我在几个月前在iptables中设置了规则,并使用iptables-persistent使规则在重新启动后保持不变。 我刚刚更新了我的规则,并试图让他们坚持,但没有任何工作,他们不断重置到早期版本。 我努力了: 创build一个在重新启动和每分钟运行的cronjob, #!/bin/bash iptables-restore -c < /home/amart219/iptables.backup 我已经保存到该规则的默认位置的文件,并重新configurationiptables-persistent iptables-save > /etc/iptables/rules.v4 dpkg-reconfigure iptables-persistent 我已经在/etc/network/if-pre-up.d/目录中放置了一个脚本,内容如下: #!/bin/bash /sbin/iptables-restore < /home/amart219/iptables.backup /sbin/ip6tables-restore < /home/amart219/iptables.backup 这些变化没有任何区别。 我的理解是,dpkg-reconfigure iptables-persistent是正确的方法,但没有任何我尝试的作品。 恐怕过去的一段时间,我可能会试图让它们在安装iptables之前工作的其他方式持久化,但如果是这样的话,我不知道我该怎么做。 我运行:tail -500 / var / log / syslog在重启之后立即查看系统是否加载了任何内容,但除了通常的启动数据外我什么都看不到。 除了我创build的尝试恢复iptables设置的服务器之外,该服务器没有任何cron作业。 我不知道这是否是问题,但如果是这样,我不知道如何find它可能会从哪里改变它。 如果我手动运行我在cron中设置的脚本来恢复iptables设置,它工作得很好,但不会通过重新启动持续。 cronjob设置正确,在一个单独的服务器上有40多个cronjobs,我对这个过程很熟悉。 有什么build议么? 我不挑剔我只需要它的工作方法。
我正在运行一个Linux的debian x64。 OpenVPN正在运行和configuration。 现在我想禁用互联网连接,只要我的VPN不运行或连接中断。 你知道我的意思? VPN工作 – >互联网连接 VPN不工作 – >没有互联网连接 在iptables中可以解决这个问题吗?或者最好的方法是什么?
我有4个虚拟机使用虚拟框。 一台虚拟机用作连接3个networking的路由器。 我试图放弃所有进入路由器机器的通信,excpet一些服务。 我在每台机器上的接口ips是: 作为路由器工作的虚拟机1: eth1: 193.136.200.254 eth2: 10.10.0.254 eth3: 10.254.0.254 虚拟机2: eth1: 10.10.0.2 eth2: 10.10.0.3 虚拟机3: eth1: 193.136.200.2 虚拟机4: eth1: 10.254.0.1 我在路由器机器上定义下面的规则: IPTABLES -P INPUT DROP iptables -A INPUT -s 193.136.200.3 -d 193.136.200.254 -p udp -m udp –sport 53 -j ACCEPT 现在我试图testing,如果这是使用netcat工作。 所以在路由器机器上运行命令: nc -u -s 193.136.200.254 -p 53 193.136.200.3 53 并在虚拟机3中运行: nc -u […]
我们有以下情况,在两个子网中有两个NIC的ens8: IP 192.168.100.74/24主机ens8: IP 192.168.100.74/24和ens9: IP 172.20.102.24/25 ,默认网桥docker0 IP 172.17.0.1/16和第二个网桥app_net IP 172.21.0.1/24 。 192.168.100.1是主机(Internet网关)上的默认网关。 docker集装箱有一个使用SNAT的固定传出IP,请参阅四种方式将docker集装箱连接到本地networking – 使用NAT 。 这是通过两个命令完成的,分配目标地址到主机接口ip addr add 192.168.100.234/24 dev ens8并添加iptables规则iptables -t nat -I POSTROUTING -s 172.21.0.4 -j SNAT –to-source 192.168.100.234 。 容器是使用来自桥app_net的IP创build的。 在主机上,我可以在子网192.168.100.x和172.20.102.x以及互联网(例如google.com)中ping / traceroute IP。 在一个容器中,我可以在子网192.168.100.x ping / traceroute IP,我也可以ping通google.com,但是我不能在172.20.102.x ping任何东西,除了172.20.102.24 。 看到下面的输出。 # traceroute -I 192.168.100.10 traceroute to 192.168.100.10 […]
为了说明这一点,我安装了Ubuntu 17.04并安装了KVM,然后成功configuration了Windows Server 2016标准虚拟机。 networking/互联网接入明智的一切工作完全正常,直到今天上午我注意到,在浏览器中导航时,我无法访问某些网站。 我发现了问题的根源,但是我对iptables的了解很less,经过无数个小时的研究,我仍然没有想到。 这是问题的影响。 HTTP S网站工作。 HTTP网站不工作(ERR_CONNECTION_TIMED_OUT) 我在IIS上的IIS网站工作,并可以从任何地方访问 我正在使用主机和来宾之间的NAT连接。 我使用它们提供的/ etc / libvirt / hooks / qemu脚本来转发端口,我发现问题的根源(下面的编号1和2) 编辑:我把这些在这里看得更好: 1- sbin / iptables -t nat -D PREROUTING -p tcp –dport 80 -j DNAT – to $ GUEST_IP:80 2- sbin / iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT – 到目的地$ […]
从这个问题我跟着这个回答。 我做了一个filter,并在fail2banconfiguration文件中启用它。 这是filter: # Fail2Ban filter to web requests for home directories on Apache servers [INCLUDES] before = apache-common.conf [Definition] failregex = ^<HOST> -.*"(GET|POST).*/wp-login.php/.*$ ignoreregex = Fail2ban无法启动,因为错误(我无法从日志中明确地看到错误),我的语法有什么问题?
