我有3个与Ubuntu的12.04亚马逊EC实例 生产服务器(没有MYSQL,syslog-ng客户端的LAMP服务器) 开发服务器(LAMP w / MYSQL,syslog-ng客户端) logging服务器(syslog-ng服务器) 我连接到所有这些使用ssh连接,每个这些都有AIDE Logwatch安装,对于防火墙我使用UFW和iptables 我的问题是: 如何发送从2服务器的所有日志到我的日志logging服务器? 我有所有的私人IP地址,我想用syslog-ng来使用它们。 我已经给出了防火墙规则来打开syslog-ng端口,并且只允许来自生产服务器和开发服务器的连接。 但是他们都没有发送日志。 我究竟做错了什么?
我有ulogd2设置为将数据包信息logging到MySQL。 然而,我无法find任何文件,告诉我各个领域是什么。 他们中的很多人我可以直觉他们是什么,但有些人,我没有真正的想法。 任何人都可以告诉我“oob”前缀是什么? 以下是使用此前缀的列的摘录: `oob_time_sec` int(10) unsigned default NULL, `oob_time_usec` int(10) unsigned default NULL, `oob_hook` tinyint(3) unsigned default NULL, `oob_prefix` varchar(32) default NULL, `oob_mark` int(10) unsigned default NULL, `oob_in` varchar(32) default NULL, `oob_out` varchar(32) default NULL, `oob_family` tinyint(3) unsigned default NULL, `oob_protocol` smallint(5) default NULL, 几乎所有其他的领域,我有一个好主意,前缀是什么意思,什么是在列。
我尝试使用IMQ界面来创buildQOS服务器来监视入口。 我的设置: br0 | WAN <=> eth1 => IMQ1 <|> eth0 <=> LAN 一切都很好,直到我尝试添加iptables规则redirect传入从eth1传输到IMQ1。 似乎我不能说:把所有来自eth1的传入数据包作为目标IMQ。 iptables -t mangle -A PREROUTING -i eth1 -j IMQ –todev 1 一个更简单的例子就是,无数据包都触及了这个规则的“ – 我eth1”部分。 看到这个: # iptables -t mangle -A PREROUTING -i eth1 -p TCP -j ACCEPT # iptables -t mangle -A PREROUTING -p TCP -j ACCEPT # iptables -x […]
我在主服务器上有3个接口,第一个用于本地networking,第二个和第三个是互联网连接(每个都有自己的IP路由表): eth0 192.168.0.1 eth1 9.9.9.9 eth2 7.7.7.7 本地网主机192.168.0.2上有邮件服务器。 Iptables通过DNAT规则将数据包转换为主机9.9.9.9和7.7.7.7到192.168.0.2:25的25个端口。 还有我的主要服务器,这是由邮件服务器通过使用具体的路由表T1 ip rule add from 192.168.0.2 lookup T1 但是表T1只使用一个默认路由: default via 7.7.7.6 dev eth2 src 7.7.7.7 如果数据包来自我的第一个提供商到接口9.9.9.9,当192.168.0.2发回请求给发送者时,它使用第二个提供者的默认网关,并且发送者不能build立连接。 我能做什么? 我的eth1和eth2是DNS上的mxlogging,他们必须都在工作。
假设我有以下规则: iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m conntrack –ctstate NEW -m tcp –dport 22 -m recent –set –name counting1 –rsource iptables -A INPUT -m recent –update –seconds 60 –hitcount 2 –name counting1 –rsource -j […]
我在Debian上使用KVM。 我想用命令ssh 1.2.3.4 -p 10122使用ssh连接到guest ssh 1.2.3.4 -p 10122 。 我所做的是: root@host$ iptables -t nat -A PREROUTING -p TCP –dport 10122 -j DNAT –to-destination 192.168.122.208:22 iptables-save的结果: # Generated by iptables-save v1.4.14 on Sat Nov 16 01:03:28 2013 *nat :PREROUTING ACCEPT [64:9345] :INPUT ACCEPT [64:9345] :OUTPUT ACCEPT [112:7287] :POSTROUTING ACCEPT [112:7287] -A PREROUTING -p tcp -m […]
