Articles of iptables

我希望将所有到达80的stream量redirect到8000。 我用了 iptables -tnat -A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8000 但是，8000港口仍然向公众开放。 我试过了–DNAT： iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 127.0.0.1:8000 但是这根本不起作用。 / proc / sys / net / ipv4 / ip_forward设置为1。 没有其他规则configuration。 请帮我:) – 编辑 ： 在回答下面的问题：这是exaclty，我想要实现的： 我有一个运行在8000端口的服务，可以看作是一个networking服务器。 它应该可以通过端口80从外部访问，但不能通过端口8000访问。内部networking无关紧要：可能会受到限制。 我明白，REDIRECT不会丢弃直接写入端口8000的数据包，但是如果我将INPUT链中的所有数据包都丢弃到8000，那么redirect的数据包也会被丢弃。 iptables -A INPUT -p […]

我有两台服务器，每台服务器运行一个openvpn服务，第一台（ uno ）的vpn范围10.170.0.0/16连接到UDP 1194，第二台（ dos ）连接到TCP 443的10.180.0.0/16 。希望在一台服务器上有客户端访问另一台服务器上的客户端。 我已经在两个客户端之间join了client-to-client选项，并且当两个客户端在同一个服务器上时，它都可以工作。 不是当两个客户端在不同的服务器上。 这两台服务器都是linode托pipe的，并有公共IP地址。 此外，linode允许创build绑定到虚拟接口eth0:0本地地址，以连接本地交换机上的两台服务器。 我试图通过添加两个服务器之间创build一个路由： 在uno ： route add -net 10.180.0.0 netmask 255.255.0.0 gateway (the eth0:0 address of dos) 在dos ： route add -net 10.170.0.0 netmask 255.255.0.0 gateway (the eth0:0 address of uno) 我没有任何服务器上启用任何防火墙。 看起来我可以在dos ping 10.170.0.1（ uno的tun0接口）。 但是，不……不，不可能是这么简单。 任何人都可以解释为什么吗？ 以及如何解决它？ 如果我不能ping通两台服务器，当然客户端也看不到它们。 有任何想法吗？

我有以下设置： Host-X（192.168.1.100）运行ssh -D，以便它可以用作袜子服务器。 Host-Y（192.168.1.101）运行configuration了Host-X的redsocks作为袜子。 他们与其他机器在同一个networking中。 我想在一些电脑上使用Host-Y作为网关来利用redsocks。 Host-Y上的IP转发已启用。 这是redsocksconfiguration： base { log_info = on; log = "file:/var/log/redsocks.log"; daemon = on; redirector = iptables; } redsocks { local_ip = 0.0.0.0; local_port = 2001; ip = 192.168.1.100; port = 2000; type = socks5; } 这些是我的iptables规则： iptables -t nat -N REDSOCKS iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j […]

我试图将数据包发送到从机器的用户空间监听eth0的应用程序，就好像它们来自远程机器一样。 我似乎无法find良好的文档是TUN / TAP设备与networking堆栈其余部分交互的确切方式？ 如果数据包被绑定到远程主机，是否转发到eth0？ 将本地主机寻址的数据包默认转发到用户空间应用程序？ 数据包在Netfilter堆栈中相对于Netfilter堆栈出现在什么阶段？ 行为没有出现很好的logging（ http://openvpn.net/archive/openvpn-users/2005-05/msg00224.html，https://www.kernel.org/doc/Documentation/networking/tuntap.txt ））。

我试图找出什么是当你有多个自定义链的iptables行为，你起诉一个混合-goto和-jump 例： INPUT iptables -A INPUT -i eth1 -j CUSTOM-A CUSTOM-A few commands here… iptables -A CUSTOM-A -i eth1 -p tcp -dport 80 -g CUSTOM-B few optional commands here… iptables -A CUSTOM-A -i eth1 -s 0/0 -g CUSTOM-B CUSTOM-B iptables -A CUSTOM-B few commands here… -j CUSTOM-C iptables -A CUSTOM-B few commands here… -j CUSTOM-C […]

使用以下规则时： iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT …你需要添加特定的规则，包括NEW状态，以允许ESTABLISHED连接？ 像这样： iptables -A INPUT -p tcp -m state –state NEW –dport 443 -j ACCEPT …或者只是通过接受而build立连接？ 我已经阅读了几篇关于这方面的教程，而且我无法在任何地方find这个说明。

我有一个运行几个docker的容器的主机。 这个主机有几个networking接口，我的目标是使一些暴露的端口从容器只能通过某些接口访问，并阻止访问他人。 我想使用主机的iptables的。 但它不可能简单地做到： iptables -I INPUT -i vlan2 –dport 80 -j DROP 因为数据包是通过预先路由转发的。 iptables -t nat -L PREROUTING 2 Chain PREROUTING (policy ACCEPT) target prot opt source destination DOCKER all — anywhere anywhere ADDRTYPE match dst-type LOCAL Chain DOCKER (2 references) target prot opt source destination DNAT tcp — anywhere anywhere tcp dpt:mysql to:172.17.0.2:33066 […]

我有一个服务器与两个networking适配器：eth0和eth1。 此服务器运行两个不同的HTTPS Web服务器：一个是监听eth0（172.29.49.112:8443）另一个监听eth1（172.29.49.113:4443） 我有iptables的NAT规则，可以成功redirect这两个应用程序的标准https端口（443），但是iptables规则一次只能用于其中一个规则（它在激活时似乎是随机的）。 这里是在启动时从rc.local加载的规则（是的，我知道不build议从rc.local运行我的防火墙规则）： #!/bin/sh -e # setup port forwarding for gerrit and jenkins instances su root -c "/sbin/iptables -t nat -A PREROUTING -i eth1 -d 172.29.49.113 -p tcp –dport 443 -j REDIRECT –to-port 4443" su root -c "/sbin/iptables -t nat -A PREROUTING -i eth0 -d 172.29.49.112 -p tcp –dport 443 -j REDIRECT –to-port […]

我的OpenVZ容器中的SMTP有问题。 我在OVH的专用服务器上创build了Proxmox的OpenVZ容器。 这个容器将作为邮件服务器。 所以我创build了“母服务器”规则将端口传递给容器（IP：192.168.0.100）： iptables -t nat -A PREROUTING -p tcp –dport 25 -j DNAT –to-destination 192.168.0.100:25 iptables -t nat -A PREROUTING -p tcp –dport 587 -j DNAT –to-destination 192.168.0.100:587 iptables -t nat -A PREROUTING -p tcp –dport 110 -j DNAT –to-destination 192.168.0.100:110 iptables -t nat -A PREROUTING -p tcp –dport 143 -j DNAT –to-destination […]

考虑一个带有1个路由器（192.168.1.1）和客户端（192.168.1.x）的小型networking。 路由器（OpenWRT）为客户端提供以太网LAN和WiFi，连接到Internet。 现在，我想在客户端和路由器之间使用服务器。 因此，客户端首先逻辑连接到服务器，服务器将连接客户端的所有stream量路由到路由器。 所有客户端和服务器都只连接到路由器。 服务器只有1个eth0接口。 [Clients]—-[Server]—-[Router]—-[Internet] 如何configuration此设置？ 我也只想要一些特定的客户端在他们自己和路由器之间使用服务器。 所有其他客户端不应该使用服务器作为“网关”或“隧道”。 是否有可能在客户端的IP设置中使用服务器的IP作为默认网关。 configuration服务器只接受来自客户端的所有传入stream量并将其路由到路由器？ 编辑：如何设置？ 我找不到任何教程。