我有两个独立的networking,一个是可信的,一个是不可信的。 可信networking包含一台服务器。 蓝色是现有的,可信赖的networking,大盒子是服务器,通过eth0连接到可信networking。 我现在要开始使用服务器上的可用资源来托pipeDocker容器中包含的服务到不可信networking(红色)。 我希望所有绑定到0.0.0.0的东西像往常一样工作,但不要绑定到eth1和docker1。 这意味着nginx应该能够与除eth1和docker1之外的所有接口进行通信。 它不应该能够与192.168.2.0/24子网(也包括docker1网桥)进行通信。 这也适用于sshd和桑巴,以及任何服务。 没有来自192.168.2.0/24的设备应该能够在服务器上build立ssh会话或通过samba连接。 服务器上不应该发送192.168.2.0/24到其他子网的路由。 因此,192.168.1.0/24networking上的服务器和任何设备应该能够访问容器1到3,但不能访问4和5.容器4和5不能访问192.168.1.0/24上的任何东西networking。 我相信这应该是可以通过使用iptables。 另外,我将如何configurationdocker桥? 我缺乏iptables的经验,更多的是使用dockernetworking,所以我们将不胜感激。 (这两个networking之间的所有通信应该只发生在一个路由器上,路由器正在使用NAT,因此子网192.168.1.0/24可以通过它访问192.168.2.0/24,但是只有路由器上的端口转发允许它,但是这是一个不同的(并解决了)问题。) 更新 :会添加这些规则这个工作吗? iptables -A INPUT -i eth1 -j DROP iptables -A OUTPUT -i eth1 -j DROP iptables -A FORWARD -i eth1 -j DROP iptables -A INPUT -i docker1 -j DROP iptables -A OUTPUT -i docker1 -j DROP iptables -A FORWARD […]
我有以下问题。 我只是做了一个DVD CenOS 7安装。 在我启动到系统后,我通常以root用户身份login。 从那里我试图在我的服务器上configuration防火墙。 由于我对所有这些都比较陌生,所以我只是做了一些关于如何启动和pipe理Firewalld的search,似乎是CentOS 7的预期防火墙软件。我尝试的第一件事就是打字 systemctl status firewalld 作为输出我得到 Warning: iptables not usable, disabling IPv4 firewall. Warning: ip6tables not usable, disabling IPv6 firewall. FATAL ERROR: No IPv4 and IPv6 firewall. ERROR: Raising SystemExit in run_server 我已经尝试重新启动系统,更新它。 我重新安装了iptables和firewalld。 试图用任何一个蒙面或禁用。 这一切都没有奏效,但也许我想念一些东西。 我通常只想设置一个Teamspeak服务器,在Windows下工作的时候,我在防火墙上添加了一个特定的规则。 我想在CentOS 7下做同样的事,主要是为了学习目的,或者熟悉Linux作为服务器。 我会很感激任何帮助。 先谢谢你。
过去几天我一直在扯掉我的头发。 我有一个EC2实例和Ubuntu一起,并且设置了我的AWS实例,以便所有访问端口8088和8090的stream量都被允许进入。通过这个链接 ,我认为只要使用GUI浏览器,因为我没有访问我的EC2实例上的GUI。 所以我运行这个命令(从教程): docker run -u zap -p 8088:8088 -p 8090:8090 -i owasp/zap2docker-stable zap-webswing.sh 它什么也不说。 但是当我使用端口8088进入公共EC2 IP时,我只是收到一个错误,提示“无法访问此站点”。 我已经成功地在这个EC2实例上的另一个端口上设置jenkins,并且可以访问..所以我不确定为什么我在运行OWASP / ZAP时无法访问这个端口。 当我运行sudo iptables -t nat -L -n我得到以下内容: Chain PREROUTING (policy ACCEPT) target prot opt source destination DOCKER all — 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL Chain INPUT (policy ACCEPT) target prot opt source destination Chain […]
我想创build我的虚拟机的桥梁。 而且我想通过我的虚拟桥接进入互联网。 我做了什么: DEVICE=br1 TYPE=Bridge ONBOOT=yes BOOTPROTO=static IPADDR=192.168.1.1 NETMASK=255.255.255.0 我在我的networking(通过dhcp)桥接,与eth0链接: br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.110.14 netmask 255.255.255.0 broadcast 192.168.110.255 BR0: DEVICE=br0 TYPE=Bridge ONBOOT=yes BOOTPROTO=dhcp 为eth0: TYPE=Ethernet BOOTPROTO=dhcp DEFROUTE=yes PEERDNS=yes PEERROUTES=yes NAME=eth0 DEVICE=eth0 ONBOOT=yes BRIDGE=br0 iptables命令: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 192.168.110.14 但它不工作。 ping -I br1 8.8.8.8 PING 8.8.8.8 (8.8.8.8) […]
我似乎遇到了一个似乎与iptables有关的奇怪问题,尽pipe我并不完全确定。 该机器是无头服务器运行squid3,bind9和其他小型服务。 从Ubuntu 16.04.1升级到16.04.2后,这个问题立即出现。 iptables规则在很久以前一直在/ etc / network / interfaces中应用在这台机器上,如下所示: $ cat /etc/network/interfaces # The loopback network interface auto lo iface lo inet loopback allow-hotplug p4p1 iface p4p1 inet static address 192.168.1.254 netmask 255.255.255.0 gateway xxx.xxx.xxx.xxx allow-hotplug p5p1 iface p5p1 inet static address xxx.xxx.xxx.xxx netmask 255.255.255.0 gateway xxx.xxx.xxx.xxx dns-nameservers xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx pre-up iptables-restore < /etc/iptables.rules […]
