我有这个schenario —————– —————- ———- | SERVER A | —(port:2128)> | PROXY | —> | INTERNET | | (10.30.1.1) | | (10.30.2.2) | ———– —————– —————- 现在我有一个SERVER B(10.31.1.1)谁不能访问PROXY,BU可以访问SERVER A. 我需要的是configurationSERVER A接受来自SERVER A的请求,并将它们转发给PROXY,以便它可以访问Internet。 我以这种方式通过iptables尝试: echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -p tcp -i 10.30.1.1 –dport 3128 -d 10.30.2.2 -j ACCEPT iptables -t nat -I PREROUTING -p […]
我们看到这里描述的问题 – http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html 简而言之,我们需要丢弃伪造数据包,例如使用SYN + FIN标志设置。 我可以通过添加rule- iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP 现在可以有更多的标志组合。 那么我应该添加所有这些还是有更好的方法来做到这一点?
我有一个基于Linux的路由器(使用DD-WRT固件 )的FreeBSD系统。 FreeBSD系统运行sshd,并且经常被各种脚本小程序探测。 它目前运行一个脚本,当看到从同一个IP地址login失败的尝试超过3次时,将完全阻止该地址。 该块曾经是本地的(使用FreeBSD的ipfw ),但我想覆盖整个局域网 – 通过要求路由器进行阻塞。 这使我使用Linux的防火墙手段 – iptables。 如果我使用: iptables -I INPUT -s $IP -j DROP 那么路由器会拒绝试图联系路由器本身的IP,但会很乐意将连接转发到局域网。 如果我使用 iptables -I FORWARD -s $IP -j DROP 它会阻止攻击者到达我的局域网,但会保持路由器到达他们。 是否有一个单一的规则 – 或者至less单一的命令 – 我可以为每个攻击性的IP拦截任何和所有的stream量和来自它的stream量? 谢谢!
这个问题在这里可能有很多次的问题,但经过几次失败的尝试,我重复了这个历史: 如何在运行CentOS的服务器上打开端口25端口。 这是我的iptablesconfiguration: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere loopback/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT tcp — anywhere anywhere tcp dpt:https ACCEPT tcp — anywhere anywhere tcp dpt:ftp ACCEPT tcp — […]
这个问题已经在网上提出过,但答案根本不能令人信服,甚至不准确。 我为ppp0设备的ifconfig获得以下输出(当然,x,y,a,b是整数)。 ppp0 Link encap:Point-to-Point Protocol inet addr:xy172.234 PtP:ab145.65 Mask:255.255.255.255 如果以下的理解是错误的,请纠正我我正试图理解它背后的理论。 xy172.234是机器的公共Internet地址。 所以,所有离开机器的数据包都会有这个SRC IP。 而我的阅读告诉我,ab145.65是默认的网关地址。 所以,所有的数据包将被无条件地发送出去,通过这个地址进行路由(除了环回)。 但是有一个设备。 它是否分配了多个地址? 如果是这样,怎么样? 我是否需要阅读PPPoE协议才能理解这一点? 如果我使用eth0端口将交换机连接到本机,并希望使用IPTables将此机器用作防火墙,那么对于内部LAN上的机器,默认网关地址是什么? 在Eth0上分配的IP地址? 然后来到Eth0的数据包将被NAT,如果不是,防火墙将被发送到哪个地址? ab ..地址或xy ….地址? 在这里变得困惑。 任何澄清将不胜感激。 谢谢
我正在尝试使用IP xxxxlogging容器上的连接 我使用邮件命令发送邮件使用postfix,但我没有看到任何日志。 这是我的configuration: iptables -N LBFT_OUT iptables -A FORWARD -j LBFT_OUT iptables -A OUTPUT -j LBFT_OUT iptables -A LBFT_OUT -s xxxx / 32 -p tcp -m tcp –dport 25 -m state –state NEW -j LOG – 日志前缀“LBFT_SMTP” – 日志级别7 [root @ host log]#cat /etc/rsyslog.d/lbft.conf :msg,包含“LBFT_SMTP” – / var / log / lbft-smtp.log &〜
我使用Ubuntu作为几个主机的网关。 我需要build议如何阻止特定的IP地址或特定的IP范围IP转发? 我尝试通过ufw拒绝规则来阻止ip,但它看起来像ip转发设置不能通过规则修改,它只能在全局应用(/ etc / default / ufw中的DEFAULT_FORWARD_POLICY) 另外我试图直接更改iptables规则: iptables -A FORWARD -j REJECT –reject-with icmp-host-prohibited 在这个命令后,ip转发拒绝规则阻止所有远程主机转发请求。 更新:当前的iptable输出: root@mtu90:/home/pi# iptables -L -n -v Chain INPUT (policy ACCEPT 5671 packets, 927K bytes) pkts bytes target prot opt in out source destination 0 0 DROP all — * * 0.0.0.0/0 172.16.1.77 192 15408 DROP all — * […]
基础设施: 这里是我想要的,能够连接到我的局域网上的“路由器1”10.10.100.32:8080,8080端口以外的所有通信应该到默认网关“路由器1”。 iptables -t nat -A PREROUTING -t -nat -p tcp -s 0/0 –dport 8080 -j DNAT –to 192.168.67.251 但它没有奏效。
以前也有过类似的问题,但是收到的答案并不令人满意,或者不适用于我的情况。 我有一个透明的squid代理,它可以过滤所有的http,对于一些机器,我的networking的httpsstream量。我使用下面的iptables规则实现了这个function: iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.1.100 -m tcp –dport 443 -j REDIRECT –to-ports 3127 iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.1.101 -m tcp –dport 443 -j REDIRECT […]
我有CENTOS Linux VPS。 我的IPTABLES脚本中有以下内容,当我的VPN重新启动时运行,但在执行service firewall restart时出现错误 我已经运行了下面的每个命令手动,他们的工作。 根据主机鳄鱼为了IPTABLES规则坚持我需要把他们放在 /etc/firewall/INCLUDE 文件,所以我将这些命令插入到文件中,但是执行service firewall restart命令时,以ACCEPT或DROP结尾的命令会给出错误信息。 这是我的INCLUDE文件: 1 iptables -A INPUT -p tcp -m tcp –dport 3000 –tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 2 iptables -A INPUT -i lo -j ACCEPT 3 iptables -A OUTPUT -o lo -j ACCEPT 4 iptables -A INPUT -p tcp ! –syn -m state –state […]