我的CentOS 6.2机器上有iptables。 安装和configurationapache2与SSL支持,并与iptables禁用。 当我添加以下规则: iptables -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT 当我保存这个并重新启动iptables,在浏览器中的连接超时…任何build议? 完整的脚本 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [19:1748] -A INPUT -p tcp -m tcp –dport 389 -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo […]
我正在build立一个路由器的iptables脚本来阻止来自和去往机器后面的所有stream量,除了一小部分主机/端口(RDP传入,DNS传出,…)。 HTTP和HTTPS被阻止。 Internet — Router with iptables -+- Windows XP | +- Windows XP . . 不幸的是,HTTP / S阻止了Windows更新失败。 我希望更新工作和冲浪被阻止。 这是我的想法: build立一个WSUS /代理 – >超大我认为,要腾出另一台服务器 获取所有Microsoft Update服务器的列表 – >是否有任何? 以某种方式摆脱technet DNS名单的星号,并允许这些主机 也许一种方法来做与Windows防火墙的HTTP过滤和服务(Win XP SP3)分开? 任何其他的想法? 也许有人已经解决了这个情况? 你会推荐什么? 提前致谢
我有6个节点可以在eth1上访问互联网,在eth0上互相访问。 目前我有eth0的防火墙规则,例如memcached和NFS。 这是必要的吗? 这是一个非常头痛的问题,例如NFS在不同的端口上进行通信,而且我最近还引入了更多的glusterfs。 搞清楚什么后端端口解除阻塞值得安全增强是头痛的事情? 我应该提到,我当然还会在eth0上有一个防火墙规则来阻止同一个数据中心的其他人拥有的服务器。 谢谢
我有一个Linux网关与iptables的路由和端口转发。 我希望端口转发独立于路由发生。 为了向前端口,我把这个添加到nat表中: iptables -t nat -A "$PRE" -p tcp -d $GW –dport $fromPort -j DNAT –to-destination $toHost:$toPort iptables -t nat -A "$POST" -p tcp -d $toHost –dport $toPort -j SNAT –to $SRC $PRE和POST实际上是特定于目的地的链,我分别从PREROUTING和POSTROUTING链跳转到所以我可以保持iptables清洁。 $SRC是我正在SNATing的IP地址与网关IP $GW 。 这个设置的问题是没有被DNATed但是碰巧到相同$toHost:$toPort组合的常规路由数据包也将被SNATed。 我希望避免这一点。 我可以做什么聪明的事情?
我正确地得到以下错误。 在search这个问题后,纠正我,如果我错了,我相信添加/configurationIPv6应该解决这个问题。 PHP Fatal error: Uncaught CurlException: 7: Failed to connect to 2a03:2880:10:8f02:face:b00c:0:26: Network is unreachable\n thrown in /var/www/vhosts/facedex.net/httpdocs/fb/apps/seemyfuture/src/base_facebook.php on line 886 问题是我不知道正确的方法来添加它。 似乎有可能的方法。 http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x1035.html#AEN1044 https://unix.stackexchange.com/questions/34093/static-ipv4-ipv6-configuration-on-centos-6-2 我的netstat显示这个。 壳不认识-rn6虽然。它显示无效的选项-6 netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 27.254.38.128 0.0.0.0 255.255.255.128 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 […]
定义 host = 172.16.1.155是一个公共IP(使用sed更改它是一致的)。 guest = 192.168.122.10是在IP为172.16.1.155的物理机上运行的虚拟机的IP。 情况 我有以下规则(转储与iptables-save和过滤)的两个主机有问题(加上所有需要了解上下文): *filter -A INPUT -d 172.16.1.155/32 -p tcp -m multiport –dports 25,465 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j DROP -A FORWARD -p icmp -j ACCEPT -A FORWARD -i […]
我怎么能grep计数和sortingiptables日志获取IP数量和DPT? 就像我用这个线索来获得最高的IP数量。 egrep -w "Invalid Packet" ipfirewall.log | grep -o '[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9]*' | sort | uniq -c | sort -r -n | head 但是如何通过DPT获取IP? 所以这将是: 250 192.168.1.1 DPT=3306 150 192.168.1.2 DPT=445 50 192.168.1.3 DPT=23 20 192.168.1.4 DPT=22 日志格式: Jul 19 04:50:28 server1 kernel: IN=eth0 OUT= MAC=xx:xx SRC=124.153.186.56 DST=xx.xx.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=19312 DF PROTO=TCP SPT=4379 […]
我的服务器已经超时,最近崩溃了。 我运行这个命令: netstat -anp | grep'tcp \ | udp'| awk'{print $ 5}'| 切-d:-f1 | sorting| uniq -c | 分类 检查图片的结果。 这两个IP到底是不是? 而我怎样才能用IPtables来阻止他们呢? 谢谢。
我正在捕获系统中的所有传入/传出数据包(Linux)。 我正在使用ulogd工具来做到这一点。 所有的报文都通过IP表规则,并进行日志logging。 我的理解是,logging器需要一些时间来logging数据包,并成为networking延迟的一部分。 这是对的吗? (我用ulogd抓包/不用ulogd抓包对本地主机进行了基本的pingtesting,testing了rtt min / avg / max / mdev,testing结果(ulogd)和testing结果(没有ulogd) 。 基于stream量的日志logging通常能够避免这种networking延迟吗? (不特定于ulogd工具)
今天我能够将一些游戏服务器迁移到另一台服务器上,并需要一些帮助将stream量从旧的IPredirect到新的服务器。 SERVER1 1.1.1.1 —–(internet)—–> SERVER 2.2.2.2 我asume使用iptables来执行此操作,因为在server1的我的centOS盒子上使用了这个规则。 /etc/sysctl.conf:net.ipv4.ip_forward = 1 iptables -t nat -A PREROUTING -p udp –dest 1.1.1.1 –dport 27015 -j DNAT –to-destination 2.2.2.2:27015 iptables -t nat -A POSTROUTING -j MASQUERADE iptables -t nat -A POSTROUTING -d 2.2.2.2 -p udp –dport 27015 -j SNAT –to 1.1.1.1 但客户端无法从旧的IP连接到服务器,redirect不会启动。