如何logging以下规则未被接受的内容: iptables -A OUTPUT -p icmp -icmp-type 3 -m -limit -limit 10 / minute -j ACCEPT 而且我怎么限制logging的内容,因为我不想loggingping的数量? 我的第一个想法是: iptables -A OUTPUT -p icmp -icmp -type 3 -m -limit -limit 50 / day -j LOG iptables -A OUTPUT -p icmp -icmp-type 3 -m -limit -limit 10 / minute -j ACCEPT 但是这对我来说并不合适。 我认为这限制了日志50 /天,但不一定是没有被接受,或者我错了?
我试图调整我的iptables防火墙,以提高我的服务器的安全性,我发现这里有点问题:我必须设置input策略ACCEPT ,此外,有一个规则说iptables -I INPUT -i eth0 -j ACCEPT 。 这里是我的脚本(手动启动testing): #!/bin/sh IPT=/sbin/iptables echo "Clearing firewall rules" $IPT -F $IPT -Z $IPT -t nat -F $IPT -t nat -Z $IPT -t mangle -F $IPT -t mangle -Z $IPT -X echo "Defining logging policy for dropped packets" $IPT -N LOGDROP $IPT -A LOGDROP -j LOG -m limit […]
即时尝试允许在我的服务器上的FTP访问我正在运行Centos 5.xi已经在我的iptables中实例化正确的规则,但是当试图加载“ip_conntrack_ftp我得到这个错误: FATAL: Could not load /lib/modules/2.6.18-028stab091.2/modules.dep: No such file or directory 我也检查我的模块目录,它不包含任何内容。 谢谢。
我的CentOS 5.8 / DirectAdmin XenVPS上没有运行iptables。 我今天所做的就是安装PHP APC并运行更新(虽然我承认今天没有给予太多的关注 – 我通常会这么做)。 从6个月前安装以来,Iptables运行得相当顺利。 基本上,当我尝试运行iptables -L它告诉我: iptables v1.3.5:无法初始化iptables表中的`filter':iptables谁? (你需要insmod吗?)也许iptables或你的内核需要升级。 我环顾四周,尝试了一些东西, 看来也许我的内核没有加载模块? 我一直在读这个,并尝试了他们build议的两个命令无济于事。 除了在输出的一个位上看起来是不匹配的: -bash-3.2# cd /lib/modules -bash-3.2# ls 2.6.18-194.32.1.el5xen 2.6.18-238.5.1.el5xen 2.6.18-274.7.1.el5xen 2.6.39.1-cs-domU 2.6.18-238.12.1.el5xen 2.6.18-238.9.1.el5xen 2.6.37.2-cs-domU 3.0.1-cs-domU -bash-3.2# depmod -a WARNING: Couldn't open directory /lib/modules/2.6.18-274.18.1.el5xen: No such file or directory FATAL: Could not open /lib/modules/2.6.18-274.18.1.el5xen/modules.dep.temp for writing: No such file […]
以下是我的IP列表输出。 什么IP表命令应该发出启用添加的TCP端口444,我正在使用非标准的SSL。 我试过了“iptables -A INPUT -p tcp -dport 444 -j ACCEPT”,而不是“service iptables save”,但那不起作用?!?1 ?! 在我的httpd.conf中,我正在监听端口444。 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere 127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT tcp — anywhere anywhere […]
我想要做的就是用IPTable阻止RST攻击。 当我search它的时候,我看到了RST标志被设置的数据包被限制的规则。 我有点疑问。 我想我需要限制RST / ACK而不是RST 如果我没有弄错,当一个客户端决定放弃一个已经存在的连接时,服务器会收到一个RST / ACK数据包,服务器响应ACK并closures连接。 所以,通常服务器永远不会获取或发送RST数据包。 我认为它总是RST / ACK 除非客户端被欺骗,攻击者插入RST标志。 但为什么会closures连接? 我可能是错误的,因为我看到它在任何地方,但我认为攻击者需要插入RST / ACK,这是不正确的? 服务器无法看到没有ACK的RST / ACK和RST之间的区别吗?
以下设置: 客户端(Outlook)<—–> | eth1 PROXY eth0 | Interwebs 我如何设法做到这一点? 将所有筛选表的标准策略设置为ACCEPT并不会改变一件事情,那么是不是也在改变呢? 凯,凯
当有人连接到myIP:123时,我希望我的服务器(Ubuntu)将其连接redirect到其他IP:456。 连接到其他港口显然应该正常处理。 我很确定这将与iptables完成,我只是不知道这个规则是什么。 我知道我将如何做它作为HTTPredirect,但这不是HTTP。
我已经尝试了几种不同的规则组合,似乎没有任何工作。 我知道你不能使用prerouting表来处理来自localhost的请求,所以我使用了输出表,并且在使用wget的时候只是返回错误。 我有wgetconfiguration使用代理127.0.0.1:8118。 当我使用下面的命令我得到我的公共IP。 如果我更改命令以删除–no-proxy,则从我的代理获取IP。 我想通过代理使用iptables来强制对这个站点发出任何请求,而不pipe请求它的程序如何。 我本质上是试图创build一个透明的代理,但只为一个网站的请求。 系统= Debian挤压 wget命令: wget –no-proxy -q -O – checkip.dyndns.org|sed -e 's/.*Current IP Address: //' -e 's/<.*$//' 我在/etc/sysctl.conf中启用了net.ipv4.ip_forwarding = 1。 试图规则: iptables -t nat -I OUTPUT –source 0/0 –destination checkip.dyndns.org -p tcp -j REDIRECT –to-ports 8118 iptables -t nat -I OUTPUT -p tcp -d checkip.dyndns.org -j REDIRECT –to-ports 8118 […]
我的问题的答案也许并不难,但不pipe怎样,我不知道该怎么做。 所以,我刚刚在Univerisity上找了一份新工作,发现networking(局域网)里充满了公共IP地址。 严重的是,整个局域网(可能超过150个主机)拥有自己的互联网IP地址,我不知道如何pipe理它。 我在使用iptables(Linux防火墙)的NAT环境中有非常好的经验。 但是,我应该如何在一个所有局域网都使用一堆公共IP地址的环境中进行操作? 我应该只使用“转发”规则,忽略NAT规则,还是在这样的环境下还有其他问题需要注意? 我可以在路由器和局域网之间添加一个防火墙,以便在我的局域网中为这些公共IP地址生成数据包过滤,或者这样做是行不通的吗? 谢谢!