所以我在一个我没有物理访问的centos 7虚拟机上设置了httpd和iptables。 如果我运行curl http://localhost我得到了一堆html,但是如果我inputvm的IP地址(我用它ssh到),请求超时。 我在示例中保留了httpd.conf文件,但是我将/etc/sysconfig/iptables文件修改为: # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p […]
好吧,所以我有一个Ubuntu的盒子充当我的局域网的路由器/网关; 有3个网卡,2个用于WAN,1个用于本地networking。 它被设置为在需要时在WAN和故障转移之间进行负载平衡。 哦,我不得不join鱿鱼到方程式中。 它目前设置为NATredirecthttp / s端口到squid端口,如下所示: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 3126 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT –to-port 3127 我相信它工作正常…但我不想停在那里。 我想尝试TPROXY,但我似乎无法使其工作。 access.log中没有stream量,客户端正在访问网站。 三angular路线是不可能的,我不认为我应该使用桥梁? 所以下面是我的尝试: iptables -t mangle -A PREROUTING -i eth1 -p tcp –dport 80 -j TPROXY […]
我将过滤Ping请求到我的服务器,只接受长度为920的ping请求。 ping -l 920 serrveraddress 我在iptables中使用以下两个命令 iptables -A INPUT -p icmp -m length –length 1:920 -j ACCEPT iptables -A INPUT -p icmp -j DROP 但它接受所有的ping请求。 你能指导我解决这个问题吗? 非常感谢
我想放弃所有的UDP通信(允许其他的一切),同时仍然允许出站UDP通信。 出站stream量主要来自游戏和voip呼叫。 由于ISP(ovh)不会过滤基于UDP的ddos攻击,因此UDPstream量需要被阻止。 他们只能过滤基于TCP的ddos攻击。 这是通过给他们短暂的电话确认的。 这就是说,我需要一种方法来阻止UDP,以避免使用UDP协议的DDOS攻击变得成功,同时仍允许出站stream量。 这将在运行VPN服务器的OVH(OpenVPN TCP端口443)上的VPS服务器上完成。 是否有一套我可以添加到iptables的规则来完成这个?
我正在尝试优先使用IP头中的ToS字段的TCP通信。 我通过发送1GB数据饱和接口(以太网),通过iperf与ToS字段设置为0x10(最小延迟)。 然后我用默认的ToS(0)启动另一个TCP客户端。 期望:我的TCP客户端不应该发送数据,直到iperf完成发送数据。 结果:我的客户端发送的数据甚至是难以发送的iperf正在发送更高优先级的数据包。 我也尝试通过创build2个独立的客户端并使用iptables为各个客户端分配0x10和0x08 ToS来创build相同的场景。 我用:iptables -A PREROUTING -t mangle -p tcp –sport 5000 -j TOS –set -tos Minimize-Delay 我仍然不能优先考虑一个客户。 我使用iptables版本1.4.21使用Ubuntu(14.04) 有人可以帮我解决这个问题吗? 谢谢Varun
我运行了一些iptables命令来转发一个端口,但不清楚这些命令是否会被重新启动。 我还没有安装任何额外的软件包,它是一个标准的Ubuntu 14.04安装,所以默认行为应该是真实的。 重新构build服务器来testing(在运行时间重新启动不是一个选项)会有点痛苦,所以我想我会在这里问。 感谢您的任何见解!
你好 ,有没有办法从iptables转发所有stream量到我的IDS Suricata ,并保持经常stream量,我有两个接口 ,我确实find了如何使用一个接口..例如: -t mangle -A PREROUTING -i eth0 -j TEE –gateway <your IDS IP> 但是我可以从eth0获取所有数据,并使用eth1接口将其转发给另一台带有IDS的服务器,同时保持常规的eth0stream? 这是因为所有的IDS数据都在不同的接口中。 提前致谢。
位于NAT后面的LXC容器上的ProFTPd实例 LXC容器正在使用桥接networking 已在proftpd.conf中定义PassivePorts 60000 61000 在运行容器的主机上加载nf_nat_ftp和nf_conntrack_ftp 容器里面的iptables包含 -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp –dport 21 -m conntrack –ctstate NEW -j ACCEPT 为什么Passive mode只有在我明确打开被动端口时才起作用 -A INPUT -p tcp -m tcp –dport 60000:61000 -j ACCEPT ? 不应该由nf_conntrack_ftp帮助模块自动pipe理吗?
我正在尝试在RHEL7上使用iptables。 我已经执行了以下操作: systemctl mask firewalld systemctl stop firewalld yum install iptables-services systemctl enable iptables systemctl start iptables 但最后一行错误: Job for iptables.service failed because the control process exited with error code. See "systemctl status iptables.service" and "journalctl -xe" for details. journalctl -u service-name.service — No entries — 和journalctl -xe Jan 13 12:30:03 localhost.localdomain systemd[1]: Unit iptables.service […]
我最近在我的一台电脑上安装了Fedora 25(Workstation)。 这是我第一次使用RH风格的发行版 – 我以前只使用基于Debian的系统,在这些系统上我使用ufw来configuration防火墙。 我完全无法解释为什么我不能让firewalld工作。 我试图只允许访问以下端口的传入连接:22 / tcp(SSH),3306 / tcp(mysql) 我将默认区域设置为公共,并手动将我的networking接口设置为公共区域。 我将SSH和mysql服务添加到公共区域,这应该会影响运行时防火墙中的更改,但是没有运气。 我的电脑拒绝所有尝试build立SSH连接。 我的ip的nmap显示如下: Nmap scan report for 192.168.1.241 Host is up (0.000014s latency). Not shown: 998 closed ports PORT STATE SERVICE 111/tcp open rpcbind 3306/tcp open mysql 我试图对运行时防火墙进行更改,并试图使设置永久。 没有人在开放端口上做出任何改变。 不pipe我做什么(包括删除mysql作为一个允许的服务),没有任何改变nmap扫描的输出。 (是的,我正在重新启动firewalld进行永久性更改后)。 据我所知,firewalld只是一个类似于ufw的iptables包装,但是我从来没有遇到ufwconfiguration防火墙的问题。 这让我无所适从。 我感谢您可以提供的任何帮助。 谢谢。 从一些命令输出来显示我的设置: $ firewall-cmd –get-default-zone public $ firewall-cmd –get-zone-of-interface=enp0s25 […]