我有一个问题,我不能弄清楚,我试图访问[RPI]networking服务器,但数据包永远不会到达iptables FILTER链 我会试着解释一下: GW1具有公共地址,并且从端口8080到192.168.69.14:80执行DNAT S1是用于LAN的openVPN服务器eth0 ,用于VPN的tap0是桥接的 [RPI]在端口80上运行networking服务器 GW2是[RPI]默认网关,没有公共地址 GW1 <—————–> S1 <—–Open VPN tunnel——> [RPI] <–Default route–> GW2 (192.168.69.1) (192.168.69.22) (192.168.69.14 – tap0) (192.168.30.1) (192.168.30.2 – wlan0) 现在,一切工作正常如果我从S1 , GW2到达[RPI]的networking服务器或从GW1做一个ping 但是,如果我尝试通过端口8080上的GW1的公共IP访问networking服务器,数据包将达到[RPI] ,但在iptables消失,正如您在这里可以看到的那样, iptables规则在以下打印: Apr 27 18:13:51 WeatherStorm kernel: [11383.698445] TRACE: raw:PREROUTING:rule:3 IN=tap0 OUT= MAC=82:ed:f9:e6:c2:ea:00:0c:42:f5:XX:XX:XX:XX SRC=37.188.XXX.XXX DST=192.168.69.14 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=275 DF PROTO=TCP SPT=33136 DPT=80 […]
我正在尝试添加以下规则: iptables -t nat -A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 但是我得到的是: FATAL: Module ip_tables not found. iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 通过论坛看,我得出结论,iptable_nat模块没有安装/激活。 通过发行 modprobe iptable_nat 我明白了 FATAL: Module iptable_nat […]
这是一个交易:我有一个持久的中国僵尸networking,它传播我的论坛(在nginx上的Ubuntu 12.04.2服务器上运行等)。 我一直在使用UFW(Ubuntu的“Uncomplicated FireWall”)来pipe理防火墙,就像不用处理iptables一样简单。 我已经确定了每次一个bot命中时都会尝试加载的非常一致且独一无二的(更不用说愚蠢的)URL,并且每隔一小时就会使用一个cron来parsing访问日志并find新的攻击者,并且ufw deny from [ip-address]就可以了。 然而,猛攻并没有停止。 真不可思议 我正在logging每个被阻止的IP地址,并且高达17,000个IP地址。 98%的知识产权来自中国,有些来自其他国家。 这看起来效果很好:在实践中,所有这些攻击都被阻止,连接恢复正常,stream量呈指数级下降,有效的DDOS已经停止(如果我让这些客户端通过,那么数据的容量和速度请求是惊人的)。 UFW 似乎也没关系。 没有什么是减速,请求以相同的速度服务,延迟并没有受到我所知道的。 我试图尽可能地将各个IP地址合并到一个范围内,但是很难弄清楚所有这些IP地址,并且会阻止比实际导致问题更多的IP数量级。 所以,有些问题: 在我应该担心的时候,我可以合理地拥有多less规则(大概说iptables)? 是否有任何可能的负面影响继续这种确切的做法? 任何build议的更改或改进? 有没有人知道这个机器人? 它正在攻击bbPress。 有没有更好的方法来防止这种攻击,而不是治疗症状? 不幸的是,我不想阻止所有的中国,因为我知道我们有用户在那里…
我有一个连接到交换机的5个nics服务器,并运行GNS3(思科路由器模拟器)。 我需要在服务器中阻止nics在第2层级别发送的数据包(nics没有configurationip),所以我必须阻止ip表,每个nic的输出stream量都以自己的mac地址作为源。 我已经尝试了这样的命令,但它不工作iptables -I“CHAIN-NAME”-m mac –mac-source“MAC-ADDRESS”-j“ACTION” 我正在使用DEBIAN 7
我有一个本地networking(192.168.10.0/24)内的KVM服务器。 该服务器有三个接口,都是公开的桥接[1]。 Atm我只使用三个接口中的两个,所以虚拟机分成两组(一个使用bridge0 ,另一个使用bridge1 )。 是否可以在主机上设置防火墙(iptables),禁止使用bridge1的组访问互联网? 或者我需要不同的设置(通过主机路由)? [1] http://www.linux-kvm.org/page/Networking#public_bridge 我试过以下(但似乎没有工作): 允许一切在本地回环 允许bridge0上的所有内容 只允许通过网桥1的本地networkingstream量 否认一切 相应的iptables -S输出: -P INPUT DROP -P FORWARD DROP -P OUTPUT DROP -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -m state –state NEW -j ACCEPT -A INPUT -i bridge0 -m state –state NEW -j ACCEPT -A INPUT […]
我想停止Linux设备上的UDP泛滥。 我写了一个简单的IPTable规则来删除所有UDP数据包 iptables -A INPUT -p udp DROP 但是仍然发生DoS攻击并且设备被绞死。 任何线索如何防止UDP泛滥? 每个答案是赞赏。
我有我的服务器上运行的iptables阻止除我允许的所有端口上的访问。 其中一个端口需要在端口25上使用SMTP,并且我有以下规则: -A INPUT -p tcp –dport 25 -j ACCEPT iptables -L的输出如下: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere 127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT tcp — anywhere anywhere tcp dpt:https ACCEPT […]
我想过滤掉特定端口的所有基于非SSL的stream量(443)。 有没有办法做到这一点与iptables ,或另一个Linux应用程序?
我用命令设置了限制: iptables -A INPUT -p tcp -i venet0 -dport 80 -m limit -limit 25 / minute –limit-burst 100 -j ACCEPT 如何从这个限制中排除一个子网? 我想从子网无限连接。
我们正在开发客户端/服务器应用程序。 在我们的服务器应用程序中有三种types的networking数据:诸如video/audio的实时数据,诸如数据库数据和BestEfforts数据的关键数据的那些数据,如通常的文件传输。 我们打算设置每个IP数据包的QOS字段,以指示上面三个IP数据包属于哪个数据types,然后使用TC为这三种types的数据设置不同的最大速率。 据我所知,设置qos字段是可行的,但我不知道是否可以通过指定qos值(IP头中的QOS字段的值)来限制ip包的速率。