在透明模式下,使用以下iptable规则将stream量redirect到squid。 iptables -I PREROUTING -t nat -p tcp –dport 80 -j REDIRECT –to-ports 3128 据我所知,REDIRECT将目标IP地址更改为本地接口的IP。 所以当stream量到达鱿鱼时,由于目的IP已经改变了,squid怎么知道要把它转发到哪里呢?
我有以下情况: 1 – 一个堡垒(NAT)的实例,我用它作为网关来转发ssh访问所有我的私人实例(使用iptables)[私有IP:10.10.1.10公共IP:200.147.160.24] 2 – 在我的堡垒实例(使用互联网网关)相同vpc (但不在同一子网下)的公共实例[私有IP:10.10.9.23公共IP:186.192.90.5] 我想通过在堡垒(1)中的iptables向前访问我的公共实例(2),但我可以。 它导致超时。 (所有其他转发到私人实例的作品)。 这是有趣的,因为: – 如果我通过使用公共IP直接ssh公共实例工作正常。 如果我SSH入堡垒,然后ssh使用其私有IP的公共实例,它也可以正常工作。 这是我在我的堡垒中使用的iptables规则: iptables -t nat -A PREROUTING -d 0.0.0.0/0 -p tcp –dport 1500 -j DNAT –to-destination 10.10.9.23:22 这工作: ssh [email protected] 这工作(内部堡垒(1)): ssh [email protected] 这不起作用(超时): ssh -p 1500 [email protected] 所有使用的端口都在安全组中打开。 公共ips不是真实的,只是例如 任何想法表示赞赏。
我想阻止networking访问(http和https)到某些mac地址。 我能够使用鱿鱼做到这一点,但它仍然让https网站通过。 acl denylist arp "/etc/squid/mac-deny-list.lst http_access deny denylist https / 443怎样才能做到这一点? 我试过使用iptables iptables -I INPUT -p tcp –dport 443 -m mac –mac-source XX:XX:XX:XX:XX:XX -j DROP 和 iptables -I FORWARD -p tcp –dport 443 -m mac –mac-source XX:XX:XX:XX:XX:XX -j DROP 我也尝试使用REJECT而不是DROP 。 都没有工作。 我的iptables规则的其余部分是: *nat :PREROUTING ACCEPT [467:49957] :POSTROUTING ACCEPT [4:784] :OUTPUT ACCEPT [6:960] -A […]
我在这方面是全新的,我不知道如何说出我的问题的标题,所以可能不那么准确,请事先原谅我。 我每天都在我的vps上访问我的apache访问日志中的一些奇怪的请求,在这里只列出几个: IPFROMCHINA – – [09/Jun/2015:11:59:03 +0430] "GET /v2/rating/dbank.hxb.com.cn HTTP/1.1" 404 1259 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" IPFROMCHINA – – [09/Jun/2015:11:59:14 +0430] "GET /v2/rating/dbank.hxb.com.cn HTTP/1.1" 404 1259 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" DIFFERENTIPFROMCHINA – – [09/Jun/2015:11:59:48 +0430] […]
我的盒子A和远程服务器B(都是Debian jessie)之间有一个OpenVPN。 在服务器B上,我也运行Squid3。 然后,我将A浏览器configuration为使用带有B服务器(10.2.0.1:3128)的VPN地址的远程代理服务器,仅用于端口80(无SSL)。 它工作正常,我可以浏览互联网。 我可以通过whatismyip.com看到请求源自公共B服务器地址。 我还在B服务器上有一个防火墙,其规则如下: -A INPUT-m state –state INVALID -j NFLOG –nflog-prefix "fp=bad_packets:1" -A INPUT-m state –state INVALID -j DROP 然后我有时会注意到一些数据包被丢弃了: Jun 12 09:16:20 ks1 fp = bad_packets:1 IN = tun0 OUT = MAC = SRC = 10.2.0.9 DST = 10.2.0.1 LEN = 40 TOS = 00 PREC = 0x00 TTL = […]
我有一个Fedora的盒子,连接到vpn,由iptables完成的转发,每一件事情都很好,它总是连接,vpn接口是ppp1,通过pppoe接口连接:ppp0,但有时我不会直接通过一些stream量ppp0没有vpn,与vpn仍然连接,任何想法?
