我拥有一个VPS(CentOS 6.5)。 我已经在这台服务器上安装了OpenVPN。 一切工作正常,我可以连接和冲浪等。假设我的服务器的IP是: 1.2.3.4 。 当我连接到我的VPS我的IP是1.2.3.4 。 我还安装了在端口8069上运行的OpenERP(在相同的VPS上)。 我试图实现的是阻止除了VPNstream量之外的端口8069上的所有stream量。 所以,我必须通过OpenVPN连接到我的VPS才能访问http://1.2.3.4:8069 。 我在网上尝试了几个iptables教程,但没有一个在工作。 例如: iptables -A INPUT -p tcp -s 1.2.3.4 –dport 8069 -j ACCEPT or iptables -A INPUT -p tcp -s 10.8.0.0/24 –dport 8069 -j ACCEPT or iptables -I INPUT \! –src 10.8.0.0/24 -m tcp -p tcp –dport 8069 -j DROP or iptables -I […]
我有一个Linux服务器运行一个特定的服务在单个TCP端口上侦听。 Linux服务器使用PPP连接连接到互联网,也可以作为使用以太网连接的本地networking的路由器。 我在这台服务器上运行防火墙,并使用Shorewall软件包进行pipe理。 最近我有另一个互联网链接作为冗余的IP地址为我的客户端连接和使用服务。 这ISP给我一个调制解调器,它应该连接到我的LAN交换机,并有一个IP地址192.168.1.10 。 我configuration了这个调制解调器转发服务端口到我的服务器是在192.168.1.2 。 问题是用户无法通过新的连接连接到服务器,新的调制解调器上的路由configuration是有限的(我不能告诉它做SNAT),我不知道什么样的configuration,我需要在服务器上的防火墙。 简单地说,我需要告诉服务器上的防火墙,当端口1234上的数据包来自192.168.1.10 ,尽pipe目标IP地址是什么,但是将这些回复发送回192.168.1.10 。 我最好的select离我的search是http://www.shorewall.net/MultiISP.html要求玩服务器路线。 有没有更简单的方法来最好使用iptables和shorewall? 编辑: 本地用户的LAN位于192.168.1.0/24 。 如果有帮助,我可以更改新的路由器IP地址。 我希望新的链接只是作为一个冗余的IP地址,我将添加到DNS的别名,所以客户端可以循环尝试,当旧的IP地址closures,所以达到一个冗余和故障的水平公差。 从本地networking和服务器发出的互联网连接只需要经过旧的连接,如果发生故障则无关紧要。 不幸的是,服务器只有两个以太网端口,一个用于旧的调制解调器,另一个用于本地networking交换机。 所以没有空闲的端口,但如果这是唯一的解决scheme,我可以添加另一个网卡。 Linux服务器充当路由器和防火墙。 它也运行一个透明的本地networking鱿鱼代理,如果这是你的意思是代理。
我用Debian服务器replace了运行Tomato的无线路由器/防火墙,我很高兴find了番茄的iptablesconfiguration,所以我可以直接将它导入新的服务器 (我之前的问题)。 来自Tomato的iptablesconfiguration文件(底部)在Debian中失败了iptables-restore : # iptables-restore < iptables.eth0-eth1 iptables-restore v1.4.14: Couldn't load match `mport':No such file or directory Error occurred at line: 7 Try `iptables-restore -h' or 'iptables-restore –help' for more information. 有没有办法让mport进入“现代”的iptables? 或者你能帮我翻译mport到multiport吗? 使用iptables mportsearch非常粗糙,但是我最终发现有人抱怨mport不在了,而且一个多端口教程通过引用mport扩展,导致我窥探两个盒子的文件系统模块,并尝试每个“防火墙”工具Debian有一个希望神奇地来与mport 。 我承认被Tomato的用户界面所迷惑 – 我试过的每一个Debian软件包都让我越来越困惑(gui或cli)。 如果我可以让服务器简单地路由一切,我认为mason可能工作。 难怪大家都讨厌iptables。 我花了更多的时间来试图找出错误比我应该。 如果我花了那么多时间去了解iptables ,我可能已经可以将mport规则翻译成multiport 。 另外,我考虑发布给超级用户,然而,less数iptables标记的问题与我在这里读取的ServerFault中不同。 寻找模块: 我使用tomato固件进入无线路由器,在/usr/lib/iptablesfind模块libipt_mport.so 。 但在/lib/modules/2.4.20/kernel/net/ipv4/netfilter目录中,没有libipt_mport.so ,只有ipt_multiport.o 。 在Debian中(新安装的wheezy),我使用了updatedb并locate MASQ […]
我试图执行iptables转发规则,以便内部redirect通过特定端口的数据包。 我的机器正在Ubuntu Server 12.04.3下运行,包含UFW和所有最新的更新。 到目前为止,我能够build立一个部分工作的设置,如下所示: iptables -A PREROUTING -t nat -p tcp –dport 40591 -j DNAT –to 192.168.0.100:40591 iptables -A ufw-user-forward -p tcp -d 192.168.0.100 –dport 40591 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE iptables -A ufw-user-forward -m state –state RELATED,ESTABLISHED -j ACCEPT 如块所示,目标收件人是192.168.0.100和端口40591 。 然而,不久之后就出现了问题,我注意到我的apache2服务正在输出很多错误; 我的PHP脚本不能再通过127.0.0.1连接到我的数据库,因为连接据称是从它的LAN地址(192.168.0.10 )开始的。 为了确认问题的根源,我曾尝试过: 把我的PHP脚本整理一下,但是除了确认我已经知道的东西(即连接在本地启动并魔法偏转到服务器的本地地址( 192.168.0.10 ))之外没有确凿的信息被吐出 使用命令tcpdump […]
