我有一个问题只与udp块111端口有关。 对于tcp它被阻塞没有任何问题。 这个端口被应用程序rpcbind 。 我通过netcattesting它。 这是我的iptables。 它包含FORWARD空链,因为我已经删除了所有的规则,以便于理解。 Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP udp — anywhere anywhere udp dpt:sunrpc 2 DROP tcp — anywhere anywhere tcp dpt:sunrpc Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination 1 DOCKER-OVERLAY […]
我目前在我们的服务器上有相当多的规则,我用它来监视它: iptables -vL 这显示数据包击中每个规则,但有没有办法只显示DROP规则? 我不感兴趣看到ACCEPT规则等,因为它占用了太多的空间。
我们有一个在Centos7上运行的postgres数据库。 里面有很多数据。 现在我们编辑了我们的iptables-script,并重新执行了它。 我们需要在运行iptables-script(防火墙)后重新启动postgres-service吗?
我有一个局域网,一台服务器和一台虚拟机 lan: 192.168.50.0/24 linux server: 192.168.50.3 linux VM guest: 192.168.50.1 (with apache) 我希望Linux服务器将所有请求从局域网和端口80redirect到192.168.50.1:80 我用这些没有结果: – / iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.50.1:80 iptables -A FORWARD -p tcp -d 192.168.50.1 –dport 80 -j ACCEPT iptables -A POSTROUTING -t nat -s 192.168.50.1 -o eth0 -j MASQUERADE ip_forward is […]
我做了以下的iptables规则文件: *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :sshguard – [0:0] -A INPUT -i enp3s0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT -m comment –comment "Allow incoming SSH" -A INPUT -i enp3s0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT -m comment –comment "Allow outgoing SSH" -A […]
我login并丢弃数据包发送到特定的IP /域名。 我想能够logging这些丢弃的数据包的URL参数。 这是一个例子url: http://somedomain.com/test.php?param1=test1¶m2=test2 这就是我在做什么,例如: iptables -A OUTPUT -p tcp -d somedomain.com –dport 80 -m string –string 'param1=' –algo bm -j LOGGING 在LOGGING链中: iptables -A LOGGING -j LOG –log-prefix "somedomain.com Packet Dropped: " –log-level 7 我尝试了这些选项没有任何成功: –log-ip-options –log-tcp-options 基本上,我希望能够从tcpdump获得相同的相关信息,但因为我丢包,你知道故事,我不能在这里使用tcpdump(据我了解)… 是否有可能使用iptables日志(以文本文件?!)来获取丢弃的数据包的URL查询string? 在这个例子中,这将是: param1=test1¶m2=test2 我对这一切的了解都接近于零,所以如果这是一个愚蠢的问题,请原谅。 谢谢
conntrackd正在经历一个奇怪的问题。 我创build了一个具有主动/备份场景的环境,其中会话将在故障切换后被复制到备份中,反之亦然。 我遵循的工具和其他教程,几乎使用相同的configuration的官方手册 。 问题 我使用wget或ssh创build了几个tcp会话,我可以看到在conntrack -L和conntrack -E -p tcp创build的会话 root@master:/home/master# conntrack -L udp 17 22 src=xxx190 dst=xxx sport=138 dport=138 [UNREPLIED] src=xxx dst=xxx190 sport=138 dport=138 mark=0 use=1 udp 17 4 src=xxx9 dst=255.255.255.255 sport=11235 dport=11232 [UNREPLIED] src=255.255.255.255 dst=xxx9 sport=11232 dport=11235 mark=0 use=1 udp 17 21 src=xxx26 dst=255.255.255.255 sport=17500 dport=17500 [UNREPLIED] src=255.255.255.255 dst=xxx26 sport=17500 dport=17500 mark=0 use=1 […]
我是一群在私有和公有IP的云中的主机。 到现在为止,我可以公开地以任何方式公开访问所有主机。 现在,我想禁止从外部访问所有这些主机,并build立一个VPN。 我创build了一个VPN服务器,一切工作正常 – 我可以很容易地看到我的内部networking。 这是我目前面临的这个问题。 所有的主机都通过公共DNS访问,这个DNS拥有所有主机的公有IP地址。 我想要一种将所有公共IP转换为私有IP的方法。 例如,假设我有两台主机,其IP地址如下: Host 1: Private IP: 10.1.0.5 Public IP: 1.2.3.4 Host 2: Private IP: 10.1.0.6 Public IP: 5.6.7.8 如果我访问5.6.7.8(1.2.3.4),我想让服务器把它翻译成10.1.0.6(10.1.0.5)。 是否可以通过iptables? 到目前为止,我尝试了以下内容,但没有任何改变 iptables -t nat -A OUTPUT -d 5.6.7.8 -j DNAT –to-destination 10.1.0.6
研究高级防火墙策略(APF)与暴力检测系统(BFD)和Fail2Ban的区别我找不到。 他们使用不同的方法,同时这两个解决scheme基本上做同样的事情 – 他们分析日志文件,并基于预定模式通过iptables阻止侵害IP。 不过,有很多教程解释了如何在同一个系统上设置APF和Fail2Ban,所以它们不会在iptables中覆盖彼此的条目。 在那里,我感到困惑:为什么要安装两个防火墙,它们做同样的事情? 或者我错过了什么? 他们互补吗? 他们有没有做其他解决scheme不能做的事情?
执行 iptables -F 是非常危险的,如果您的一个或所有链条的默认政策是DROP 我想在bashrc使用别名 alias iptables -F="echo \ 'WARNING: due to the DROP default rule, flushing all rules would lock you out'" 但是这不起作用。