如果我想在iptables上build立每个IP的stream量计数器,我应该把规则放在哪个表中? Mangle,Raw,Nat或Filters? 我曾经把它放在filter,但似乎不正确计数 iptables -t filter -N COUNT iptables -t filter -A COUNT -s 192.168.10.10 iptables -t filter -A COUNT -d 192.168.10.10 iptables -t filter -I FORWARD -j COUNT
我想redirect所有邮件通信(本地端口25)到另一台服务器发送邮件。 我应该使用BIND,iptables还是其他工具? 我将如何做到这一点?
我正在尝试在我的xen主机服务器上设置IPTABLES,它将阻止对同一台机器上的xen客户端的传入和/或传出访问。 具体来说,我需要阻止输出端口25的stream量和input端口53的stream量到一个特定的容器。 常规的IPTABLE规则只会影响到主机的stream量 – 而不是xen客户端。 对于我的服务器,eth0是内部networking,eth1是外部networking。 下面的规则集似乎应该工作,但容器根本不受影响: iptables -A OUTPUT -p tcp -m状态-state新build立,相关-sport 25 -d -j拒绝 iptables -A INPUT -p tcp -m状态-state新build,相关-dport 53 -d -j拒绝 iptables -A INPUT -p udp -m状态-state新build,相关-dport 53 -d -j拒绝 所以基本上,我如何设置一个IPTABLE规则,将适用于Xen客户端而不是Xen主机? 谢谢
我有一个现有的IPtables脚本运行在一个LAMP堆栈VPS,我需要帮助,允许FTP连接,所以我可以上传和下载文件到我的networking服务器。 我已经安装vsftpd到Ubuntu,并configuration为authenicated用户访问,但我认为我的防火墙拒绝连接请求。 我已经尝试modprobe ip_conntrack_ftp加载模块。 但我仍然无法通过FTP连接 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound […]
我使用这些iptables规则为我的OpenVPN服务器与1个网卡(eth0) iptables -I INPUT -i eth0 -p udp –dport 1194 -j ACCEPT iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 这当然是太开放了。 但我希望能够通过VPN连接使用FTP。 我假设我必须把 modprobe ip_conntrack modprobe ip_conntrack_ftp 在我的iptables脚本的顶部。 但是,实际的iptables规则应该如何呢?
我在家里有2个互联网连接。 我冲浪他们两个:每隔一个连接开关isp。 我已经使用我的VPS作为冲浪的常规代理,确保我总是有相同的IP地址为特定的网站。 但是:我不能使用某个Usenet程序的代理,所以我想在我的VPS上设置一个端口作为非常具体的代理。 我怎么做? 我试过这个规则: iptables -A FORWARD -p tcp -i eth1 -o eth1 -d 256.256.256.256 –dport 563 -m state –state NEW -j ACCEPT ACCEPT tcp — anywhere usenet-server.com tcp dpt:nntps state NEW ACCEPT udp — anywhere usenet-server.com udp dpt:nntps state NEW 但他们不工作。
我在将负载均衡器(唯一具有外部IP地址的入口点)的8000端口转发到具有内部IP的Web服务器(到端口8000)时遇到了问题。 所以我需要XX.XX.XX.XX:8000 – > YY.YY.YY.YY:8000其中XX.XX.XX.XX是外部IP,YY.YY.YY.YY是内部的。 当通过sshlogin到XX.XX.XX.XX时,可以执行telnet YY.YY.YY.YY 8000,并且连接成功。 这是我启动的iptables命令(在XX.XX.XX.XX上): iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A PREROUTING -t nat -p tcp –dport 8000 -j DNAT –to YY.YY.YY.YY:8000 iptables -A FORWARD -p tcp -d YY.YY.YY.YY –dport 8000 -j ACCEPT 这里是iptables -L输出: Chain INPUT (policy ACCEPT 13486 packets, […]
我有两个networking适配器使用相同的IP范围,但是是不同的networking。 我试过这个,但没有奏效: iptables -t nat -A OUTPUT -p all -d 1.2.3.0/8 -j DNAT –to-destination 192.168.0.0/8 -o eth0 iptables -t nat -A OUTPUT -p all -d 3.2.1.0/8 -j DNAT –to-destination 192.168.0.0/8 -o eth1 例: eth0的IP地址为192.168.0.1,范围为192.168.0 *。 eth1的IP地址为192.168.0.8,单独的网段范围为192.168.0 *。 1.2.3。* = 192.168.0。*通过eth1 3.2.1。* = 192.168.0。*通过eth0 这是我能用iptables做的事情吗?
我用iptables构build了一个nat,如下所示: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -I PREROUTING -p tcp –dport 9000 -j DNAT –to xx.xx.xx.xx iptables -t nat -I POSTROUTING -p tcp –dport 9000 -j MASQUERADE service iptables save service iptables restart configuration工作正常,但有一个问题,当我断开连接,并试图重新连接,连接将被拒绝大约2~3分钟之后,事情再次罚款。 这是什么问题? 我怎样才能让它在旧的rest之后接受新的连接呢?
我有一个WAN路由器,通过一个/30 WAN子网连接到isp。 但是它也可以作为连接到我的几台服务器的/29本地公用WAN子网的路由器。 来自/29的stream量通过/30子网路由到ISP。 由于有线的原因,我想masqarade(NAT)的接口有/30 ip。 所以与/30 IP接口应该为我的192.168.1.0/24networking显示masquaraded,它也应该作为我的WAN公共子网/29的普通非NAT路由器。 这可以通过iptables在Linux机器上完成吗? 编辑1:我的防火墙规则目前如何: iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #WAN Security iptables -A INPUT -d 1.2.3.3 -m state –state INVALID -j DROP iptables -A INPUT -d 1.2.3.3 -m state –state […]