在寻找fail2ban为什么不禁止模式时,我发现当我运行/etc/init.d/fail2ban状态时,它会在我的'date'命令后面超过一个小时。 'date'说:2月18日星期二20:45:02 MST 2014 输出状态返回:3月05 19:16:30 fed8 systemd [1]:启动LSB:启动/停止fail2ban … 我知道我的'date'是正确的,为什么fail2ban不同步,我该如何解决? 有没有一个configuration选项来强制它获得unix命令“date”而不是? 我使用fail2ban 8.12谢谢 编辑:从错误报告中添加补丁,没有改变的事情。 我应该包括完整的输出。 这个date还差不多,差不多2周大? 这是为什么? 看来状态不是报告最后一次尝试启动它时发生了什么? 当我做一个ps时,我发现fail2ban-server确实是“运行中”的: root 26430 0.4 0.1 1268652 14820 ? Sl 21:58 0:01 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x /etc/init.d/fail2ban status fail2ban.service – LSB: Start/Stop fail2ban Loaded: loaded (/etc/rc.d/init.d/fail2ban) Active: failed (Result: exit-code) since Wed 2014-03-05 […]
我试图将我的计算机configuration为两个networking之间的网关,但由于某些原因我无法正常工作 这是一个networking的表示: 192.168.1.101 192.168.1.102 192.168.1.103 … | | | \————+——+——-+——–… | 192.168.1.200 (eth1) PC (192.168.2.101 192.168.2.102 192.168.2.103 …) eth0:1 eth0:2 eth0:3 | | | \————+——+——-+——–… | 192.168.2.200 (eth0) | … 我的电脑在接口192.168.2.200(eth0)上有N个虚拟接口(eth0:*)和自己的IP地址。 我希望任何连接(主要是TCP)攻击eth0:*接口的连接都被转发到等效的192.168.1.1 **服务器。 我尝试使用redir可执行文件,但由于服务器使用随机端口号进行侦听(不能改变这一点),我不得不重新启动进程,每次我做了一些testing。 所以我用这样的iptables规则(只有一台服务器进行testing): iptables -t nat -A PREROUTING -d 192.168.2.101 -j DNAT –to-destination 192.168.1.101 iptables -t nat -A POSTROUTING -d 192.168.1.101 -j SNAT […]
我认为需要更多的细节。 我在我的地区开了一个新的咖啡馆,人们正在下载增加我的账单的东西,所以我想在我的路由器上阻塞协议,然后重新启用任何PC,如果PC需要它在以后的日子,可能是几天或几个月 我的路由器运行Openwrt态度调整 我阻止http只是为了testing,然后使用l7filter添加协议 嗨,我是在iptables的noob,并摆弄它拿到它。 这是系统 Router IP-192.168.1.10 PC1 IP-192.168.1.11 PC2 IP-192.168.1.12 Laptop IP-192.168.1.13 Mobile IP-192.168.1.14 我应用了下面的规则,并删除了所有的http数据包。 iptables -I FORWARD -m layer7 –l7proto http -j DROP 然后我想为PC1启用http我写了下面的规则,但http不起作用。 iptables -I FORWARD -mlayer7 –l7proto http -s 192.168.1.11 -j ACCEPT 它只在我input规则时才起作用 iptables -I FORWARD -m layer7 –l7proto http -j ACCEPT 但现在它可以在所有的系统上使用。 我应该怎么做才能阻止所有系统上的http,然后启用它,让我们说只有PC1。 感谢您的帮助! 产量 Chain FORWARD (policy DROP […]
我有一个企业“networking设备”,允许手持设备通过WiFi连接到它。 我试图找出如何让设备访问互联网(这样它可以下载供应商更新),而不允许它访问局域网上的资源。 我将设备插入到一个Linux机箱中,以便我可以使用iptables过滤eth1上的stream量(请参阅http://i.imgur.com/qudqnOS.png )。 通常情况下,我会有防火墙上的第三个接口,这将允许我通过出站接口过滤出口,但是这次我不能。 问题是,在我的LAN上有许多不同的子网,我不想为局域网上的每个子网pipe理出口规则。 有没有办法告诉Netfilter允许端口80/443朝向互联网网关,即使出口将运行在与LAN相同的接口?
