操作系统:Ubuntu 10.04日志守护进程:rsyslog 出于某种原因,我没有得到任何iptables的日志,即使我以为我不经常看他们,我仍然希望得到它的工作为了它的工作XD 这是我的/etc/ryslog.d/iptables.conf :msg, contains, "[IPTABLES]" -/var/log/iptables.log & ~ 我的iptables日志logging前缀是“[IPTABLES]”,其后是其他任何内容(例如[IPTABLES] Deny xyz) 正在创build/var/log/iptables.log文件,但它没有得到任何条目。 我可以在dmesg中看到日志条目,但不能在syslog或消息中看到。 这是怎么回事? 编辑:我的iptables日志规则: # logging limit LoggingLimit=5/min LoggingPrefix=IPTABLES # Logging chain iptables -N LOG_REJECT iptables -A LOG_REJECT -j LOG # join INPUT to LOG_REJECT iptables -A INPUT -j LOG_REJECT # logging iptables -A LOG_REJECT -p tcp -m limit –limit $LoggingLimit -j […]
我在我的centos(与cpanel)服务器上运行APF,我无法解除阻止一个IP。 我已经添加了ip allow_hosts.rules确保它没有在deny_hosts apear,并重新启动APF,但一旦它重新启动IP保持阻塞,如果我停止API或刷新IP表,IP不被阻止。 当防火墙正在运行我甚至从我的服务器ping IP。 任何意见,将不胜感激
我已经使用iptables为我的Tomcat服务器路由了从端口80到端口8080的所有请求。 iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080 现在http://mydomain.com/工作正常,但人们仍然可以访问http://mydomain.com:8080 。 我发现在其他网站上这是不可能的。 反正有禁止通过url直接访问端口8080?
我试图在运行Apache的Debian框上设置FTP访问。 通过useradd创build一个FTP用户通过端口22工作…但只有当我不通过-s /dev/null限制shell访问。 我已经安装了vsftpd,理论上用iptables打开了端口21。 但尝试通过此端口连接导致FTP客户端完全挂起,从不连接。 这里是我应用的iptables规则: iptables -A INPUT -p tcp -s 0/0 –sport 1024:65535 -d 202.54.1.20 –dport 21 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 202.54.1.20 –sport 21 -d 0/0 –dport 1024:65535 -m state –state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 0/0 –sport 1024:65535 -d 202.54.1.20 […]
我设置了防火墙规则,即使我认为我理解了netfilter和iptables,但我对将1设置为net.ipv4.ip_forward并制定MASQUERADE规则时会发生什么感到困惑。 enbaling转发是否意味着每个进入的IP数据包基本上都是按照路由表重新发送和发送的? 还是只是简单地发送出所有的networking接口? MASQUERADE规则正在发送,并匹配发送到互联网界面的所有内容。 这似乎表明,启用转发将IP包发送到每个接口,并且这个MASQ规则对于互联网接口做了一些特殊的(NAT)。 我的下一个问题是,如果所有到NAT路由器的传入stream量都只是在LAN接口上传输(尽pipe是非工作地址)。 这是否意味着我需要在FORWARD中制定特殊的DROP规则以防止产生不必要的stream量? 如果是这样,这是否意味着对于每一个PREROUTING规则,我需要在FORWARD另一个? 编辑:作为旁注:我的困惑源于我需要做的任务:我转发端口80到内部服务器。 这从我们的networking外部正常工作,但是当我尝试从networking内部连接到WAN IP时,我无法访问它。 我的规则是: iptables -t nat -A PREROUTING -d WANIP -p tcp -m tcp –dport 80 -m comment –comment "Forward www to <machine>." -j DNAT –to-destination 10.50.0.4
我的电脑有两个连接:ppp0(互联网)和eth0(伪装)。 我也在端口8080上运行代理。我使用这台计算机作为路由器。 有一个快速的iptables黑客将redirect端口80端口8080(我的本地代理)?
我仍然无法设置我的域名服务器。 DNS检查说明以下关于我的名称服务器地址: 检查域的SOAlogging。 域服务器没有应答端口53上的UDP请求。可能的问题:防火墙阻塞端口53,服务器closures,服务器没有运行软件来处理DNS请求。 我已经运行了netstat -anp,发现named正在监听tcp端口53,并且在所有被激活的连接上列出的IP上都有udp 53端口, 不过我不确定这是否意味着该端口实际上是活动的。 编辑:现在解决了这个问题。 一切正确configuration,问题是在没有适当的权限的区域文件,所以命名不能读取它们。
我在/ etc / sysconfig / iptables中有这些设置 # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT -A […]
我试图在教堂的WRT54GL上运行dd-wrt v24设置防火墙。 在设置防火墙方面,我还没find很多好的指南,而且这些路由器似乎还不够新近。 基本上,我想设置防火墙阻止非必要端口上的所有传入stream量,限制某些本地计算机访问文件服务器,并阻止几个传出端口。 我已经尝试与fwbuilder(防火墙生成器)搞乱,但没有运气。 我可以将我的更改提交到防火墙,但似乎无法让他们实际工作。 任何人都可以帮忙?
这是iptables脚本: echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/conf/all/log_martians iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p icmp -m icmp –icmp-type echo-request -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j […]