有人可以告诉这些iptables是否相同? 版本1 $IPT -F $IPT -X $IPT -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE $IPT -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24 $IPT -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT 版本2 $IPT -F $IPT -X $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -t nat […]
这是我在iptables防火墙脚本中指定的默认规则: iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 我有很多接口和许多networking和NATing的stream量应该转发,所以我已经作为默认规则的FORWARD ACCEPT 。 接下来我有这个: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT –to-source 2.4.5.6 最后我有这个: iptables -A INPUT -i eth0 -j DROP 这个DROP规则应该只丢弃指向网关主机的数据包。 无论通过eth0进入的stream量都不会受到影响。 我的问题是,如果我有一个接口的INPUT DROP规则,是否会影响同一接口(或全局FORWARD ACCEPT链) […]
在我们的网关和我们的局域网之间,我们有一个运行iptables的桥接防火墙。 我想在防火墙中添加一个额外的网卡,并在其上设置一个私有子网。 来自该子网的来自外部地址的stream量将被NAT-ed,以便它来自网桥上configuration的IP地址。 我希望防火墙在没有NAT的情况下在我们的LAN和私有子网之间路由数据包。 我怎样才能告诉iptables,如果一个来自局域网的数据包通过这个网桥,并且发往一个私有的IP,它应该把这个数据包从附加的非桥接接口中发出去?
我正在运行一个Debian服务器,并想知道是否有很好的资源,你可以指向我,我可以在哪里阅读有关stream量限制。 我有几个用户共享一台服务器。 每个月我们只能得到1 TB的带宽(进出)。 所以我需要平均分配带宽。 我读过关于iptables,tc,hbt,但似乎无法find一个非常好的教程。
我有这个iptables和工作。 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 0:20 -j REDIRECT –to-port 8080 #bypass SSH iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 23:442 -j REDIRECT –to-port 8080 #bypass SSL iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 444:2082 -j REDIRECT –to-port 8080 #Cpanel SSL iptables -t nat […]
这是我的内部开发服务器的防火墙脚本。 我想能够与http / https出去,但我只想通过内部networking内的ssh / http访问服务器。 iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -A INPUT -i eth0 -p tcp -s 10.1.1.0/24 –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp –sport 3306 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp […]
我有一个许多用户连接到的Linux服务器。 我使用Squid进行http访问,但是我需要一个可以根据MySQL数据库将访问控制权授予不同端口的软件。 IPtables是伟大的,但我需要的东西,将与MySQL一起工作,并授予基于某些中频条件的控制。 谢谢
我正在尝试在Ubuntu上configurationiptables。 我有服务器设置为使用Squid的透明代理工作正常。 此时只有端口80通过nat iptables被redirect到SQUID。 我基本上想要允许80,443,VOIP(SIP)和电子邮件协议,并阻止其他一切。 目前我有以下。 sudo iptables -A FORWARD -j ACCEPT -p tcp –dport https sudo iptables -A FORWARD -j ACCEPT -p tcp –dport pop3 sudo iptables -A FORWARD -j ACCEPT -p tcp –dport imaps sudo iptables -A FORWARD -j ACCEPT -p tcp –dport imap2 sudo iptables -A FORWARD -j ACCEPT -p tcp –dport […]
我负责通过防火墙端口转发服务器,通过互联网提供单一服务(ssh)。 ssh服务login仅限于encryption密钥(不允许使用密码)。 每周几次,我看到以下types的防火墙日志(当然有点混淆): [UFW BLOCK] IN= OUT=eth0 SRC=192.168.xx DST=211.224.108.50 LEN=48 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=29364 WINDOW=14600 RES=0x00 ACK SYN URGP=0 源端口始终是22,目的IP总是海外(在这种情况下,韩国),似乎是恶意的。 我已经把服务器locking了,但是我不太了解SSH和TCP协议要有信心,而且我不喜欢这样的事实,就好像我的服务器正试图联系陌生人。 这种通讯从来没有发生在合法的ssh会话期间。 我应该担心吗? 还有什么奇怪的日志,我的眼睛没有发现? 编辑:我已经尝试了一些简单的事情(如尝试的密码身份validation)重现使用SSH客户端阻止的连接,没有成功。 如果我可以重现它会很好。
我有以下问题。 我有使用防火墙标记的SA。 所以只有具有该标记的数据包才能被编码和解码。 我设法设置应该被编码的数据包的标记,但是我不能让对方工作。 我有传入的数据包需要解密,我需要为这些设置正确的标记。 我实际上可以使用下面的命令设置标记: iptables -t mangle -A PREROUTING –proto esp -j MARK –set-mark 1 但是该规则匹配所有传入的esp数据包。 但是我会有多个SA,我需要设置不同的标记。 我尝试使用reqid或spiselect,但只要我尝试,规则不匹配任何东西。 有人可以帮我得到iptables命令吗? 最好的祝福, 斯特芬 root@vpn-b:~# setkey -D 10.5.0.2 10.5.0.1 esp mode=tunnel spi=3296784692(0xc480f134) reqid=1(0x00000001) E: aes-cbc c5eb72ab 906d5717 67e405f5 cfe73f7a A: hmac-sha1 6935290e e51f0965 06577876 0d6237d6 45a0083d seq=0x00000000 replay=32 flags=0x00000000 state=mature created: May 15 22:23:06 2012 current: […]