我试图通过使用这个命令来防止黑客攻击 iptables -A INPUT -p tcp –dport 80 -m hashlimit –hashlimit-upto 50/min \ –hashlimit-burst 500 –hashlimit-mode srcip –hashlimit-name http -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j DROP 参考: 如何防止LOIC(DDOS)攻击? 我总是得到这个错误信息: iptables v1.3.5: Unknown arg `–hashlimit-upto' 是什么原因造成的,我该如何解决?
我试图阻止任何东西在我的服务器,除了一些特定的IP范围。 既不应该从networking访问,也不应该ssh或其他任何东西。 我已经通过不同的主题进行了search,发现了一个很好的解决scheme iptables -P INPUT DROP iptables -A INPUT -s IP/24 -j ACCEPT 实际上这个下降是按照它应该的,但是一旦我执行命令我断开连接。 我通过SSH客户端连接。 我也尝试创build一个bash脚本。 但是,滴落后,我也下降了,似乎脚本没有完成。 我能做些什么来实现我的目标?
我有一个Debian 6.0.7 x64 AWS EC2服务器,我正在运行几个QEMU虚拟机(不要问..长故事)。 我有一些IPTables规则来NAT /转发任何stream量(在端口8080和8081)从AWS服务器到VM内部IP分别在192.168.122.150/151。 当我恢复我的iptables规则(从一个iptables转储),或者我手动将一个IPTables规则附加到一个链(例如,FORWARD),源/目标子网将自动转换为.ec2.internal主机名,我可以似乎没有找出原因。 例如,IPTables附加命令: iptables -A FORWARD -s 0.0.0.0 -d 192.168.122.0/24 -j ACCEPT 获取以下规则(注意目标子网已转换): ACCEPT all — ip-192-168-122-0.ec2.internal/24 anywhere 我已经问EC2论坛这里,但没有回应..任何人有什么想法可能导致这种转换? 当我使用文件中的iptables-restore进行导入时,转换也会发生。 如果我使用非192.168.xx子网,则不执行转换。 我非常肯定,这是违反了一些NAT / FORWARD规则,但我不能真正弄清楚发生了什么。 谢谢!
我受到37.59.4.76的攻击。 它给我发送了大量的数据,这正在破坏我的数据空间。 我已经添加了iptables Chain num pkts bytes target prot opt in out source destination DENYIN 400 0 0 DROP all — !lo * 37.59.4.76 0.0.0.0/0 DENYOUT 216 0 0 DROP all — * !lo 0.0.0.0/0 37.59.4.76 PREROUTING 439 0 0 REDIRECT tcp — !lo * 37.59.4.76 0.0.0.0/0 multiport dports 80,2082,2095 redir ports 8888 PREROUTING 440 […]
我有一个OpenVPN的设置,看起来像这样: +——————————————————+ | | | | | | | | | | | | | | | +————-+–+ | | | Internal Server| | | | 10.19.4.35 | | | | | | | +—————-+ | +—–+——-+ | | Gateway | | | 10.19.4.1 | | | | | +—–+——-+ +——–+——-+ | | | VPN […]
我正在制作Media Temple上的VPS(DV)。 我需要将来自端口8774stream量转发到80 。 我以rootlogin,跑了 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 8774 -j REDIRECT –to-port 80 然后iptables-save 当我显示iptables规则,我可以看到我的规则… # iptables -t nat -L -n -v –line-numbers Chain PREROUTING (policy ACCEPT 2 packets, 88 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REDIRECT tcp — eth0 […]
我尝试了命令conntrack -L并且当我运行ping www.google.com时它不会返回任何内容。 我也尝试通过modprobe nf_conntrack加载模块。 但它总是返回conntrack v1.0.0 (conntrack-tools): 0 flow entries have been shown. 任何人都知道什么是解决scheme?
我有一个Linux的VPS,并不断被扫描,由一些stream氓IP bruteforced。 这VPS是我的私人服务器,只为我服务,而我是唯一的用户。 另外我是唯一允许连接的用户。 我想问你,ServerFault,评论我的方法,“解决”问题,并指出我的任何问题,因为我没有经验的iptables 。 在我的服务器上,我使用端口993上的dovecot和端口22上的sshd 。 我已经将这两个服务都移到了X和Y非标准端口,以防止对已知端口的愚蠢的暴力攻击。 对于端口扫描问题,我认为我想在标准端口23 (telnetd), 22 (sshd), 110 (pop3), 80 (httpd)等上创build一个“陷阱”。如果防火墙将检测到任何人想连接到这些端口,它应该阻止发起的数据包,以及在接下来的24小时内与源主机进一步的通信,甚至到端口X和Y 要做到这一点,我试图使用recent的iptables模块: iptables -I INPUT -m state –state NEW -m recent –update –seconds 86400 –hitcount 1 -j DROP iptables -I INPUT -p tcp -m tcp –dport 80 -m state –state NEW -m recent –set -j DROP iptables -I INPUT […]
当我看到Rusty Russell的NAT Howto时, 6.2. Destination NAT This is done in the PREROUTING chain, just as the packet comes in; this means that anything else on the Linux box itself (routing, packet filtering) will see the packet going to its `real' destination. 我理解他真正的目的地是什么意思,是在PREROUTING链上的一个规则改变之前,这个数据包的原始目的地 ,这是稍微扰动的,因为我以前的理解是相反的 – 即随后的规则看DNAT'd目的地,而不是原来的。 通过logging本地VM的FORWARD链,我认为我是对的,因为我可以在DST字段中看到DNAT的IP。 所以,我的问题是,Rusty在这里是什么意思? 我正在考虑写信给Rusty,指出这个措辞是不清楚的,它可以解释真正的知识产权是什么。
StatsD守护进程在8125上运行在远程服务器( xxxx )上。 我想转发127.0.0.1:8125到xxxx:8125 。 我已经尝试在本地主机上运行以下内容 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p udp –dport 8125 -j DNAT –to xxxx:8125 iptables -t nat -A OUTPUT -p udp –dport 8125 -j DNAT –to-destination xxxx:8125 iptables -t nat -A POSTROUTING -d xxxx -j MASQUERADE 但它没有正确转发。 echo "test.test.test:1|c" | nc -w 1 -u localhost 8125 […]