我有一个服务器在端口10000监听。但是这个服务器只在特殊情况下运行(然后有一些第三个服务可用)。 否则,端口不会被监听。 如果10000不在监听,是否有可能将客户端redirect到另一个端口? 我看到两个解决scheme:1)插入/删除服务器启动/停止iptables规则,但由于服务器可能会被杀死,它可能不会插入正确的iptableredirect规则之前死亡。 2)制定永久用户空间规则,检查端口是否正在侦听,如果没有侦听,则redirect数据包。 怎么做2)? 有人有ipq食谱吗? 可能有人可以build议我一个更好的方法? 这就像回退redirect:我会有不同的端口(10000-11000)的客户端,如果他们的服务器实例没有运行,乳清应该被redirect到一些页面,解释为什么他们没有和实例连接。
我试图添加一个转发到MySQL服务器在200.58.126.52允许访问从200.58.125.39,我使用以下规则(其我的整个我的托pipe的VPS的iptables)。 我可以在保存mysql服务的本地服务器本地连接,但不能从外部连接。 有人可以检查下列规则是否正确? 谢谢 # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT -A […]
我有3个接口: eth0 192.168.0.50/24 eth1 10.0.0.200/24 eth2 225.228.123.211 默认网关是192.168.0.1 ,我想保持它在我想要做的更改。 我想伪装eth1 10.0.0.200/24并启用NAT转发到eth2 。 所以我这样做了: ip route add 225.228.123.208/29 dev eth2 src 225.228.123.211 table t1 ip route add default via 225.228.123.209 dev eth2 table t1 ip rule add from 225.228.123.211 table t1 ip rule add to 225.228.123.211 table t1 现在我可以收到来自任何互联网主机的ping回复,如果我这样做: ping -I eth2 8.8.8.8 为了启用NAT转发,我这样做了: sudo iptables […]
在我的服务器上,我想通过我的eth0:2别名路由我的互联网stream量。 当我使用这个命令时: sudo iptables -t nat -A POSTROUTING -s 10.8.0.4 -o eth0:2 -j MASQUERADE 它返回这个: Warning: weird character in interface `eth0:2' (No aliases, :, ! or *). 有没有什么办法路由从openvpn IP 10.8.0.4通过单一的IPstream量? 感谢您的帮助,
我已经在我的服务器上安装了清漆,并希望testingconfiguration而不影响正常使用。 我有端口80上的apache监听和端口8080上的varnish。所以,我希望从我的IP abcd的所有请求通过清漆,所有其他IP应允许正常访问Apache。 我读了一些地方,可以在Iptables中使用PREROUTING来实现这一点。 有人可以告诉我怎么做吗? 我有2个站点在服务器上托pipe,是否可以configuration这只是一个域? 更新 我尝试了命令,但没有奏效 root@git:~# iptables -A PREROUTING -t nat -i venet0 -p tcp -s 117.201.192.67 –dport 80 -j REDIRECT –to-port 8000 root@git:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source […]
我有这个错误。 服务器工作正常,但sendmail不。 我不能下载电子邮件,但发送它们。 当我inputdmesg时,我有这个: TCP: Treason uncloaked! Peer 192.168.1.183:50792/110 shrinks window 824242349:824248613. Repaired. 多次。 .183是我的局域网的一个IP,一台普通的电脑。 我不知道发生了什么事情,我关掉了183,但没有任何改变。
例如我将以下规则添加到PREROUTING链: iptables -t nat -A PREROUTING -d 210.210.210.210 -j DNAT –to-destination 200.200.200.200 (可以说这两个IP地址是互联网上的networking服务器) 现在当我使用任何浏览器冲浪到210.210.210.210我被redirect到200.200.200.200到目前为止这么好..当我从链中删除规则后,我冲浪,并刷新或再次打字的地址和“去“我仍然被redirect到200.200.200.200它的这样留下几分钟,过了一会儿,当我重试我回到210.210.210.210 如果它的浏览器caching问题,我怎么能强迫它不cachingDNS地址或iptables如何防止发生?
我希望有人能跟随这个,我会尽我所能解释。 我试图通过SSH隧道将XXX224上的端口6999的所有stream量转发到xxx218上的端口7000上。 这是一些ASCII艺术: |browser|—–|Squid on xxx224|——|ssh tunnel|——<satellite link>—–|Squid on xxx218|—–|www| 3128 6999 7000 80 当我删除SSH隧道,一切工作正常。 这个想法是closuresSSH隧道encryption(以节省带宽),并打开最大压缩(以节省更多的带宽)。 这是因为它是一个卫星链路。 这是我一直使用的SSH隧道: ssh -C -f -C -o CompressionLevel=9 -o Cipher=none [email protected] -L 7000:172.16.1.224:6999 -N 麻烦的是,我不知道如何从xxx224上的squid获取数据到ssh隧道中? 我是否以错误的方式去做这件事? 我应该在xxx218上创build一个ssh隧道吗? 我使用iptables在xxx224上从读取端口80停止squid,而是从端口6999反馈(即通过ssh隧道)。 我需要另一个iptables规则吗? 任何意见不胜感激。 提前谢谢了, 关于爱德华多Ivanec的问题,这里是一个netstat -i any port 7000 -nn转储从xxx218: 14:42:15.386462 IP 172.16.1.224.40006 > 172.16.1.218.7000: Flags [S], seq 2804513708, win 14600, options […]
我需要一些帮助来创build一组iptable规则来路由和限制网桥(br0)中的接口之间的使用。 # brctl show bridge name bridge id STP enabled interfaces br0 8000.002590387da2 no eth0 vnet0 vnet1 我启用了net.bridge.bridge-nf-call-ip6tables和net.bridge.bridge-nf-call-iptables(有关我需要的描述,请参阅: KVM主机上的防火墙,防止访问VM:s ) 。 我不熟练iptables黑客攻击,需要一些帮助,或在正确的方向点。 现在我甚至不确定在什么桌子/链我想对付。
我有一个2接口的服务器。 一个小型的networking连接到eth0,并通过eth1上网。 允许1 ip到NAT我使用 iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.23 -j SNAT –to-source=23.xxx 我想添加一个规则,允许一个ip做NAT,并阻止其他已经存在的iptables(不删除它们) iptables -t nat -A POSTROUTING -o OUT_IF \! -s ip_sursa -j SNAT –to-source=x3.xxx.1xx.1xx -j DROP 会工作? 或者,只允许1个IP通过eth0传递给eth1,然后执行nat。