在我的Linux服务器上,我想禁止使用IPtables访问特定端口24小时的IP。 为此,我使用以下IPtables规则: # Check if IP is on banlist, if yes then drop -A INPUT -m state –state NEW -j bancheck -A bancheck -m recent –name blacklist –rcheck –reap –seconds 86400 -j LOG –log-prefix "IPT blacklist_ban: " -A bancheck -m recent –name blacklist –rcheck –reap –seconds 86400 -j DROP # PUT IPs on banlist -A […]
我有一个规则来阻止对wordpress xml-rpc的过度调用: 过滤: failregex = ^<HOST> .*POST .*xmlrpc\.php.* ignoreregex = 监狱: enabled = true port = http,https filter = php-xmlrpc logpath = /var/log/httpd/access_log maxretry = 6 bantime = 3600 action = iptables[name=PHP_XMLRPC, port=http, protocol=tcp] 这似乎工作,因为我在最近的xml-rpc垃圾邮件攻击期间得到了以下iptables规则: Chain INPUT (policy ACCEPT) target prot opt source destination MANUAL_BANS all — 0.0.0.0/0 0.0.0.0/0 fail2ban-PHP_XMLRPC tcp — 0.0.0.0/0 0.0.0.0/0 tcp […]
我有一个Ubuntu服务器,我通过SSH远程控制它,我需要在这台服务器上运行一个OpenVpn客户端,所以所有的stream量将通过VPN隧道,除了两件事情,1.从我的电脑在这里的SSH连接, 2.另一个程序使用自定义端口43210。 这是我所尝试过的。 我为所有不想使用VPN的stream量创build了一个新的ip规则表: # reserved values 255 local 254 main 253 default 0 unspec # # local # #1 inr.ruhep 206 passvpn 我为passvpn表定义了使用本地非VPN设备的行为: ip route add default via xxx.xxx.xxx.xxx dev eth0 table passvpn 其中xxx.xxx.xxx.xxx是我的网关 我添加一个新的IP规则来引导这些标记的stream量到表中: ip rule add fwmark 66 table passvpn 我用这个掩码标记SSH和其他程序的stream量,使用端口号: iptables -t mangle -A OUTPUT -p tcp –sport 22 -j MARK […]
有人能帮忙吗? 我有一个具有固定IP地址10.0.0.2的小工具,我无法更改。 它需要与我的笔记本电脑交谈,而笔记本电脑又需要与互联网交谈。 我的主网卡从DHCP服务器获取IP。 我有一个IP地址为10.0.0.5的二级网卡,我曾经通过这个接口与设备交谈。 我必须移动到另一个网段,恰好有它的IP范围为10.0.0.0/24。 大。 我也不能影响这个。 现在我陷入了一个问题。 10.0.0.2正在使用中,所以我不能只做简单的事情,把固定IP的小工具插到这个networking上,过后快乐地生活。 这意味着我现在需要修改我的Ubuntu主机,以便它可以通过eth0与10.0.0.254(默认网关)通信,通过eth1与10.0.0.2通信。 我到底怎么做到这一点? 我的eth0得到一个随机的10.0.0.x IP,我的eth1被固定为10.0.0.5。 我试过的是如下: 添加一个静态条目到arp表来告诉10.0.0.2在xx:xx:xx:xx:xx:xx通过interface eth1 在与10.0.0.2交谈时试图将我的出站连接绑定到10.0.0.5 将eth1改为完全不同的东西(10.42.0.1),并使用iptables使得当一个数据包传输到10.42.0.2时,它实际上会转到10.0.0.2。 这些都没有工作。 当我tcpdump的eth1,所有stream量仍然尝试通过eth0退出情况1和2.情况3,我可以使redirect到10.0.0.2发生,但stream量然后只是select错误的接口,并从eth0退出,因为eth1没有那里有一个地址。 我应该怎么做? 我知道这是一个愚蠢的问题,没有必要告诉我。 应该有方法来改变这些networking之一,但目前这不是一种select。 最终会是,但如果我能find一个临时的解决scheme,我将节省几个星期的时间。 我想我可以解决的唯一方法是把另一台计算机,连接到eth1,使用10.42.0.0/24networking,然后设置此计算机中继stream量到10.0.0.2。 现在,它应该可以工作,因为它在该networking中没有多个接口。 这个问题是获得另一台计算机或路由器。 H
我有一个Raspberry Pi,它build立到远程服务器(VPS)的SSH代理,并在Pi上打开一个端口,所以我可以使用它作为SOCKS代理。 这是我用来build立隧道的命令: ssh -D 1080 -f -C -q -N user@hostname 这显示了它应该如何工作: ______________________________ | | | Client | |______________________________| | | L2TP over IPSEC ________________|_______________ __ | | | | VPN (192.168.1.XXX) | | |________________________________| | ________________|_______________ |-RaspberryPi | | | | SOCKS5 (127.0.0.1:1080) | | |________________________________|__| | | SSH tunnel ________________|________________ | | | […]