当我启动iptables服务时,由于连接超时而没有ftp访问。 当我停止iptables服务,ftp工作正常。 这是目前的iptables数据: 更新 :在p21规则中replace为ESTABLISHED for NEW。 问题仍在发生 。 # Generated by iptables-save v1.4.7 on Sun Dec 14 23:48:26 2014 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:2848] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp […]
我目前正在Linode的多个数据中心之间build立OpenVPN。 OpenVPN的设置工作非常好,现在我正专注于设置防火墙,以便我的公共和私有IP由Linode提供保护。 不过,我似乎遇到了这个问题。 在我的VPN服务器上,当我设置我的防火墙并重新启动VPN服务器时,防火墙会在启动时自动加载,但是,我的VPN客户端似乎都无法ping通VPN服务器(位于10.8.0.1 )。 当我在VPN服务器( iptables -F )上closures防火墙时,客户端能够ping VPN服务器。 当我然后在服务器上恢复防火墙( iptables-restore < /etc/iptables.up.rules )时,客户端仍然能够ping VPN服务器。 我会假设防火墙要么阻止或不,我似乎无法弄清楚为什么会发生这种行为。 这些是我在VPN服务器上的iptables: *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound […]
我有一个Netgear Aircard路由器与通常的configuration选项(端口转发,DMZ,端口filter,…)。 我正在使用这个networking为我的咖啡店的顾客提供无线互联网接入。 有没有办法为我的networking设置一个主页,以便有人连接到我的networking时自动redirect到我的主页? 不更改固件,只需更改路由器设置?
我试图转发一个外部IP地址到另一个外部IP地址与PF。 等效的iptables命令是iptables -t nat -A OUTPUT -d [ipaddress1] -j DNAT –to-destination [ipaddress2] 。 我在我的pf.conf中尝试了各种forms的nat和rdr,例如:( $int_if是内部接口, $ext_if外部接口, $out_ad是ipaddress1(地址redirect), $res_ad是ipaddress2(地址redirect到) nat on $int_if from 127.0.0.1 to $out_ad -> $res_ad rdr pass on $ext_if proto tcp from $out_ad to $res_ad -> 127.0.0.1 rdr pass on $int_if proto tcp from 127.0.0.1 to $out_ad -> $res_ad rdr pass log proto […]
我目前有这个IPTABLES命令: iptables -A INPUT -s ! 192.168.0.2 -p tcp –syn -m connlimit […] -j DROP 据我所知,这样的规则限制了各种参数之后的一些连接数,除了可以自由打开无限数量的TCP连接的192.168.0.2之外。 我关心的是排除更多/ 32个IP(没有特定的范围模式),例如: iptables -A INPUT -s ! IP1 IP2 … IPN -p tcp –syn -m connlimit […] -j DROP iptables怎么可能?
我有一个在VPS提供商中设置的星号服务器。 我需要一个本地应用程序连接到数据库来提取报告,但是我有一个只读的连接工作。 我可以看到服务器正在监听端口3306: tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 我创build了一个防火墙例外: Chain INPUT (policy ACCEPT 12 packets, 2400 bytes) num pkts bytes target prot opt in out source destination 1 7326 1439K ELASTIX_INPUT all — * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source […]
我在我的iptables有一个规则拒绝连接logging,即-A INPUT -m limit –limit 5/min -j LOG –log-prefix "iptables denied: " –log-level 7 我想要一个类似的规则,logging所有已build立的,即不拒绝连接到所有端口。 我怎么能做到这一点,我试图search谷歌和试验,但我找不到匹配的string
我们有一个在AWS上托pipe的SQL服务器,SQL服务器不能在互联网上直接访问,它依靠一个NAT盒来将stream量路由到它。 我们试图从这个服务器到另外一个AWS之外build立一个Linked SQL服务器,这就要求两个SQL服务器在端口1433 TCP上相互交谈。 从iptable的相关部分看起来像这样: 目标prot源的目的地 DNAT udp在任何地方udp dpt:ms-sql -m到:172.10.10.10:1434 DNAT tcp随处可用tcp dpt:ms-sql -s to:172.10.10.10:1433 从我们自己的testing中我们知道,我们可以将任何服务器连接到AWS上的服务器,而不是相反。 有什么看起来不对? 当我们的intfra工程师“删除并添加了相同的规则时,问题就开始发生了”有没有什么线索呢? 是命令相关? 使用tracetcp我们发现了以下内容: 在aws sql server“tracetcp.exe 183.23.53.22 1433”上执行这个命令,其中ip是另一个外部托pipe的服务器的ip,它将在1跳中到达目的地,但是它也会执行相同的任意随机我们试过的IP地址。 就好像我们做了同样的命令,但在1433以外的其他端口上,它会首先打到NAT盒子,然后做很多跳
我有unifi服务器运行在networking上的所有我的接入点。 控制器主机位于几个networking上,但是其中只有一个应该被unifi使用。 当然,服务器没有select来控制它使用的接口。 它将组播stream传到错误的networking上。 我试图阻止所有非白名单的组播,就像这样: iptables -A OUTPUT -d 224.0.0.0/4 -j DROP 对我来说,这似乎是一个没有道理的,它的工作原理,除了最终unifi控制器进入一个循环(显然没有sleep()),并不断试图填充接口,我不希望它在谈论 – 谢谢你这个启示。 所以服务器坐在100%的CPU,只是因为在iptables的-j DROP规则。 整齐。 我正在寻找一种方法来丢弃数据包没有阻塞(即unifi认为数据包熄灭)或redirect到可接受的接口。 即使它来源不佳,也比让它误入错误的networking更好。 为此,我也试图将其路由到回送,但是数据包出错了接口,忽略了路由。 我觉得他们直接在接口上打开socket。 iptables -t mangle -A PREROUTING -d 224.0.0.0/4 -j MARK –set-mark 666 ip rule add fwmark 666 table 666 ip route add 224.0.0.0/4 dev lo table 666 我正在使用路由表和fw标记来确保我不会路由任何想要的多播(在其他地方列入白名单)。 我认为unifi全部绕过路由表。 设置标记正在触发(巨大数据包计数),但数据包继续从不需要的接口发出。 其他多播的类似规则似乎工作正常。 这是一个可怕的unifi在做什么(raw ip socket也许?)。 […]
对不起,我是这个服务器的新东西,如此裸露,如果我错过任何信息让我知道! 我试图设置我的Ubuntu 14.04.2 LTS服务器有一个坚实的iptables防火墙。 现在我认为它是相当不错的,但是,当iptables处于活动状态时,我无法在服务器上执行任何git …因此,解决方法是closures防火墙,执行pull操作,然后重新激活防火墙。 这很烦人,并引入了人为的错误,不重新打开防火墙。 我从几个资源做了我的iptables,并从这里git规则: http : //www.nigeldunn.com/2011/06/29/iptables-rules-to-allow-git/ 我试图把日志logging,看看哪些数据包被git pull阻塞,但没有出现在/var/log/kern.log(尽pipe其他东西login在那里无关,所以我知道它的工作)。 当做一个混帐拉我得到这个: ssh: Could not resolve hostname equity1.projectlocker.com: Name or service not known fatal: Could not read from remote repository. Please make sure you have the correct access rights and the repository exists. 这是我的iptablesconfiguration: #!/bin/sh echo "Flushing iptable rules" iptables -F iptables -t […]