我有一个应用程序试图连接到10.0.0.172。 我想这些连接被redirect到本地主机。 达到这个目标的最好方法是什么? (我刚才知道/ etc / hosts只适用于DNS请求,而不适用于IP地址。) 我想我需要写一些iptables命令,但我从来没有使用过。
iptables是否可以根据source-ip的平均入站数据包来限制入站数据包? 如果是这样,怎么样? 我希望将新的ips平均限制在所有以前的ips的平均入站数据包中。 当请求数量增长时,不必增加数据包限制,所以它应该是一种非常简单的exception检测。
我想从portscanners / probes保护我的MySQL服务器。 所以我的想法是把外部端口放在36636上 ,为了与本地应用程序兼容,内部端口必须保持默认的3306。 MySQL客户端连接到mysql.hostname.tld:36636,然后通过iptables转发到3306。 但是我无法实现它的工作。 在这里我的redirect规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 36636 -j REDIRECT –to-port 3306 我在iptables和MySQL中激活了广泛的日志logging,我很确定数据包通过防火墙,但是它们“消失”了, 它们似乎没有达到MySQL 。 当然我也在iptables中打开了一个端口36636。
我在我的Linux路由器上使用MAC地址过滤。 这是我所做的: iptables -A INPUT -i eth5 -m mac –mac-source 00:07:e9:84:2b:99 -j RETURN #User: Someuser iptables -A INPUT -i eth5 -j DROP 但是,iptables规则列表是巨大的,超过400个条目。 最近我读到了在这里使用iptables的Ipset的优点。 但是我没有发现任何有关MAC过滤的做法。 那么如何使用Ipset进行MAC过滤,以减小Iptables规则表的大小。
我目前使用这样的规则来限制有权访问我的SSH服务的IP地址 # accept already established iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp –source wxyz/32 –dport 22 -j ACCEPT iptables -A INPUT -p tcp –source abcd/32 –dport 22 -j ACCEPT #drop everyting else iptables -A INPUT -j DROP iptables -P FORWARD DROP wxyz和abcd是允许的IP地址。 我有这个规则在多个服务器上。 能够将IP添加到允许列表并将其删除并重新加载所有服务器规则的最佳方法是什么?
我正在尝试在Linux中创build一个软件访问点。 我在这里跟着博客。 我执行的步骤: 在wlan0上启动dhcp服务器。 正确configurationhostapd.conf 启用数据包转发和伪装。 执行两个关于iptables的命令: iptables –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE iptables –append FORWARD –in-interface wlan0 -j ACCEPT 我启用logging在iptables&我得到这在everything.log Jun 29 19:42:03 MBP-archlinux kernel: [10480.180356] IN=eth0 OUT=wlan0 MAC=c8:bc:c8:9b:c4:3c:00:13:80:40:cd:80:08:00 SRC=195.143.92.150 DST=10.0.0.3 LEN=44 TOS=0x00 PREC=0x00 TTL=52 ID=38025 PROTO=TCP SPT=80 DPT=53570 WINDOW=46185 RES=0x00 ACK URGP=0 Jun 29 19:42:03 MBP-archlinux kernel: [10480.389102] IN=eth0 OUT=wlan0 […]
运行service iptables (start|stop|restart)不显示我以前的机器上习惯的通常的[FAILED]|[SUCCESS]消息。 这是一个新的服务器,但我已经通过yum (我正在运行CentOS 6.2)更新一切。 这其实本身并不是一个问题,但它有点让我烦恼。 任何人都知道这是怎么回事 编辑:另外,它似乎我没有/etc/sysconfig/iptables这很奇怪。
我正在寻找一个解决scheme,以IP为基础的速度限制。 在最近的Intel x86_64 CPU内核上,hashlimit iptables模块可以处理多less个数据包? 1.000 /秒? 1.000.000 /秒?
我有 eth0:0 192.168.2.10 (for bgp network announce, no vlan, alias on eth0) eth0.1 192.168.3.20 (for bgp session 1,vlan3 transport to bgp router) eth0.2 192.168.4.30 (for bgp session 2,vlan4 transport to bgp router) 默认路由由斑马(192.168.3.1或192.168.4.1 – 故障切换) 当外部IP(192.168.1.100)试图连接到192.168.2.10 – >应答的数据包通过192.168.3.1(其中源IP为192.168.3.20)。 这工作正确。 但是我想源地址是192.168.2.10。 主要问题是当星号在192.168.2.10上运行时,客户端试图从192.168.1.100注册sip – >从192.168.3.20发送回答,而软件包被丢弃在远端。 如何解决/解决这个问题? 还是有其他方式的configuration界面? 主要思想是切换路由为192.168.2.10如果一个bgp会话closures。 rp_filter=0 on all interfaces 如果我把这样的东西: iptables -t nat -A […]
我想阻止相同的重复请求到我的网站。 例如,有人点击了“刷新”button3次,所以我希望跟随该用户的相同请求被自动阻止。 我知道我可以用PHP或任何服务器端编程语言来做到这一点,但是有没有独立于网站的“便携式”解决scheme,如Apache2configuration或iptables规则? 还有其他方法可以保护这种基本的保护吗?