我们正在使用nginx,并且需要阻止访问服务器上不存在的某些URL或URL部分,黑客正在使用它们来探测服务器。 为了有效地阻止我们决定把它们放在防火墙上的URL。 这些是一些块: iptables -I INPUT -p tcp -m string –string "/myaccount" –algo kmp -j DROP iptables -I INPUT -p tcp -m string –string "/login" –algo kmp -j DROP iptables -I INPUT -p tcp -m string –string ".action" –algo kmp -j DROP iptables -I INPUT -p tcp -m string –string ".asp" –algo kmp -j DROP […]
我在CentOS 7上运行MySQL,似乎无法远程连接MySQL。 我有: bind-address=0.0.0.0 当然不是#skip-networking但是如果我绑定到实际的公共/本地IP地址,则无关紧要。 我禁用了SELinux: [root@hostname ~]# sestatus SELinux status: disabled 并输出为iptables -L -v : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 103K 21M ACCEPT all — any any anywhere anywhere ctstate RELATED,ESTABLISHED 13 880 ACCEPT all — lo any anywhere anywhere 21423 3952K […]
我试图在我的网关服务器上设置iptables规则,强制我的孩子使用opendns(我最近发现,其中1人已经手动使用谷歌DNS而不是他的本地计算机)。 这是我在/etc/dhcp/dhcpd.confconfiguration文件: option domain-name-servers 208.67.222.222, 208.67.220.220; 它工作正常,因为当一个IP被分配给本地计算机时,默认的DNS服务器是第一个OpenDNS条目: $ nslookup > serverfault.com Server: 208.67.222.222 Address: 208.67.222.222#53 Non-authoritative answer: Name: serverfault.com Address: 151.101.65.69 Name: serverfault.com Address: 151.101.129.69 Name: serverfault.com Address: 151.101.193.69 Name: serverfault.com Address: 151.101.1.69 现在,如果我把我的服务器上的以下规则: #allow dns requests to opendns sudo iptables -A OUTPUT -p udp –dport 53 -d 208.67.220.220 -j ACCEPT sudo iptables -A OUTPUT […]
我使用rasperry pi作为无线接入点,build立了一个专用networking。 我所有的无线设备都能够连接到networking并进行通信(通过wlan0),但是我有一个只有以太网端口的Philips Hue集线器。 我想,例如,使用我的电话(在192.168.0.x)命令集线器(192.168.1.x:80)来改变颜色。 的/ etc /networking/接口: auto lo iface lo inet loopback allow-hotplug eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.0.0 network 192.168.1.0 gateway 192.168.0.0 allow-hotplug wlan0 iface eth0 inet static address 192.168.0.1 netmask 255.255.0.0 network 192.168.0.0 /etc/dnsmasq.conf: interface=wlan0 dhcp-range=192.168.0.2,192.168.0.20,255.255.255.0,24h interface=eth0 dhcp-range=192.168.1.2,192.168.1.20,255.255.255.0,24h 在/etc/dhcpcd.conf中也包含了这一行 denyinterfaces wlan0 我已经做了大量的研究,并用iptables(NAT)进行转发,使用第三个接口进行桥接……我只是没有发现任何有类似于我的问题的人在一个盒子中处理无线接入点和eth0连接。 什么是完成我的任务的最好方法? 我将不胜感激关于这个主题的任何指导。 另外,我的子网掩码和网关设置正确吗? 谢谢!