我有一个基于Linux的stream量整形器(iptables + tc htb策略)。 它在桥模式下工作。 形成基于IP和端口的stream量(在iptables的“mangle”链中有大约100条规则)。 现在它的吞吐量大概是100MB / s(我不记得pps,networking上有大约800个用户)。 只是想知道 – 什么时候我会达到极限。 基于Linux的整形器可能会通过多lessstream量。 如果你有一个重负载,请你能写你使用什么机器,什么负载。 或者,如果您有任何有关该主题的其他信息,请写下。 提前致谢。
在防火墙生成器中,当您使用DNS对象并将其设置为运行时,防火墙(在我们的例子中为iptables)实际上何时parsingDNS名称? 是否每当打电话到防火墙的DNS名称? 那么,当有人/某事试图访问这个DNS名字时,防火墙就会立即parsing这个名字? 还是当你执行fw脚本来加载规则到iptables? 那么在这种情况下,它会parsing一次的DNS名称,然后将生成的IP地址硬编码到iptable规则中? 从我读到的,我认为它的#1,但它不是100%清楚。 我们的networking上有一个特定function的两台服务器。 一个是主服务器,另一个是备份。 alpha0.domain.com alpha1.domain.com 在DNS中我们有这个: alpha.domain.com -> alpha0.domain.com 如果主服务器出现故障,我们需要切换到备份,则只需将我们的本地DNSlogging更改为指向alpha1.domain.com 。 所以回到防火墙,如果我只是把域对象放在alpha.domain.com ,每次我们切换到备份alpha服务器并更改DNSlogging时,是否必须重新加载防火墙规则? 或者即使在交换机之后防火墙会自动parsing到正确的地址?
我的系统在Linux防火墙后面,其中eth0连接到互联网,eth1连接到我的LAN。 问题是我无法ping到我的networking之外。 我在这里使用的iptables规则如下。 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p icmp -j SNAT – 源代码$ PUBLICIP 如果我在这里做错了,请纠正我。 数据包转发由内核启用。 包含iptables规则的脚本如下。 IPT=/sbin/iptables echo 0 > /proc/sys/net/ipv4/tcp_ecn echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp echo 1 > /proc/sys/net/ipv4/ip_forward # Removing Ipchains modules and inserting IPT modules /sbin/rmmod ipchains &> /dev/null /sbin/modprobe ip_tables /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc […]
我有一个与媒体寺庙和plesk防火墙模块的dv服务器造成了一吨的悲痛,它用于工作,不再是…无法通过模块编辑防火墙规则等 卸载这个模块,我认为是什么被称为psa-firewall服务,防止防火墙工作? 其运行centos 5和防火墙看起来是iptables。
我虽然我过滤了25端口smtp,但是当我运行iptables -L列出活动防火墙规则,我仍然在我的结果中得到以下内容: ACCEPT tcp — anywhere anywhere tcp dpt:smtp 不应该被删除,我在我的shell脚本中注释了以下规则,保存并重新加载iptables # iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT # iptables -A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT 更新:我使用的脚本是在这里,唯一的区别是,我注释了端口25行http://linode.com/wiki/index.php/CentOS_IPTables_sh
我有一个完美的工作iptables,但服务器重新启动后,不会开始给我Setting chains to policy ACCEPT: security raw nat mangle fi[FAILED]错误。 我没有改变/etc/iptables任何东西。 我卸载iptables yum uninstall iptables ,并再次安装它。 现在更糟糕:(我得到: Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: security raw nat mangle fi[FAILED] Unloading iptables modules: Opening /proc/modules: No such file or directory grep: /proc/modules: No such file or directory Opening /proc/modules: No such file […]
有没有办法使用IPTables放弃所有来到特定域名的请求? 例如,所有进入www.a.com的请求都将被删除。 没有答复,没有错误页面,只是丢弃。 如果可能的话,怎么办? 顺便说一句,我知道,这可能不是一个好的做法。 但现在需要完成。 谢谢!
我需要设置具有以下特征的多机VPN: 1个集线器(10.170.0.1),它是VPN的基础 20个用户(10.170.0.0/16) 5位pipe理员(10.171.0.0/16) 第一部分,中心和20个用户,正在按需要工作。 在这个设置中,我需要: 从集线器连接到每个用户 从每个用户连接到集线器 拒绝用户之间的连接。 简单的香草OpenVPNconfiguration,而不使用客户端到客户端。 现在我想添加5个pipe理员与一些超级连接的权力。 在这个新的设置中,我需要: 从pipe理员连接到集线器。 从每个pipe理员连接到每个用户(可能需要最终限制某些pipe理员到某些用户)。 拒绝用户和pipe理员之间的连接(源自pipe理员的连接除外)。 拒绝pipe理员之间的连接。 我认为要获得这种粒度的控制,我需要在server.conf启用client-to-client 。 当这样做时,我已经有用户(170.0.0 / 16)和pipe理员(10.171.0.0/16)在讲话。 问题是我需要执行上面的限制。 我敢肯定,这应该是一个iptables的问题,但我一直在尝试更多的小时,我不愿意承认,并使其工作。 到目前为止,我的iptables.conf看起来像这样: *filter :INPUT DROP [1000:900000] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -p tcp -m tcp –dport […]
问候每个人我有一些Ubuntu下的iptables规则问题。 我用NAT的function创build一个简单的防火墙,然后重启服务器。 创build命令: iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE 在terminal中input以下命令: iptables -L -v 但是不显示规则。 看起来NATfunction和上次制定的规则仍然可以使用。 是否有必要创build一些脚本来保存规则。 重新启动服务器时规则是否会丢失? 谢谢。
我试图build立一个支持snort的防火墙,当我添加QUEUE目标时,它将丢弃所有的数据包。 我已经这样做了,但是QUEUE目标不允许进一步处理数据包: -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -j QUEUE -A INPUT -j ACCEPT # It's not allowing anything past QUEUE, as you can see below in the count. > iptables -I INPUT -nv pkts bytes target prot opt in out source destination 6707 395K ACCEPT tcp — * […]