我尝试使用以下命令将所有networkingstream量redirect到计算机: iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port 1000 它的工作原理,但我想添加一个规则,以便不redirect特定的目的地ip的stream量(例如:facebook.com) 找不到在谷歌上。 预先感谢 !
我有一个HTTP服务器监听端口8080(http)和8081(https)在127.0.0.1 我有这些iptables规则redirect从/到$external_ip : iptables -t nat -A PREROUTING -i eno1 -p tcp -d $external_ip –dport 80 -j DNAT –to-destination 127.0.0.1:8080 iptables -t nat -A PREROUTING -i eno1 -p tcp -d $external_ip –dport 443 -j DNAT –to-destination 127.0.0.1:8081 HTTP(从8080到8080)工作正常 HTTPS(从/到8081的443)不起作用 服务器是使用apache APR库来处理https连接的Tomcat实例。 有什么我失踪? 更新:表NAT的链:$ iptables -t nat -L -n -v Chain PREROUTING (policy ACCEPT 1111 packets, […]
我正在创build一个新的HTTPS服务器,我希望能够公开提供。 这是在Ubuntu 16.04上。 我有困难,该网站不能被远程看到。 我已经正确地configuration了允许访问相应的服务器的路由器,实际上服务器的UFW日志似乎表明请求确实进入,但是被阻止: Mar 5 07:07:18 oc9 kernel: [35729.338614] [UFW BLOCK] IN=ens32 OUT= MAC=00:0c:29:53:67:c0:2c:56:dc:54:96:a8:08:00 SRC=192.168.158.175 DST=192.168.158.64 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52285 DF PROTO=TCP SPT=47801 DPT=515 WINDOW=5840 RES=0x00 SYN URGP=0 Mar 5 07:08:01 oc9 kernel: [35772.752517] [UFW BLOCK] IN=ens32 OUT= MAC=01:00:5e:00:00:01:94:44:52:ec:8c:2d:08:00 SRC=192.168.158.254 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Mar 5 07:08:56 oc9 […]
我很困惑。 这是我的iptablesconfiguration: $ iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp — anywhere anywhere tcp dpt:ssh state NEW recent: UPDATE seconds: 60 hit_count: 3 TTL-Match name: sshprobe side: source mask: 255.255.255.255 ACCEPT tcp — anywhere anywhere tcp dpt:ssh state NEW recent: SET name: sshprobe side: source mask: 255.255.255.255 ACCEPT all […]
场景:基于Linux的路由器(Asuswrt-Rmerlin 380.65)运行iptables v1.4.14,顶部有以下规则。 路由器的目的是为内部客户端提供Internet访问。 wanface上没有任何服务供公众使用。 iptables -P INPUT DROP iptables -I INPUT -i vlan2 -m state –state NEW -j DROP iptables -I FORWARD -i vlan2 -m state –state NEW -j DROP 1)有了上述规则,是否有必要具备下面的规则? #Drop XMAS packets iptables -I INPUT -p tcp –tcp-flags ALL ALL -j DROP #Drop NULL packets iptables -I INPUT -p tcp –tcp-flags ALL […]
我正在使用Ubuntu 14.04桌面(准确的说是Xubuntu),并试图用iptables阻止外部对本地运行的Postgres端口5432的访问。 这是我的iptables -S -A INPUT -i lo -p tcp -m tcp –dport 5432 -j ACCEPT -A INPUT -p tcp -m tcp –dport 5432 -j DROP 和iptables -L : Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — anywhere anywhere tcp dpt:postgresql DROP tcp — anywhere anywhere tcp dpt:postgresql 但不知何故,我的Android上的networking扫描仪应用程序,连接到相同的WiFi,仍然可以看到它。 我可以在Android上通过一个PSQL实用程序对其进行进一步testing,而且我可以看到所有的表格。 我错过了什么? […]
我试图在Centos 7上安装vsftpd。我可以从本地连接到服务器,但是不能从远程机器连接到服务器。 对于系统和networkingpipe理这个话题,我有点新鲜。 以下是我查找答案的一些地方: 无法通过firewalld打开FTP端口 添加规则后,Centos不会打开端口 端口80过滤了nmap 我有vsftpd服务启动并运行: > netstat -plnt | grep ':21. ' tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 12393/vsftpd 我可以用ftp localhostlogin就好了。 但是,当我尝试远程login,几秒钟后,我“连接超时”。 所以我怀疑防火墙的问题。 (另外,从FTP端口closuresvsftpd服务 lsof -i:21 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME vsftpd 12393 root 3u IPv4 63746670 0t0 TCP *:ftp (LISTEN) ) 既然这是Centos,那我就用firewalld吧。 港口21 似乎是开放的: > firewall-cmd –list-services […]
我有VPS上的OpenVPN服务器,我正在使用Windows 8.1,我只想通过VPN(例如3000,3001)只有特定的端口。 是否可以从Windows?
我认为应该是一个相当直接的stream量整形问题,我有一些麻烦。 我有一个Ubuntu(16.04)服务器,充当路由器/ NAT。 我想让大多数用户使用2mbps的互联网,同时将一些设备限制在512kbps。 我有一个ipset节stream设备的列表。 我试图–mark-set来自这些设备的数据包,以便tc可以通过stream量整形来标记它们。 我目前的设置是: tc qdisc del root dev $LAN tc qdisc add dev $LAN root handle 1: htb default 20 tc class add dev $LAN parent 1: classid 1:1 htb rate 6mbit burst 15k tc class add dev $LAN parent 1:1 classid 1:10 htb rate 5mbit burst 15k tc class add […]
对不起,如果标题和标签有点模糊,我还是无法弄清楚它的正确名词。 请指教,我会改变它。 我正在实施一个STUN服务器,它装在托pipe在Google Container Engine的Kubernetes上的Docker容器中。 该项目利用负载平衡器(GCE上的转发规则)将外部请求置于pod / container中的相应端口, 我已经通过以下路由将进入eth0的所有stream量路由到2个虚拟接口(eth0:1,eth0:2): iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 61214 -j DNAT –to-destination 172.26.0.6 (为了完整起见,第二个目的地是172.26.0.7) 一个客户端应用程序到达它就好了,所以NAT确定继续。 但是,当STUN服务器需要创build套接字并链接回客户端应用程序时,这会突然停止,因为它获得的源IP是Kubernetes(例如10.128.0.4)上的主机VM实例的内部IP。 由于没有连接,客户端和服务器套接字超时。 有没有办法保存实际的源地址,直到到达我的服务器应用程序? 只要我的请求到达服务器,并且服务器可以返回到客户端,我打开废除当前的设置。 谢谢。