我需要使用iptables从一个IP转发到一个URL(由于目标服务器使用一个IP范围在它们之间交换)。 有可能做到这一点? 如果是这样,我正在考虑使用这个: iptables -t nat -A PREROUTING -p tcp –dport 10022 -j DNAT –to sftp.cl.cloud.mypega.com:22 iptables -A FORWARD -d sftp.cl.cloud.mypega.com -p tcp –dport 22 -j ACCEPT iptables -t nat -A POSTROUTING -o eth69 -j MASQUERADE 它是否正确?
我试图让我更多地了解安全的最佳实践,以我个人的知识。 其实我无法理解如果我可以信任我的服务器的设置configuration像iptable的防火墙的必要性。 在我的实际心态中,可以这样解释:如果我只知道: 侦听端口80的Web服务器 侦听端口22的ssh服务器 在端口8080上侦听的api服务器 正在我的服务器上运行,我的(唯一的)以太网适配器eth0上不使用端口80,22或8080的任何传入stream量将丢失,因为没有进程侦听这些端口。 这意味着什么都不消耗传入的数据包,所以他们只是被削弱。 考虑到这一点,我不明白configurationiptable只接受端口80,22和8080的TCP通信的必要性。 这一切都在我看这个伟大的video之前: https://serversforhackers.com/video/firewalls-basics-of-iptables 该video展示了如何设置一个iptableconfiguration来做到这一点:只接受端口80,22和8080上的传入stream量,并丢弃所有其他input数据包。 我想这是有理由的,但我实际上找不到。 你能解释为什么这个iptableconfiguration是需要的? iptable的数据包丢失与服务器上运行的任何应用程序没有“使用”的数据包之间是否存在差异? 非常感谢。
我使用的是SuSe(SuSe 10.2)的一个古老版本。 我通过运行以下命令closures了SuSEfirewall2: SuSEfirewall2 stop 这绝对停止了iptables。 有没有办法在启动时禁用iptables,所以我不再遇到这个问题?
我有一个应用程序侦听端口2000.我想代理所有stream量到这个端口(本地发起)到不同的端口,如4000。 现在我正在做这样的事情。 iptables -t nat -A OUTPUT -p tcp –dport 2000 -d 127.0.0.1 -j DNAT –to-destination 127.0.0.1:4000 只要在2000年没有任何东西在监听,就可以工作。如果我telnet到2000,stream量按预期路由到4000。 但是如果在2000年有某些事情正在监听,那么这个stream量就不会被劫持/代理。 有没有办法做到这一点?
我想允许来自特定IP地址的所有连接,但是我失败了。 操作系统:Ubuntu服务器16.04。 (传入和传出服务器) 我已经执行了这些命令: iptables -I INPUT -p tcp -s 192.168.0.45 -j ACCEPT iptables -I OUTPUT -p tcp -d 192.168.0.45 -j ACCEPT service netfilter-persistent save /etc/init.d/netfilter-persistent restart 但它不工作。 这就是我的rules.v4样子: # Generated by iptables-save v1.6.0 on Thu Jun 22 08:48:43 2017 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 192.168.0.45/32 -p […]
我想从一个局域网转发snmp到另一个局域网。 我相信我有一种办法(从外到内),但可惜的是,box1似乎无法回复。 (从内到外) 我想做的设置: box1 box2 box3 [10.1.255.245] ————————– [public_ip] | eth0-|-eth1 | |———–3161—————- 3161 —-| 这些是与BOX 2相关的iptables规则, -A PREROUTING -i eth1 -p udp -m udp –dport 3161 -j DNAT –to-destination 10.1.255.244:3161 -A FORWARD -d 10.1.255.244/32 -p udp -m udp –dport 3161 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT 现在我validation了来自box3的包是在box1中收到的。 tcpdump 'port 3161' tcpdump: verbose output […]
当我看到我的Apache日志other_vhosts_access.log ,我看到许多尝试,从每月几个不同的IP这样的: www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:19 +0200] "POST /wp-login.php HTTP/1.1" www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:19 +0200] "POST /wp-login.php HTTP/1.1" www.example.com:80 91.200.xx – – [25/Jun/2017:17:20:20 +0200] "POST /wp-login.php HTTP/1.1" 这似乎是暴力攻击。 有一个简单的方法来自动禁止 (与高速公路没有链接) 这些攻击者? 如果我使用Wordpress插件,stream量仍然会进入PHP,浪费资源等。 如果我在Apache层面这样做,肯定会浪费资源 我应该尽可能做到最低水平吗? 即IP表? 有没有一个工具,在other_vhosts_access.log中查找这样的攻击者,并自动禁止他们在iptables ?
我在我的Debian服务器上运行一个应用程序,它使用IPv4和UDP进行数据通信。 我想阻止每个客户一会儿,往返时间超过140毫秒。 不幸的是,我不能直接在应用程序中实施这样的规则。 有没有可能为此创build一个iptables规则?
我在AWS中为OpenVPN概念validation创build了一个testingVPC。 在这个VPC中,我已经从AWS Marketplace发布了一个linux成员服务器和一个OpenVPN服务器AMI,并安装并configuration了它。 作为一个客户端,我能够连接到VPNnetworking,并使用它的3个IP中的每一个ssh进入OpenVPN服务器,但问题是我无法ssh进入VPC主子网中的成员服务器。 networking在OpenVPN服务器和成员服务器之间完全build立。 细节是: VPC CIDR: 172.16.0.0/16 VPC Main Subnet CIDR: 172.16.200.0/24 VPN CIDR: 172.16.201.0/24 OVPN server: Main Subnet interface: 172.16.200.66 VPN Server interface: 172.16.201.1 VPN Client interface: 172.16.201.129 Member server: Main Subnet interface: 172.16.200.71 My Client IP: 172.16.201.131-134 (disconnected a few times) 我configuration了OpenVPN服务器,如下所示: 和: 另外,我试过使用NAT,但无济于事。 当我试图从客户端机器ssh到成员服务器时从OVPN服务器运行tcpdump : openvpnas@openvpnas2:~$ sudo tcpdump -i as0t1 […]
在本地机器上,我设置iptables中传入和传出stream量的计数器来跟踪用户使用了多less字节。 但我需要排除“家庭服务器”(预定义的IP地址)的所有stream量。 我怎样才能做到这一点?