我已经安装xen这样,我所有的虚拟机都有一个公共IP和一个私人IP(192.168.0.x)。 然而,那些没有pupib ip的vms也应该能够上网,所以我没有设置nat。 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 但是,当我将这个规则添加到iptables中时,我不再能够在他们的私有ip上ping其他虚拟机,只有拥有192.168.0.1的dom0。 如果目标地址不在192.168.0.xnetworking上,是否可以进行NAT?
我已经到了需要迁移到新服务器的地步。 虽然我意识到SELinux的优点,但是当防火墙/网关仅用于将stream量路由到不同的目标主机时,是否需要保持启用SELinux。 用户不会在防火墙上login或存储任何数据。 在这种情况下使用SELinux有多重要? 它会使防火墙更安全还是SELinux会不必要地使事情复杂化? 预先感谢您的build议。
我遇到了以下情况。 客户端在端口80上提供soap服务。他们的客户端访问服务的准确性不得而知,但他们假设他们的脚本中有uris硬编码。 目前我们正在为我的客户开发一个新的网站,它将在当前的域名上运行。 肥皂服务将被移动到一个子域。 由于他们不想打扰他们的客户与肥皂服务的域更改,我被要求将所有肥皂请求转发到子域上的服务器。 我现在的问题是,这可以做,如何? 我正在Ubuntu 14.04上运行一个Nginxnetworking服务器。 我们能不能把这个端点https://www.domain.nl/services/soap转发到https://subdomain.domain.nl/services/soap,还是我们需要使用iptables呢? 在iptables的情况下,我们如何能够从常规的web请求中分离肥皂请求?
我在同一托pipe服务提供商有3个独立的CentOS服务器。 托pipe公司不能为我提供这个设备的防火墙,只有iptables。 所以我想购买另一台服务器,并将这台服务器作为我已经拥有的前3台服务器的防火墙(以及一些监控工具,如Snort)。 我没有在任何服务器的私人IP,他们不在私人networking。 如果不在专用networking中,可以通过“防火墙服务器”路由所有stream量?
我需要端口443在我的服务器上打开互联网。 当我通过netstat -tulpn | grep "nginx"内部检查时 netstat -tulpn | grep "nginx" ,我看到nginx的确在该端口上侦听。 但是,从外部机器尝试nmap -p443 mysite.com告诉我端口443被过滤 。 同样,做telnet <IP Address> 443超时。 我如何确保这个端口是开放的? 仅供参考/etc/iptables/rules.v4我有以下内容: *filter # Allow all outgoing, but drop incoming and forwarding packets by default :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] # Custom per-protocol chains :UDP – [0:0] :TCP – [0:0] :ICMP […]
我正在尝试在端口80上执行端口转发到虚拟机。 如果在input,输出和转发链上设置默认策略为ACCEPT,则转发工作。 但是,如果我把这个政策放在DROP上,打开相关的港口,我就无法工作了。 我错过了什么? #!/bin/bash IPT="/sbin/iptables" echo "Starting IPv4 Wall…" $IPT -F $IPT -X $IPT -t nat -F $IPT -t nat -X $IPT -t filter -F $IPT -t filter -X $IPT -t mangle -F $IPT -t mangle -X $IPT -t nat -F PREROUTING $IPT -t nat -F POSTROUTING $IPT -t nat -F OUTPUT #modprobe ip_conntrack […]
我使用iptables最近的模块来查看SSH的bruteforce预防。 我想知道–hitcount如何收集它将使用的价值? 它是字节,数据包,没有。 conntracked项目或别的东西? 谢谢! 乔纳森
我们的networking上有以下4个VLAN,通过DHCP连接到Ubuntu Linux框。 这个Linux也应该作为L3路由器。 VLAN 10 on interface eth1.10 with subnet 10.10.10.0/24 VLAN 20 on interface eth1.20 with subnet 10.10.20.0/24 VLAN 50 on interface eth1.50 with subnet 10.10.50.0/24 VLAN 100 on interface eth1.100 with subnet 10.10.100.0/24 这里是/etc/network/interfaces : auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.10.169 netmask 255.255.255.0 gateway 192.168.10.1 […]
我想根据时间更改我的IP地址而不是url。 以下是我的iptable规则来破坏IP我有: sudo iptables -t nat -A POSTROUTING -o em1 -p tcp –dport 80 -j SNAT \ –to xxx118-yyy128 问题是我每次检查ipflag.com我只得到一个特定的IP,我不希望它是我想在iptables有一个规则,所以它会改变我的IP基于时间,说每5分钟。 有可能吗?
我有一个路由器,带有防火墙(带有丢弃策略),NAT,服务。 我想logging所有真实的stream量(在firewal之前input,由服务输出,并在转发中通过防火墙),其“实际”src / dst(即在SNAT之前和在DNAT之后)。 另外(优先级较低),我可能希望看到防火墙阻止的stream量(使用inputfilter和转发filter的规则或策略)。 什么是正确的地方把会计规则? 如何区分接受和拒绝的stream量?