我试图做到以下几点:我有一个服务监听虚拟接口(比如说172.16.0.1),udp端口5555的一个盒子。现在我想要做的是将接收到的数据包eth0 1.1.1.1:5555)和eth1(2.2.2.2:5555),然后将它们转发到虚拟接口上的服务,并且将回复返回到与客户端相同的物理接口的客户端。客户端必须认为他们正在与1.1.1.1:5555或2.2.2.2:5555。 我想我需要一个iptables规则和包标记的组合,加上一些iproute规则(如果可能的话)。 我尝试的是捕获来自eth0和eth1,udp端口5555的数据包,并分别用1和2标记,并在connmark中标记。 然后我用DNAT到172.16.0.1。 该服务似乎正在获取数据包。 现在我不知道如何做相反的事情。 看起来,对于从盒子发出的数据包,在路由决策之前你什么也做不了,但是这将是恢复标记的地方,从而根据这些数据做出路由决策。 以下是我到目前为止: iptables -t mangle -A PREROUTING -d 1.1.1.1 -p udp –port 5555 -j MARK –set-mark 1 iptables -t mangle -A PREROUTING -d 2.2.2.2 -p udp –port 5555 -j MARK –set-mark 2 iptables -t mangle -A PREROUTING -d 1.1.1.1 -p udp –port 5555 -j CONNMARK –save-mark iptables -t […]
我在两个不同的IP上有两台服务器,可以说它们是:1.2.3.4和5.6.7.8。 另外,他们都运行一些虚拟机,他们都拥有私有IP地址10.0.0。*。 现在,这两台服务器每台只有一个以太网接口。 我想跟踪来自外部世界的来自这些机器的总互联网stream量,但是我不想计算两台机器之间或虚拟机之间的任何stream量。 我将如何使用shorewall的会计configuration或纯iptables规则来设置一个会计规则来跟踪? 目前,我无法知道我使用多less互联网带宽,因为当我查看整体统计数据时,它包括我的两台服务器之间的stream量。 理想的情况当然是问路由器,但现在还没有。
我一直在看我的日志(Ubuntu 9.10服务器),不知道你们中的任何一个,但我从俄罗斯,罗马尼亚等来源获得大量的stream量。在端口11370(我的iptables logndrop'ing它,但是只是好奇)。 一些Googlesearch显示了这个信息: http://www.keysigning.org/sks/ – 似乎使用端口11370和11371 这可能是他们正在扫描的服务(我不运行它)? ICS显示: https : //isc.incidents.org/port.html?port = 11370 只是好奇你们的想法,如果有人以前见过这个? 如果需要的话,我可以在这里发布我的日志,但它只是从各个IP地址的TCP端口11370的日志丢失。 认为这是奇怪的,因为这是唯一的港口似乎反复击中(从日志)。 如果这个问题对我来说,我正在使用Linode(VPS)。
我的ISP节stream某些types的stream量。 为了解决这个问题,我想让自己成为一个VPN连接。 IPTABLES是否可以将端口119上的所有stream量(例如)转发到我的vpn接口pptp0? 谢谢
我需要通过隐藏/连接在另一个后面的SSH和Samba来访问一个Linux机器。 build立 :- 一个开关BC | —- | | — | | —- | | —- | | eth0的| —- | | —- | eth0的| | | | —- | | — | | eth1的| —- | eth1的| | —- | | —- | 例如,从A到C的SSH / Samba 这个怎么办? 我在想这不能通过IP来完成? 或者可以吗? B可以说“嗨在eth0,如果你在寻找192.168.0.2,它在eth1这里”? 这是NAT吗? 这是一个很大的私人networking,那么如果另一台PC有这个IP呢? 更可能是PAT? A会说“嗨192.168.109.15:1234” B会说“嗨eth0,端口1234的stream量继续在这里eth1” […]
http://farm4.static.flickr.com/3305/4588110530_a60c934289_o.png 这张图是munin收集netstat -s输出。 我想确定连接来自哪里。 wireshark转储没有什么明显的。 我已经用iptables做了很多事情,这已经有一段时间了。 我怎么去logging这些? 谢谢 -s
操作系统:Linux 我需要一些关于如何设置路由表的build议。 我有一个包含两个物理网卡eth0和eth1以及两个相关IP IP1和IP2(同一子网)的盒子。 我需要设置一个路由,将强制从IP1到IP3(同一子网)的所有消息通过IP2。 我有一个原始的套接字捕获程序侦听IP2(这不是恶意使用)。 我已经build立了路由表 目标网关Genmask标志度量参考使用Iface IP3 IP2 255.255.255.255 UGH 0 0 0 eth1 如果在添加上述规则时尝试指定eth0,则会出现“SIOCADDRT:Network is unreachable”错误。 我从路由的手册中了解到,如果指定的GW是一个本地接口,那么它将被用作输出接口。 设置完此规则之后,如果我执行traceroute(-i eth0),则数据包首先进入默认网关,然后进入IP3。 我如何强制来自eth0的数据包到IP3先来到IP2。 我无法更改网关的路由表。 请build议。
我有这个iptable的规则列表 Chain INPUT (policy DROP) target prot opt source destination ACCEPT tcp — 127.0.0.1 0.0.0.0/0 tcp dpt:3306 acctboth all — 0.0.0.0/0 0.0.0.0/0 VZ_INPUT all — 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 ACCEPT tcp — 94.101.25.40 0.0.0.0/0 state NEW […]
我正在尝试使用iptables将出站stream量redirect到外部IP地址,就好像它是入站stream量一样。 我的设置如下; NET A NET B |——| |——| |–| |SERVER|<—–>|DD-WRT|<—–>|FW|<–> WAN |——| | |——| |–| | |——| | | COMP |<–| |——| 其中SERVER和COMP都是networkingA上的计算机,DD-WRT是连接networkingA和B的路由器,FW是将networkingB连接到WAN的大型防火墙。 当外部计算机试图连接到FW时,我的DD-WRT路由器和大型防火墙上的端口转发设置正确。 但是,当COMP尝试连接到FW时,数据包被丢弃,因为FW不能识别内部发往WAN地址的数据包是按照外部规则路由的。 因此,我想以某种方式将来自COMP发往FW的广域网地址的数据包路由到DD-WRT,就好像它们指向它的networkingB地址一样,因为我知道它能够正确地路由这些types的数据包。 如果有人有更好的build议,我当然会很高兴听到!
我使用vuurmuur来设置iptables。 它不允许创build一个规则,其中源和目标都是“防火墙”(意思是这个特定的主机)。 如何使所有连接都具有防火墙主机自己的主动权限(这意味着基于IP的客户机 – 服务器软件通信,如数据库服务器和应用程序服务器)是可信的和允许的?