简单地说,我想要使用这些规则: iptables -I FORWARD -i br0.105 -d 192.168.0.0/16 -j DROP iptables -I FORWARD -s 192.168.0.0/16 -i br0.105 -j DROP 但192.168.99.0/24子网除外。 有没有在上面的行中指定这个方法? 我更喜欢不添加一个exception规则,用-j accept .99 -subnet,因为还有其他规则指向那个特定的子网。
我所在的公司(Softlayer)要求我为他们的监控服务开放端口范围48000到48020。 从ifconfig,这些是我的接口: eth0 Link encap:Ethernet HWaddr 06:3F:74:F6:7F:0C inet addr:10.54.12.130 … eth1 Link encap:Ethernet HWaddr 06:0C:1E:65:0E:A8 inet addr:50.23.75.242 …. 这些是我目前的iptables规则: Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all — anywhere anywhere 2 REJECT all — anywhere loopback/8 reject-with icmp-port-unreachable 3 ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED 4 ACCEPT tcp — […]
目前我正在被/wpad.dat的请求淹没 – 这种方式似乎是一种攻击。 现在,我想要做的是为每个请求/wpad.dat的IP触发iptables,然后将其添加到黑名单。 有没有办法做到这一点? 这意味着IP将能够发送一个洪水请求,然后没有。 任何干净的方式来有效地做到这一点?
我发现这个方便的脚本在线,并希望修改它只阻止SSH访问,但我不知道什么关于iptables,我害怕我杀了我的系统,因为我没有物理访问它。 http://ipinfodb.com/ip_country_block_iptables.php 我应该改变什么才能放下端口22? 我知道黑客可以使用代理等,这不会是我唯一的安全。 这个原因只是为了减less我从中国获得的有关自动攻击的fail2ban电子邮件的数量:) 谢谢Maciej
我正在运行DigitalOcean Centos 6 VPS。 以下是我用于在Centos 6.4 64位上设置iptables的脚本: #!/bin/sh service iptables stop iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p […]
notice ("This should be echoed") service { "iptables": ensure => "stopped", } 这并不能阻止iptables,我不知道为什么。 service iptables stop工作正常。 Puppet 2.6.17在CentOS 6.3上。 更新: /etc/puppet/manifests/nodes.pp node 'linux-dev' { include mycompany::install::apache::init include mycompany::config::services::init } /etc/puppet/modules/mycompany/manifests/config/services/init.pp class mycompany::config::services::init { if ($::id == "root") { service { 'iptables': #name => '/sbin/iptables', #enable => false, #hasstatus => true, ensure => stopped } notice […]
我有一个隐藏在防火墙后面的networking服务器。 我的防火墙上的DNAT规则使得来自互联网的访问者可访问。 该规则适用于来自互联网的stream量。 不幸的是,它不能工作(或只是部分)来自同一个子网的stream量与真正的目的地。 出于某种原因,netfilter不会恢复原始目标地址,因此客户端/发送者不理会应答数据包。 我究竟做错了什么? networking布局 192.168.101.0/24 # LOCAL Lan 192.168.101.16 # Client 192.168.101.18 # Server 192.168.101.254 # firewall 144.256.256.1 # firewall (Not the real IP) (Internet) | 144.256.256.1 | | | | Firewall | | | | 192.168.101.254 | | | ———————- | | 192.168.101.16 192.168.101.18 (Client) (Server) iptables规则 -t nat -A PREROUTING […]
iptables阻止传出和我的服务器上smtp,尽pipe我指定它不。 我的政策是DROP除了指定的东西。 改变政策接受一切“解决”的问题,但我不希望无限stream量在这台服务器上。 规则如下(smtp部分是最后一个): # Flush all rules iptables -F iptables -X # Allow unlimited traffic on loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow incoming and outgoing SSH iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A […]
我有防火墙规则,应该接受所有的连接,但从SSH蛮力攻击(10.0.0.0/8范围除外)删除连接。 如果每10分钟尝试超过24个连接,则此规则将阻止IP。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp –dport 22 -s ! […]
我正在用双网卡的ubuntu服务器取代运行Tomato的无线路由器。 我进入番茄路由器,发现/ etc / iptables那里,所有的规则是有道理的基础上我正在阅读。 一旦服务器安装并运行,我可能会使用webmin。 (正如我正在写这个问题,我已经复制qos和dnsmasq设置文件) 设置iptables真的和更改接口名称一样简单,并将相同的文件保存到Debian服务器上? 番茄: vlan1 (公共), br0 (私人有线)和eth1 (私人无线) Ubuntu: eth0 (public)和eth1 (private)。 具有接口名称的番茄configuration文件已更改: *mangle :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :QOSO – [0:0] -A QOSO -j CONNMARK –restore-mark –mask 0xff -A QOSO -m connmark ! –mark 0/0xff00 -j RETURN -A QOSO -p tcp -m mport –dports 80,443 -m bcount […]