我今天面临一个大问题。 我的网站很慢。 我已经尝试了一切,没有任何帮助。 我禁用MySQL和我的网站仍然加载一个静态页面。 我也重新启动了服务器。 我也禁用Apache,并试图用yum更新一些东西,并且还testing了lynx -dump test.com,并且花费大量的时间来做转储。 在执行这个命令之后 netstat -an | grep ESTABLISHED 我有很多这样的联系 udp 0 0 here.my.ip.number:52644 ip.109.188.1:53 ESTABLISHED udp 0 0 here.my.ip.number:52782 ip.109.188.1:53 ESTABLISHED udp 0 0 here.my.ip.number:53573 ip.109.188.1:53 ESTABLISHED 我认为这个ip是我试图阻止使用iptables的攻击者 / sbin / iptables -I INPUT -s ip.109.188.1 -j DROP 但是当我使用netstat的时候我仍然可以看到它。 每次我重新启动Apache进程填满真的很快,但内存是好的,我仍然有2GB免费,但大约200睡眠过程。 请帮助我的任何人,我的网站已经停了好几个小时,这让我疯狂,我的主机Godaddy不能帮助我。 他们说这是我的数据库。 我正在使用VPS和centos 5。
我在这里有一个问题,我已经添加到我的IPtables规则这个: -A INPUT -p tcp -m state –state NEW -m tcp –dport 161 -j ACCEPT -A INPUT -p udp -m state –state NEW -m udp –dport 161 -j ACCEPT 但是当我用nmap或任何其他工具扫描它说: Not shown: 998 filtered ports PORT STATE SERVICE 22/tcp open ssh 161/tcp closed snmp 另外当我在做: netstat -apn | grep snmpd tcp 0 0 127.0.0.1:199 0.0.0.0:* […]
我的问题和标题一样简单,我在一个界面中有一个debian 6,2个NIC,3个不同的子网,就像这样: auto eth0 iface eth0 inet static address 192.168.106.254 netmask 255.255.255.0 auto eth0:0 iface eth0:0 inet static address 172.19.221.81 netmask 255.255.255.248 auto eth0:1 iface eth0:1 inet static address 192.168.254.1 netmask 255.255.255.248 auto eth1 iface eth1 inet static address 172.19.216.3 netmask 255.255.255.0 gateway 172.19.216.13 eth0与3个不同的vlan连接, eth1到路由器。 没有iptables DROP,所以所有的stream量都是允许的。 现在,通过eth0传递stream量是好的,通过eth0传递stream量eth0:0是好的,但是,通过eth0:1传递stream量不起作用,我可以ping该子接口的IP地址,默认网关,但无法到达eth1接口的子网中的服务器,即使当我设置iptablesloggingFORWARD链中的所有stream量,并且我可以看到在那里的stream量时,stream量不会通过,但是,交通并不真正stream逝。 而有趣的是我可以做任何其他的方式,我的意思是,从eth1传递给eth0:1 ,RDP,telnet,ping等, 使用iptable做一些工作,我设法从eth0:1传递一些stream量到eth1 ,iptables看起来像这样: iptables -t […]
我想复制tcpstream量。 我想要使用这些命令 " iptables -A PREROUTING -t mangle -p tcp –dport 7 -j ROUTE –gw 1.2.3.4 –tee iptables -A POSTROUTING -t mangle -p tcp –sport 7 -j ROUTE –gw 1.2.3.4 –tee" 像这里所述https://stackoverflow.com/questions/7247668/duplicate-tcp-traffic-with-a-proxy 但iptables不断告诉我“iptables v1.4.8:未知选项” – gw'“ 我能做些什么来解决这个问题? 亲切的问候
我正在运行Proxmox 2.2(Debian 2.6.32-11-pve) 目前,我已经添加了大约60条规则到iptables的mangle表来阻止攻击。 但是当我尝试添加一个新的规则,服务器停止工作,不能访问了(新规则只是阻止一个IP,我不会阻止自己)。 在服务器出现故障时,没有特殊的日志/var/log/messages ,但在消息日志中反复发现以下错误: nf_conntrack:表格已满 我修改了/etc/sysctl.conf并增加了nf_conntrack_max数字,但问题仍然存在。 我想知道这是与mangle表中的规则数相关的故障? 本表中的规则数量是否有限制? 我已经花了很多时间为我的服务器构build一个自动防火墙,它都基于mangle表。
