这是我的防火墙脚本: WAN_NIC="ppp0" LAN_NIC="eth1" DYN_ADDR="yes" iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P POSTROUTING ACCEPT iptables -t mangle -P INPUT ACCEPT iptables -t mangle […]
我们在服务器上使用CSF,如果检测到端口扫描,它会自动阻止IP。 这是发生此类事件时的报告: Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=2 ID=55576 PROTO=UDP SPT=43731 DPT=33477 LEN=40 Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 OUT= MAC=mac_id SRC=client_ip DST=server_ip LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=55572 PROTO=UDP SPT=38463 DPT=33473 LEN=40 Jan 21 09:20:48 server_name kernel: Firewall: *UDP_IN Blocked* IN=eth1 […]
我有以下设置 服务器(192.168.21.11,172.17.4.6),通过OpenVPN路由10.10.10.0/24 客户端(192.168.21.9) 路由器(192.168.21.1)[m0n0wall]具有10.10.10.0/24至192.168.21.11的静态路由 在服务器上,启用NAT转发: /sbin/iptables -t nat -A POSTROUTING -d 10.10.10.0/24 -o tun0 -j MASQUERADE # cat /proc/sys/net/ipv4/ip_forward 1 # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 我能够做从客户端到服务器的traceroute # traceroute 10.10.10.10 traceroute […]
我在制定IPTABLE规则方面有一些困惑。 auto lo iface lo inet loopback # The primary network interface auto eth2 iface eth2 inet manual auto br0 iface br0 inet static address 192.168.1.17 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.100.255 gateway 192.168.100.100 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 192.168.103.2 dns-search mydomain.com bridge_ports eth2 bridge_fd 9 bridge_hello 2 […]
我如何修改这个脚本: http : //www.cyberciti.biz/faq/block-entier-country-using-iptables/ 阻止一个特定的端口的国家? 这只是一个改变这个问题的问题: # Drop everything $IPT -I INPUT -j $SPAMLIST $IPT -I OUTPUT -j $SPAMLIST $IPT -I FORWARD -j $SPAMLIST 至: # Drop everything $IPT -I INPUT –dport XXX -j $SPAMLIST $IPT -I OUTPUT –dport XXX -j $SPAMLIST $IPT -I FORWARD –dport XXX -j $SPAMLIST
如何通过iptables或其他方式将UDP单播数据包转换为广播地址?
我有两个Ubuntu服务器,每个都有自己的IP地址。 我们称它们为server1和server2,分别具有ip 1.1.1.1和2.2.2.2 我有一个运行在server2上的nginx。 我希望server1具有的唯一目的是将所有传入的http(所以端口80)请求redirect到server2,而无需客户端注意到他们的请求正在被redirect。 我在server1上尝试了以下命令: iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 2.2.2.2 但是当我在我的浏览器中input1.1.1.1时,我没有收到任何回应:页面一直试图加载,没有给出任何消息或错误信息(我在2-3分钟后得到超时)。 但是当我删除上面的iptables规则,我立即得到一个“页面未find错误”,当我在浏览器中input1.1.1.1; 所以有些东西是工作,但不是因为它应该:当我input1.1.1.1我想要加载在2.2.2.2托pipe的HTML页面 因为当我在浏览器中input2.2.2.2时,我确实看到了加载的网页。 任何人都可以帮我这个吗? 我现在正在search相当一段时间(在severfault和Google上),所以我就这么问。 非常感谢您阅读我的问题! 更新:谢谢大家的信息。 不幸的是,我仍然没有回应 我有以下的iptablesconfiguration: root @ ip-10-48-238-216:/ home / ubuntu#sudo iptables -L 连锁input(政策接受) 目标人select源目的地 连锁FORWARD(政策接受) 目标人select源目的地 链式输出(策略ACCEPT) 目标人select源目的地 root @ ip-10-48-238-216:/ home / ubuntu#sudo iptables -t nat -L 连锁PREROUTING(政策接受) 目标人select源目的地 […]
在基于Linux的网关上,如何将所有的互联网访问redirect到网关中的端口80。 (任何互联网请求redirect到网关的端口80)。 可以通过iptables做到这一点? 或任何其他的想法?
目前试图调查什么似乎是与Web服务器负载相关的问题,我发现从IPTables日志泛滥,我不认识。 他们都是这样的: Feb 26 12:03:52 dop002 warning [2559556.039033] IN = eth1 OUT = MAC = snip SRC = 88.115.48.62 DST = snip LEN = 56 TOS = 0x00 PREC = 0x00 TTL = 54 ID = 14166 PROTO = ICMP TYPE = 5 CODE = 1 GATEWAY = 88.115.48.1 [SRC = snip DST = 88.115.60.143 […]
iptables一直与鱿鱼透明。 但是用鱿鱼authentication的方法,存在一些问题。 由于我发现的文件,因为身份validation模式suid是数据包的目标,不能设置实际目的地/来源的iptables的规则。 这是正确的吗? 有什么解决办法? 如果dosnt没错,你可以给我一些与AD集成SSo的squidconfiguration文件,或者任何其他的身份validation方法 请原谅我英语不好。 谢谢。