我想根据源或目标IP地址自动删除一些NAT POSTROUTING规则。 我知道源和目标IP,但我不一定知道哪些策略已经存在。 例如,我可能会有这样的: -A POSTROUTING -s 10.10.10.10/32 -p tcp -m tcp –dport 80 -j SNAT –to-source 1.2.3.4 -A POSTROUTING -s 10.10.10.10/32 -p tcp -m tcp –dport 443 -j SNAT –to-source 1.2.3.4 -A POSTROUTING -s 10.10.10.10/32 -j ACCEPT 或者我可能只是有这个: -A POSTROUTING -s 10.10.10.10/32 -j SNAT –to-source 1.2.3.4 我想取消旧计算机的NAT地址,并将其分配给新的计算机。 这全是自动的,所以我不能手动查找它。 删除旧IP策略的最佳方法是什么? 我可以使用list + grep命令吗? 我通常在Windows世界中闲逛,所以我不确定在这里处理这个问题的最好方法。
我需要为mongodb数据库服务器设置iptables,这样它只允许两种types的INPUT连接: 一个连接到端口27017,monogdb的默认端口,从我们的主要networking应用程序 从我的主要networking,其中有一个不同的IP地址从我们的networking应用程序的一个SSH连接 问题是这些规则需要被链接。 这是我的尝试: iptables -A INPUT -p tcp –dport ssh -j ACCEPT # allows all connections via ssh (port 22) iptables -A INPUT -s web-app-IP -p tcp –destination-port 27017 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -d web-app-IP -p tcp –source-port 27017 -m state –state ESTABLISHED -j ACCEPT iptables -P INPUT […]
我有2个服务器,一个作为网关/路由器,另一个作为服务器。 我使用iptables来转发以下端口: 65500-65600 。 当我连接Filezilla或Total Commander ,ftp客户端知道10.10.0.1表示内部IP地址并切换到外部IP地址。 但是, Notepad++的NPPftp插件连接到服务器,但是当它切换到被动模式时,它会尝试内部IP地址并冻结。 输出: 220 ProFTPD xxx Server [10.10.0.1] -> USER www 331 Password required for www -> PASS *HIDDEN* 230 User www logged in -> TYPE A 200 Type set to A -> MODE S 200 Mode set to S -> STRU F 200 Structure set to F […]
我正在寻找一种方法将1端口转发到另一个端口。 我有一台Ubuntu 14.04服务器,我在其上安装了一个侦听端口25565的游戏服务器。游戏不支持多个端口。 我需要通过端口443从另一个地方连接到这个服务器。 我如何做到这一点,以便通过端口443连接时,防火墙将转发到端口25565,以便游戏获取请求。 如果游戏想要回应,则将其传回到端口443(仅当通过443连接一个人时)。 如果有人通过25565进行连接,则通常通过25565进行响应。 我如何做到这一点与iptables?
我在Ubuntu 14.04上运行iptables v1.4.21,并试图设置iptables来使用TPROXY 。 我如何检查我的当前版本的iptables是否支持TPROXY ? 我可以使用haproxy -vv来检查haproxy -vv对HAProxy的支持, iptables有类似的东西吗? 如果没有TPROXY支持,是否存在iptables v1.4.21的TPROXY补丁? 还是另一个版本的iptables更合适?
我正在尝试访问Atlassian Crowd服务器来configuration它,它正在侦听端口8095.我可以从本地主机访问它。 如果我禁用防火墙(iptables停止),我可以从远程机器访问。 如果我启动防火墙,我不能访问了。 我给了以下命令: iptables -I INPUT -p tcp –dport 8095 -j ACCEPT 如果我从localhost运行这个命令: netstat -lnt | awk '$6 == "LISTEN" && $4 ~ ".8085" 我得到一行作为输出: tcp 0 0 :::8095 :::* 我使用相同的程序8090端口(Atlassian Confluence),它的工作。 我错过了什么? 谢谢。 – -编辑 – – iptables -nvL的输出 Chain INPUT (policy DROP 93389 packets, 16M bytes) pkts bytes target prot opt […]
我正在尝试使用iptable进行负载平衡。 我正在使用virtualbox。 所有vm(debian)都在内部networking,IP是静态的。 我想将来自我的web服务器(apache2)的IP地址10.0.0.2:80请求路由到另一个networking上的服务器10.0.0.3:80和192.168.0.2:80 IP。 网关进行IP转发,它有两个接口eth0用于networking10.0.0.0和eth1用于networking192.168.0.0 。 负载均衡器具有IP 10.0.0.2 。 我尝试设置这个规则,但它不起作用: iptables -t nat -A PREROUTING -p tcp –dport 80 -m状态–state新-m统计–mode n -every 3 –packet 0 -j DNAT – 到目的地10.0.0.3:80 iptables -t nat -A PREROUTING -p tcp –dport 80 -m state –state NEW -m统计–mode nnth –every 3 –packet 1 -j DNAT – 到目的地192.168.0.2:80
我需要过滤(发送到BANRULES集)传入的HTTP / HTTPS数据包与一定的string(matchword)。 当ssl不在使用(端口80)时,我可以轻松完成: iptables -A INPUT -p tcp -m tcp –dport 80 -m string –string "matchword" –algo bm –to 65535 -j BANRULES 但ssl在使用(端口443)时,它不起作用(因为数据包encryption): iptables -A INPUT -p tcp -m tcp –dport 443 -m string –string "matchword" –algo bm –to 65535 -j BANRULES 我怎样才能做到这一点? 谢谢。
该脚本试图限制2000端口的传入速率,当使用iptables标记INPUT数据包不起作用,但OUTPUT工作正常。 我在机器10.0.1.54上使用nc -kl 2000 ,在另一台机器上使用iperf -c 10.0.1.54 -p 2000 -t 10来testing它。 为什么OUTPUT工作,但不是INPUT ? dev=enp3s0 ip_addr=10.0.1.54 ip_port=2000 rate_limit=20kbit htb_class=10 if [ "$(id -u)" != "0" ]; then echo "This script must be run as root" 1>&2 exit 1 fi if [ "$1" = "enable" ]; then echo "enabling rate limits" tc qdisc del dev $dev root […]
我有一个工作的鱿鱼caching服务器,通过127.0.0.1:3128可访问。 我试图将所有的交通(如果可能的话,我所有的虚拟机)路由到127.0.0.1:3128。 我使用vagrant和虚拟框,这将是很好,如果我不configuration每个virtualbox使用鱿鱼(我试图caching包,以节省时间和带宽)。 谢谢