使用iptables puppet模块我需要什么语法来允许从本地主机上的端口443到端口8443redirect? 它看起来应该是语法应该是以下,但我不知道如何将其翻译成清单。 iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 –dport 443 -j REDIRECT –to-ports 8443 现有的木偶规则: firewall { '100 tomcat rewrite 443 to 8443': table => 'nat', chain => 'PREROUTING', jump => 'REDIRECT', proto => 'tcp', dport => '443', toports => '8443', } firewall { '100 allow access to tomcat 8443 https': […]
我们正在运行OpenVPN AS服务器,这些服务器可通过公共IP访问和使用。 但是,我们的一些客户端不允许直接访问我们的VPN服务器(因为一些令人讨厌的防火墙pipe理员 – 不要问…)。 为了绕过这个问题,我们想出了一个设置,在虚拟环境中创build一个网关,这个网关将执行一个简单的NAT,将所有包含的连接转发到我们的VPN服务器。 NAT工作正常(服务器上的tcpdump显示与我们网关相同的数据包)。 我们目前的iptables roules是(INPUT,FORWARD和OUTPUT默认设置为ACCEPT): iptables -t nat -A PREROUTING -p udp –dport 1194 -j DNAT –to-destination $vpn_srv iptables -t nat -A POSTROUTING -j MASQUERADE 我知道可能有一些进一步的configuration需要,但只要VPN服务器没有响应他肯定收到的数据包,就没有必要增强规则。 每当数据包到达VPN服务器时,服务器就会产生以下日志输出: 2012-12-31 13:03:29+0000 [-] OVPN 1 OUT: 'Mon Dec 31 13:03:29 2012 TLS Error: incoming packet authentication failed from 123.123.123.123:35077' 2012-12-31 13:03:31+0000 [-] OVPN 1 […]
在我的防火墙/路由器Linux机器上,我经常看到ICMP主机/端口不可达错误,如: Jan 10 10:11:56 localhost kernel: [80413.542607] firewall-invl: IN=wan OUT= MAC=c8:60:00:e1:0f:7c:00:01:5c:22:e0:c1:08:00 SRC=95.37.140.148 DST=my-public-ip LEN=162 TOS=0x00 PREC=0x20 TTL=51 ID=2053 PROTO=ICMP TYPE=3 CODE=1 [SRC=my-public-ip DST=10.10.10.103 LEN=134 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=4608 8 DPT=13298 LEN=114 ] 在这里,“my-public-ip”是由ISP分配给“wan”的外部dynamicIP。 另一个iface,“br0”,连接到我的10.0.0.0/24局域网。 如果我正确阅读,那么95.37.140.148(俄罗斯,mts-nn.ru)上的一台主机向我发送一个ICMP主机不可达消息,以回应10.10.10.103的LAN机器请求之一。 然而这对我来说是非常混乱的,因为在FORWARD链中有一条规则,它专门阻止来自LAN内部的这种请求(以及192.168.0.0/16和172.16.0.0/12) -A FORWARD -d 10.0.0.0/8 -i br0 -j REJECT –reject-with icmp-host-unreachable 例如,traceroute返回正确的“!H” $ traceroute 10.10.10.103 traceroute to […]
我有一个防火墙后面的Linux Asterisk服务器。 防火墙有三个接口: eth0是Asterisk所在的局域网, eth2是互联网的默认网关(通过ADSL调制解调器/路由器), eth3是次要的互联网连接 如果我放过东西,Asterisk连接到SIP中继就好了。 它将通过eth2通过默认路由进行路由。 eth2是MASQUERADED。 如果我通过eth3( ip route add sip.provider.ip via gateway.ip dev eth3 )定义一条到我的SIP提供商的静态路由,我可以ping SIP提供商。 来自我的SIP提供商的一切都是由防火墙允许的。 但是Asterisk会拒绝连接(peer变得无法访问)… 我已经使用iptables TRACE来查看数据包,他们肯定通过eth3离开。 但是我没有看到任何数据包回来。 eth3也有一个MASQUERADE规则… 通过eth3删除静态路由将恢复连接。 我正在寻找提示和提示来帮助解决问题。
我正在设置防火墙/网关(Ubuntu服务器8.04.1) 防火墙有三个网卡:eth0 192.168.0.2 eth1 192.168.1.2 eth2 192.168.2.2 eth1直接连接到ADSL路由器(它也有NAT)ADSL路由器的IP是192.168.1.1 个人电脑192.168.0.x需要通过路由器访问互联网(网关设置为192.168.0.2,为他们每个人) 192.168.2.x上的服务器接收来自互联网的stream量 到目前为止,这里是防火墙脚本(更新) : #!/bin/bash # Local – eth0 – 192.168.0.* # Comms – eth1 – 192.168.1.* # Servr – eth2 – 192.168.2.* iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables –flush iptables –table nat –flush iptables –delete-chain iptables –table nat –delete-chain iptables -P INPUT […]