入连接到服务器的速度,比如每5秒使用iptables规则不超过2秒?”。 我已经阅读过这样的问题,虽然连接起来了,但是我的答案(我已经尝试过了 – 见下文)并没有达到我所追求的目标。 长版本是我们的客户端/服务器应用程序保持活动连接,并且我们的客户networking之一不断断开连接,这意味着大量(15+)客户端同时断开连接。 当他们的networking连接恢复时,他们都试图同时重新连接,造成一种DoS。 长期的解决scheme是我们在客户端重新连接代码中实现随机退避,我们正在这样做。 与此同时,我迄今为止所尝试的是基于上述SF答案的资源。 从那里,我创造了这两个规则: -A INPUT -p tcp -s 54.208.46.226 –match state –state NEW –match recent –set -A INPUT -p tcp -s 54.208.46.226 –match state –state NEW –match recent –update –seconds 5 –hitcount 3 -j DROP 注意我已经指定了一个我们自己的IP地址进行testing,所以我可以尝试从这个IP连接,看看是否连接被阻止或允许。 这样的作品,第一次连接尝试被接受,第二次。 但是当第三次尝试在5秒钟内完成时,就会被阻止 – 到目前为止这么好。 问题是,如果客户端继续尝试连接(因为我们的客户端代码目前将这样做),它仍然被阻止 – 我猜是因为第二个更新规则更新时间戳,而这个规则有效地说,必须有一个连接尝试之间有5秒的间隔 。 但是我所追求的是每5秒允许最多2个连接成功,而不pipe他们尝试连接的频率如何。 我推测它可能是–update标志,它保留了最近尝试的时间戳(而不是最近的成功,这实际上是我想testing的)。 我切换到 – […]
我张贴在这里,因为我有一个服务器,我想redirect我的主要接口(eth0)的端口2121到我的辅助接口(virbr0)的端口21。 这是我的configuration: Physical server OS : Ubuntu Server 16.04 LTS, Firewall software : UFW v.0.35 Virtual Machine OS : Windows 7 Professional Hypervisor : OpenStack KVM (QEMU). 服务器IPconfiguration: eth0 address 91.121.XXX.XXX netmask 255.255.255.0 network 91.121.XXX.0 broadcast 91.121.XXX.255 gateway 91.121.XXX.254 virbr0 address 192.168.122.1 gateway 192.168.122.1 服务器路由configuration: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref […]
我有一个iptables POSTROUTING规则的问题,看来SNAT规则不会改变源IP地址。 我想build立下面的系统,通过VPN隧道路由所有来自LAN 2的stream量。 系统有两个路由表configuration。 系统configuration +—————–+ LAN 2 —-> |eth1 eth0 +—–> LAN 1 —> Gateway —> Internet | tun1 | +————-|—+ `————— VPN tunnel ——> iptables /路由configuration iptables的 root@misio:~# iptables -n -L –line-numbers -v -t nat Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source […]
我正在使用net_cls cgroup来分类来自一个进程的数据包,然后用iptables对其进行修改。 从内核和systemd家伙看来,net_cls已经被弃用了,其他工具如nftables应该做同样的事情。 我检查了nftables,它看起来像我可以使用cgroups匹配(iptables的这个问题也可以工作),但我不清楚我的cgroup会是什么。 有没有人有什么cgroup是什么暗示? 我需要创build一个吗? 我可以利用systemd或现有的一个现有的?
在我们的实验室里,我们有一个4个Debian机器的小型networking,通过局域网中的路由器连接。 其中一台机器(服务器)具有互联网连接,由大楼的较大networking提供。 我想使用NAT将互联网连接到LAN上的内部机器。 我遵循这个指南,但我无法从客户端获得工作连接。 eth0服务器的IP地址为192.168.2.248(接入互联网)。 eth1是192.168.200.1(连接到局域网)。 我设置bind9(与标准conf,但添加正确的DNS地址到/etc/bind/named.conf.options)转发DNS,但我不知道这是绝对必要的。 $ iptables-save # Generated by iptables-save v1.4.21 on Mon Aug 22 16:06:21 2016 *nat :PREROUTING ACCEPT [46792:8129746] :INPUT ACCEPT [46302:8099043] :OUTPUT ACCEPT [2752:190850] :POSTROUTING ACCEPT [1472:88500] -A POSTROUTING -o eth0 -j SNAT –to-source 192.168.2.248 COMMIT # Completed on Mon Aug 22 16:06:21 2016 # Generated by iptables-save v1.4.21 […]
我有一个标志/ mangle / SNAT设置已经工作了很多年了。 但是,当尝试使用DHCP请求的相同设置时,它会间歇性地失败: *mangle -A OUTPUT -p udp -m udp –dport 67 -j MARK –set-xmark 0x7/0xffffffff #… *nat -A POSTROUTING -m mark –mark 0x7 -j SNAT –to-source <SCRUBBED> 然而,由于没有明显的原因,在SNAT翻译过程中,数据包偶尔会被redirect到端口1而不是67。 iptables文档指出: which can specify a single new source IP address, an inclusive range of IP addresses, and optionally, a port range (which is only […]
今天是个好日子。 我们假设下一个configuration:我们有一个公网IP地址为1.2.3.4的路由器(外部接口 – wan)。 如果由于某种原因,路由器收到一个伪造的源IP地址的数据包,它与我们的外部接口的公共地址相同,就netfilter子系统而言,这个数据包将被分配什么链? 这个数据包的目标IP地址可以是任何内部局域网/另一个外部地址。 将这个数据包视为路由器本身(OUTPUT链)或转发数据包(FORWARD链)的输出数据包?