我有一个客户希望在SSLstream量离开networking时拦截他们。 我build议的解决scheme是设置一个透明的代理,包括第2层和第3层,这样就可以简单地将其放入networking中,而不需要对configuration进行任何更改。 代理有两个网卡,一个连接到服务器,另一个连接到客户端。 客户端,代理和网关在客户的控制下,服务器不在。 例如: client — Proxy — gateway -|- server 我有我的代理程序configurationIP_TRANSPARENT套接字选项,它可以响应连接目标为远程IP。 我正在使用以下设置: iptables -t mangle -A PREROUTING -p tcp –dport 80 -j TPROXY –on-port 3128 –tproxy-mark 1/1 iptables -t mangle -A PREROUTING -p tcp -j MARK –set-mark 1 ip rule add fwmark 1/1 table 1 ip route add local 0.0.0.0/0 dev lo table […]
我有一台安装了kvm的centos 6.3服务器。 服务器有4个外部ips和一个NIC。 176.9.xxx.xx1 176.9.xxx.xx2 176.9.xxx.xx3 176.9.xxx.xx4 我使用以下configuration ifcfg-eth0 as slave to ifcfg-br0 ifcfg-eth0中的configuration是 DEVICE=eth0 ONBOOT=yes BRIDGE=br0 HWADDR=14:da:e9:b3:8b:99 并在ifcfg-br0中 DEVICE=br0 TYPE=Bridge BOOTPROTO=static BROADCAST=176.9.xxx.xxx IPADDR=176.9.xxx.xx1 NETMASK=255.255.255.0 SCOPE="peer 176.9.xxx.xxx" 我有3个更多的别名为br0,br0:1从第二个外部IP获取交通 DEVICE=br0:1 IPADDR=176.9.xxx.xx2 NETMASK=255.255.255.248 ONBOOT=yes br0:2从第三个外部IP获取stream量 DEVICE=br0:1 IPADDR=176.9.xxx.xx3 NETMASK=255.255.255.248 ONBOOT=yes br0:3从第二个外部IP获取stream量 DEVICE=br0:1 IPADDR=176.9.xxx.xx4 NETMASK=255.255.255.248 ONBOOT=yes 上述设置工作正常,我从所有外部ips接收交通。 我的问题是,我想通过从外部IP到我的服务器上的特定虚拟客户端的stream量。 即来自176.9.xxx.xxx2 must pass to virtual machine 1 176.9.xxx.xxx3 must pass to […]
我正在尝试使用iptables设置端口转发。 我读过几个东西(包括在这里在serverfault),但我尝试的每个例子都失败了。 我有一个全局路由的IP地址的Debian GNU / Linux机器,比如1.2.3.4。 我也有一个内部networking192.168.15.0/24,其中有一个主机(192.168.15.2)。 我只是想把1.2.3.4上的端口2200转发给192.168.15.2:22,所以这就是我所做的: iptables -A PREROUTING -t nat -p tcp –dport 2200 -j DNAT –to 192.168.15.2:22 iptables -A INPUT -p tcp -m state –state NEW –dport 2200 -j ACCEPT 但是,这不起作用。 如果我尝试ssh到1.2.3.4:2200 ,我得到“连接被拒绝”。 现在尝试3个多小时,我觉得我已经尝试了一切,一定有什么错。 IP转发已启用: [email protected]:~# cat /proc/sys/net/ipv4/ip_forward 1
我想使用这个教程: http : //www.jsimmons.co.uk/2010/06/08/using-ipset-with-iptables-in-ubuntu-lts-1004-to-block-large-ip-范围/ 在Ubuntu 12.04中,软件包ipset-source被从存储库中删除我想这就是为什么当我尝试像这样安装时我只会得到一个错误: apt-get install module-assistant ipset ma ai ipset 我将如何做到这一点在Ubuntu精确?
我试图运行以下命令: sudo /usr/sbin/iptables -A INPUT -m state –state NEW -i ! wlan0 -j ACCEPT 但是我得到这个错误: 错误的参数wlan0' Try iptables -h”或“iptables –help”以获取更多信息。 我不知道什么是错,男人说你必须把“!” 在连接适配器之前(在这种情况下是wlan0)
当我发送一个请求到运行在应用了防火墙规则的机器上的应用程序时,它会等待很长时间。 当我停用iptables规则时,它立即响应。 是什么让沟通如此缓慢? -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -i ppp+ -j ACCEPT -A INPUT -p udp -m udp –dport 500 -j ACCEPT -A INPUT -p udp -m udp –dport 4500 -j ACCEPT -A INPUT […]
我有一台前端机器。 机器有2个eth卡。 我想使用netfilter队列对数据包进行一些检查。 我这样设置eth:ifconfig eth0 0.0.0.0 promisc up ifconfig eth1 0.0.0.0 promisc up 我想要一个像这样的iptable规则(仅举例):iptables -A INPUT -i eth0 -j LOG – 日志前缀“eth0包” 但是数据包没有通过iptables传递,因为它的目标是这个MAC。 Promisc模式没有帮助。 我看到有一种方法可以为PROMISC添加iptables链 ,但需要编译…有没有更简单的方法来让iptables规则在数据包不是针对这个eth时。 目前我通过创build一个桥梁之间的2 eth和把规则在前面绕过这个,但我想要创build桥梁。
我已经在MUX中configuration了一个Web服务器。 现在我想从Internet访问该Web服务器。 Ubuntu盒子有两个接口,一个连接到WAN(公共IP),另一个连接到MUX(私有IP)。 MUX没有select插入默认网关。 iptables -t nat -A PREROUTING -p tcp -i eth0 -d 103.xxx –dport 8001 -j DNAT –to-destination 192.168.1.2:8080 iptables -A FORWARD -p tcp -d 192.168.1.2 –dport 8080 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 这是行不通的。
我用squidconfiguration了鱿鱼鱿鱼和在浏览器中使用代理时,它工作正常。 但是我想强制在所有的浏览器中使用代理(可能在iptables中)。 现在可以在用户的浏览器设置中禁用。 我的设置是:一个独立的电脑与Ubuntu的运行鱿鱼和鱿鱼和在这个非常相同的设备,我想以某种方式强制使用代理。 鱿鱼conf文件已经设置: http_port 3128 transparent 谢谢
我拥有一个服务器,它正在遭受脚本攻击(试图访问phpMyAdmin的安装文件和这样的东西)。 我听说很多人都会遇到这种types的攻击,但是我开始担心,因为他们越来越常见(上个月我受到了2次攻击,11月7日已经有3次攻击了(1,4,6日) 11月)。 我没有真正担心,因为我没有任何数据库。 我在服务器上的所有信息都是公开的,但是我担心这个攻击速度会提高。 所以我想当时我可以阻止来自这些攻击者的IP,或者是让我的服务器忽略请求phpMyAdmin,pma,xamp等的请求。 有没有这样的事情? 我的服务器是Linux + Apache + Php