我正在尝试在eth0和lo之间设置透明代理, 在DNS传播服务期间,原因是通过旧服务器和新服务器之间的SSH连接进行隧道传输,在“旧”服务器上,这适用于本地连接到本地主机的任何事情: 但是,对于任何打到“旧服务器”的外部地址的服务都不会转发,因为ssh隧道只监听到localhost(lo)的连接。 当前设置: Old server –> SSH Tunnel –> New server 什么需要发生 Client connection (ie tcp 8081) –> Old Server –> SSH Tunnel –> New server 我试图在IP表规则的多种变化,设置-L <service port>:0.0.0.0:<service port>不听所有接口上只在LO。 解决scheme必须来自iptables,没有时间部署鱿鱼/另一个代理服务。 所以总结。 假设tcp 8081,通过SSH连接隧道 我需要这个从eth0绑定的地址工作 提前致谢
我需要阻塞ppp0中的一些数据包,并且数据包的目标IP或源IP不在 172.17.0.1/24,如何在iptables中添加规则? 谢谢!
当我尝试访问正在侦听端口8011的Web服务器时,出现奇怪的行为我configuration了iptables来启用此端口,其外观如下所示: > :INPUT ACCEPT [0:0] :FORWARD ACCEPT > [0:0] :OUTPUT ACCEPT [844:101801] > :RH-Firewall-1-INPUT – [0:0] > -A INPUT -j RH-Firewall-1-INPUT > -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT > -A INPUT -p tcp -m tcp –dport 8011 -j ACCEPT > -A INPUT -p tcp -m tcp –dport 81 -j ACCEPT > […]
我在状态模块的工作方式上有些不稳定。 我只是好奇,如果下面的线是一个普遍的白名单,即相当于iptables -A INPUT -j ACCEPT 。 iptables -A INPUT -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
当我telnet我的服务器的一个端口,它给我一个错误:“连接closures外国主机”,任何人都可以告诉原因? 谢谢!
有什么办法可以获得特定ISP的networkingIP,以便我可以使用iptables来允许/阻止IP后面的整个networking。
我试图用lvs(snat)来使用conntrack ftp,文件说我需要回显“1”> / proc / sys / net / ipv4 / vs / conntrack,但是这个文件在我的系统上不存在,你知道为什么 ? 我已经加载了nf_nat_ftp和ip_vs_ftp #ls / proc / sys / net / ipv4 / vs / am_droprate amemthresh cache_bypass drop_entry drop_packet expire_nodest_conn expire_quiescent_template nat_icmp_send secure_tcp sync_threshold 也许因为这个设置,我的conntrack规则不起作用:( 我的系统是2.6.32内核的Debian Lenny(2.6.32-bpo.5-686)。 谢谢你的帮助。 sysctl -a | grep conntrack输出: net.netfilter.nf_conntrack_generic_timeout = 600 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = […]
防止意外攻击的规则之一是防止SYN和FIN一起使用。 SYN和FIN都被设置 $ IPT -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP 如何使用hping来testing这个iptable规则是否工作? hping3 192.168.7.0 –keep -S -F ??? 这是完整的吗? 只要inputiptables -L ,就会显示: 链INPUT(策略DROP)目标protselect源目的地 随时随地接受 DROP tcp – 任何地方的任何地方tcp flags:FIN,SYN / FIN,SYN 为什么我需要在放弃之前两次放置“SYN,FIN”? 这是因为一个来源和一个目的地?
是否有可能使用iptables减缓/节制P2Pstream量。 我在一个Linuxnetworking上运行IPtables,这是一个通往内部networking的网关。 完全阻止P2P似乎相当困难。 所以我在考虑是否有办法减慢速度,这样对用户来说就变得没用了,也节省了带宽。 谷歌search告诉我,这可能是通过使用connlimit /极限突发这样做,但我找不到详细的写在这? 任何iptables专家都可以使用P2Pstream量的特定特性来帮助解决这个问题。 这也将与encryptionP2P工作吗? 网关后面可能有50到100台机器。
Iptables可以通过将最常用的规则放在最上面来进行优化,比如连接build立后匹配的已知相关规则。 此外,可以通过使用跳转来避免很长的链条来完成优化。 这个链接显示了一个例子。 我的问题是关于优化规则本身。 性能如何通过在特定规则中添加和/或删除一些检查? 那这些支票的顺序呢? 例如,这个规则: iptables -A FORWARD -i eth0 -s source_ip -d dest_ip -p tcp –dport 80 -j ACCEPT 可以改写为: iptables -A FORWARD -s source_ip -d dest_ip -p tcp –dport 80 -j ACCEPT 这两个规则将允许从特定来源到特定目的地的httpstream量。 你认为两者之间会有性能差异吗? 而且,这些支票可以重新sorting为: iptables -A FORWARD -p tcp –dport 80 -s source_ip -d dest_ip -i eth0 -j ACCEPT 这也会有所作为或iptables会自动照顾它。