我正在尝试在一个新的虚拟服务器上configuration一个由OpenVZ驱动的VPN。 我采用了我当前使用Xen VPS托pipe的VPN的configuration,并将其粘贴到我的新服务器上。 经过多次尝试,我看到不同的主题,看到OpenVZ不支持iptables的MASQUERADE选项。 所以我尝试创build一个iptable.sh文件,通过以下博客文章 。 当我连接到VPN时,每个页面都从我的networking服务器 (与VPN相同的机器)中获取…例如,如果我尝试访问http://www.google.com ,我会看到“它运行”正在运行的Apache2服务器的默认页面。 我真的不明白为什么…这是我的configuration: /etc/openvpn/server.conf mode server tls-server port 10735 proto udp dev tun0 # Certificates, blablah… # Virtual addr conf server 172.16.0.0 255.255.255.0 push "route 192.168.0.0 255.255.255.0" push "dhcp-option DNS 8.8.8.8" # Log, persitent connections, max clients, blabla.. 旧的iptable conf (在我之前的服务器上,MASQUERADE工作) iptables -A FORWARD -s 172.16.0.0/24 -o eth0 […]
例: iptables的 :internet – [0:0] -A internet -m mac –mac-source 48:5D:60:FC:29:B0 -j RETURN 承诺 [root @ localhost:〜] $ arp 地址HWtype HWaddress标志掩码Iface 10.2.0.1醚48:5D:60:FC:29:B 0 C br0 如果ARP列表中的MAC不存在,我想删除iptable规则(-D internet -m mac –mac-source 48:5D:60:FC:29:B0 -j RETURN)。
我试图build立我的本地networking和互联网之间的工作连接。 首先,我在eth0(LAN)和eth1(internet)之间设置了一个网桥(br0,有一个IP地址,其他接口没有这个IP地址),并且在iptables中创build了一个nat规则,伪装本地ip的源IP 。 一切正常,我可以从子网192.168.1.0访问互联网。 现在我想创build两个vlan:100和200.我尝试使用vconfig来创buildeth0.100和eth0.200,但我无法弄清楚如何将它们连接到互联网。 来自本地局域网的数据包以vlan Id 100/200标记,stream量通过eth1。 但是我怎样才能使数据包返回到正确的eth0.x? 我想创build两个网桥,一个是vlan 100,另一个是200,并将它们连接到eth1。 但是,如何将从互联网接收到的数据包路由到右桥呢? 当前设置: eth0→br0→eth1 build议: 1。 eth0.100 < – > br100 < – > eth1 eth0.200 < – > br200 < – > eth1 2。 eth0.100&eth0.200 < – > br0 < – > eth1
我无法从位于不同子网的计算机上访问由KVM托pipe的虚拟机上运行的Web应用程序。 所以,我想从机器192.168.1.2(在绿色圆圈的右上angular)访问虚拟机192.168.10.1上运行的Web应用程序(红色圆圈底部中间) 我在netgear路由器上添加了一个静态路由,以便所有到192.168.10.0/24的请求都被转发到主机192.168.1.1。 主机本身有一个静态路由,通过vmbr1桥接接口将请求转发到192.168.10.0/24 80端口上的Telnet从192.168.1.2失败,并从主机192.168.1.1成功。 对虚拟机的ping调用从192.168.1.2机器到VM traceroute失败,但如果我添加-I选项,traceroute也可以。 提前感谢您的帮助或任何线索。 PS:我确定,即使防火墙被禁用,也不起作用。 iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 从物理机器192.168.1.2到VM机器192.168.10.1 => KO的跟踪路由 traceroute to 192.168.10.1 (192.168.10.1), 30 hops max, 60 byte packets 1 192.168.1.254 (192.168.1.254) 2.390 […]