当我尝试运行iptables -A control_in -p tcp –dport 22 -j ACCEPT我得到错误消息iptables v1.4.20: unknown option "–dport" 。 我在互联网上发现的一切和serverfault有关的这个消息是由于没有指定协议的人。 但是我正在这样做( -p tcp )。 我也试着用多个–verbose选项来运行它,但我没有得到任何更多的信息。 编辑:迈克尔汉普顿的答案让我正确的答案。 这是一个损坏的iptables安装,缺less一些来自/ usr / lib / xtables的库。 如果iptables被赋予-p参数,– –match参数是多余的,但是如果给定了–match ,它只会抱怨丢失的库。
让我先说我是Centos newby,所以所有的信息,链接和build议都非常欢迎! 我最近使用Centos 6build立了一个托pipe服务器,并将其configuration为一个networking服务器。 运行的网站没什么特别的,只是一些低stream量的项目。 我试图configuration服务器为默认尽可能,但我也喜欢它是安全的(没有FTP,自定义的SSH端口)。 让我的Wordpress按需运行,我遇到了一些连接问题。 2件事不起作用: 通过ssh2安装插件和更新(无法连接到本地主机:sshportnumber) 使用Gmail的smtp从我的网站发送电子邮件(无法连接到服务器:权限被拒绝(13)) 我感觉这些都与iptablesconfiguration有关,因为我尝试过所有其他的(我认为)。 我试图打开防火墙接受端口465(gmail smtp)和ssh端口(可以说这个端口是8000)的stream量,但这两个问题依然存在。 从terminal的SSH连接工作正常。 每次更改后,我尝试执行我重新启动iptables服务。 这是我的iptablesconfiguration(使用vim): # Generated by iptables-save v1.4.7 on Sun Jun 1 13:20:20 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo […]
试图减轻我的盒子上的SSH暴力攻击,我复制/粘贴下列规则到我的iptables (没有真正理解他们,我必须承认): $> iptables-save # Generated by iptables-save v1.4.14 on Wed Jun 11 15:13:01 2014 *filter :INPUT ACCEPT [1255:139338] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1099:174390] -A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –set –name SSH –rsource -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -m recent […]
在我的情况下,有一台机器可以同时作为基于iptables的防火墙和OpenVPN服务器。 它有两个networking接口 – eth1连接到互联网,而eth0连接到机器后面的LAN。 到现在为止,我明白如何configuration路由/基于TUN的VPN连接的iptables。 您可以在openvpn.net上find以下可视化文件: | FIREWALL | | | {eth1 eth0} | \ / | | +———————-+ | | | iptables and | | | | routing engine | | | +–+—————-+–+ | | | | | | (openvpn)——-{tun0} | | 10.8.0.1 | +——————————–+ 根据图像,逻辑分区stream程如下所示: Internet – > eth1 – > iptables(通过INPUT链) – […]
我正在尝试使用puppet master 3.1.1来pipe理各种服务器上的iptables。 我的本地木偶代理是2.7.19 ,服务器OS是CentOS 5.4 。 /etc/puppet/modules/mycompany/manifests/config/iptables.pp class base::iptables ( { { $identity_environment = $::identity_environment } if ($identity_environment == "production") { $start_iptables = "true" $run_iptables = "running" } elsif ($identity_environment == "development") { $start_iptables = "false" $run_iptables = "stopped" } if ($run_iptables != "stopped") { file { "/etc/sysconfig/iptables": ensure => file, owner => root, […]
这里有人在我的服务器上做了几天的暴力攻击,每次都通过一个不同的外部IP地址(到目前为止有几百个),但总是通过相同的方式,我假定本地IP地址为:192.168.2.33 问题是,有没有办法创build一个iptable规则来阻止该特定的内部IP地址,无论其外部IP地址使用? 我试图直接在CSF中阻止该IP,但无济于事。 2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david) 2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh) […]