有人用UDP数据包泛滥我们的服务器。 我只是把iptable规则阻止该IP。 但是,当我运行iftop命令,我可以看到一个巨大的stream量来到我的服务器。 当我查找iptables,查看它阻塞了多lessstream量; 它只显示一些MB的数据已经被封锁了那个特定的IP。 它不应该显示拥抱的交通已被阻止? 当我使用tcpdump分析数据包时,我没有在tcpdump日志中看到这个IP。 当iftop从那个ip显示很多入站stream量时,为什么tcpdump没有这个ip的任何跟踪? 我使用iptable规则阻止了IP:iptables -I INPUT 1 -s XX.XX.XX.XX -j DROP iftop显示来自x.ip-xX-XX.net的stream量。 这可能是因为它不是一个IP? 我试图把这个地址使用iptables阻止列表,但iptableparsing为ip地址来阻止它。 问题: 1 – 为什么iftop显示如此多的stream量,如果iptables阻止它进入我的服务器? 2 – 为什么iptables没有显示任何巨大阻塞的stream量,如果它试图阻止它? 3 – 阻止一个IP和一个域名地址在iptables之间有区别吗? 更新 tcpdump确实捕获stream量。 我在eth1上运行eth0命令。 tcpdump -C 50 -W 3 -p -n -nn -s 0 -i eth1 -w pkts.pcap
基本上,我试图在防火墙级别限制对邮件服务器的请求,但将几个公司拥有的IP范围列入白名单。 我可以将一个 IP地址范围列入白名单,而不是几个,因为“第一个匹配规则占用数据包”的性质。 这是我目前的…(对于-I和-A的混合感到抱歉) # Send traffic to rate-limiter before allowing it to continue to the mail server. iptables -t nat -I PREROUTING -d 20.87.6.71 -p tcp –destination-port 25 -j DNAT –to-destination 192.168.250.71:25 iptables -t nat -I PREROUTING -d 20.87.6.71 -p tcp –destination-port 143 -j DNAT –to-destination 192.168.250.71:143 iptables -t nat -I PREROUTING -d 20.87.6.71 […]
我已经安装了SolusVM作为一个主服务器,它将托pipeOpenVZ容器到新安装的CentOS 6.6上 我现在注意到的是,如果我跟踪我的容器IP地址之一,我看到主机节点的IP地址作为容器IP之前的跳。 例: 6 39 45 49 1.2.3.4 – 7 38 39 39 1.1.1.1 hostnode.com <===== HostNode 8 38 38 38 2.2.2.2 container.com <===== OpenVZ Container 我想知道的是有什么办法可以阻止主机节点出现在traceroute? 我知道我可以在“/etc/sysctl.conf”中设置“net.ipv4.conf.icmp_echo_ignore_all = 1”,但这是我的理解,这将只停止ping响应,而不是跟踪路由。 我主要关心的是攻击者能够看到和DDOS我的主机节点IP,这将导致所有容器脱机。 我的ISP将空路由任何受到攻击的IP,而有一个容器IP空路由不是一个巨大的交易,我需要确保我的主机节点不会受到攻击,导致所有容器的停机时间。 我希望的结果是要么我的主机节点不出现在跟踪路由或完全超时,我只需要在正确的方向点。
我的服务器:64位Ubuntu 12.04.4 LTS。 提供者:Linode.com。 没有其他防火墙存在。 我有这些规则: *filter # Allow localhost traffic. This rule is for all protocols. -A INPUT -s ::1 -d ::1 -j ACCEPT -A INPUT -p icmpv6 -j ACCEPT -A OUTPUT -p icmpv6 -j ACCEPT #Allow image server -A INPUT -m tcp -p tcp –dport 31333 -j ACCEPT -A INPUT -m tcp -p […]