我在iptables中创build了规则来logging和编辑rsyslog.conf文件,将任何包含“iptables”的消息输出到不同的日志文件。 它似乎是login到这两个地方,默认邮件文件和我有新的ip.log文件。 我怎样才能login到新的? 这是rsyslog文件的内容: :msg, contains, "iptables" -/var/log/iptables.log & ~ 这是我在iptable中的规则: -I INPUT 1 -j LOG –log-prefix "iptables in: "
我正在使用brctl在linux上搭桥。 现在我必须通过iptables来扫描和监测网桥stream量。 所以我改变了 : net.bridge.bridge-nf-call-iptables = 0 到 net.bridge.bridge-nf-call-iptables = 1 并将下面的规则添加到iptables中: /sbin/iptables -A INPUT -m physdev –physdev-in eth2 -p tcp -m tcp –dport 3127 -m state –state NEW -j ACCEPT /sbin/iptables -t nat -I PREROUTING -m physdev –physdev-in eth2 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 3127 在eth2和80端口进来的stream量应该redirect到我的linux系统上的3127端口。 它正常工作正常(无标记)的stream量。 所以我必须为标记的stream量做同样的事情,但是它不起作用。 我变了: net.bridge.bridge-nf-filter-vlan-tagged […]
您好我试图设置IPTABLE规则,我得到的错误iptables v1.4.7:选项`状态'需要一个参数时,试图发出。 iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT 在一个CentOS6 VPS 我想说明的是,如果可能的话,我也正在使用csf为什么虽然我不这么认为。 我正在尝试在CentOS上设置OpenVPN http://i.stack.imgur.com/ZaaCs.png – 我希望这是你的意思MadHatter
3最喜欢的 我在我的服务器设置中有一个奇怪的行为。 看起来像这样 client1 192.168.11.2/24 192.168.11.7/24(br1 / vlan1)服务器192.168.21.1/24(br21 / vlan21)<—> 192.168.21.101/24 client2 在服务器上,我已经将DNAT设置为两个端口到另一个目的地。 〜> sudo iptables -t nat -nL -v链PREROUTING(策略ACCEPT 3631数据包,220K字节)pkts字节目标protselect输出目标 5332 320K DNAT tcp – * * 0.0.0.0/0 192.168.11.7多端口端口5308,21至:192.168.2.19 〜> ip r通过192.168.11.1获得192.168.2.19 192.168.2.19 dev br1 src 192.168.11.7 这从两个客户端工作了一段时间,但在未指定的时间之后,只有来自客户端2的数据包被转发了。 当我尝试从client1连接但是没有NAT时,数据包计数器增加。 有时几个小时后它又开始工作了。 防火墙中没有任何内容被阻塞,因为所有的策略都在接受状态,没有规则设置。 conntrack也不满。 我已经尝试了rp_filter等多个东西,但这应该是没有问题的这些设置。 当我将br1设置为promisc模式时,它开始工作,但我想了解为什么接口不接受没有promisc模式的数据包。 希望有人有一个想法。
我使用dynamicDNS服务,这是从我的路由器发送IP地址更新。 在路由器设置中,端口22和80被转发到我的服务器192.168.1.10。 我有我的服务器上运行的Web服务器和sshd。 从我的本地networking外,我可以去mydomain.dyndns.org,或ssh到我的服务器。 这工作正常,直到我连接到OpenVPN。 当我连接我的服务器到我的OpenVPN提供商时,我不能再从我的本地networkingssh到我的服务器。 http和ssh超时。 即使我删除了dyndns的东西,只是使用广域网IP,它仍然超时与OpenVPN连接,并停止OpenVPN时工作。 我的OpenVPN提供者(我不控制)将路由推给我(客户端)。 具体来说,当连接到openvpn时,运行以下命令: /sbin/ifconfig tun0 10.15.0.74 pointopoint 10.15.0.73 mtu 1500 /sbin/route add -net 141.255.164.66 netmask 255.255.255.255 gw 192.168.1.1 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.15.0.73 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.15.0.73 /sbin/route add -net 10.15.0.1 netmask 255.255.255.255 gw 10.15.0.73 当vpn连接closures时,添加的路由将被删除。 问题是,这通过VPN路由一切 。 相反,我希望我的服务器对除端口80和22(入站和出站)以外的所有通信使用openvpn。 即我想能够使用http和ssh连接到我的服务器。 我相信类似的问题已经被问到,但他们似乎都通过VPN和其他一切路由特定的端口,而不是通过vpn。 […]
我试图从我的zentyal服务器(端口5000)设置端口转发到我的Synology NAS(端口5000)。 这是iptables规则的结果: Chain fredirects (1 references) target prot opt source destination faccept tcp — 0.0.0.0/0 10.0.0.8 state NEW tcp dpt:5000 faccept udp — 0.0.0.0/0 10.0.0.8 state NEW udp dpt:5000 现在,当我从互联网上的其他地方托pipe的另一台服务器的远程login时,telnet不能联系我的服务器…任何想法? 我怎样做其他testing?