我有一个主机,必须pipe理端口25上的stream量,然后路由到KVM机器上的端口25,作为postfix deamon,如下所示: WAN –> (25) HOST_MACHINE –> (25) KVM_VM_WITH_POSTFIX_DOVECOT 我已经打开了端口25(和其他),并将此规则添加到iptables: iptables -t nat -A PREROUTING -p TCP –dport 25 -j DNAT –to-destination 192.168.122.201:25 现在我的笔记本电脑可以连接到postfix服务器并发送电子邮件,但KVM机器无法连接到其他邮件服务器(连接超时)。 所以我试着用KVM连接到另一台邮件服务器: telnet mail.example.com 25 上面的iptables规则启用,我无法连接。 但是,如果我从链中禁用它,我可以连接到外部服务器。 我错在哪里?
我能够使用下面的snat规则使NAT工作: iptables -t nat -A POSTROUTING -o em2 -j SNAT –to 192.168.2.2 我的问题是:当我发出命令时为什么不显示这个规则: iptables -L 甚至 iptables -L -v
我试图通过iptables(8) REJECTnetworking,无论出于什么原因,它不这样做: # cat /etc/redhat-release Red Hat Enterprise Linux Server release 6.6 (Santiago) # uname -a Linux X 2.6.32-504.16.2.el6.x86_64 #1 SMP Tue Mar 10 17:01:00 EDT 2015 x86_64 x86_64 x86_64 GNU/Linux # rpm -q iptables iptables-1.4.7-14.el6.x86_64 # service iptables restart iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ […]
我想创build一个规则使用firewalld使用标准的用户名或用户名,也许还有一个其他模块标准。 在iptables中,我认为你可以做类似的事情 iptables -A OUTPUT -m owner –uid-owner <UID> -j ACCEPT (你可以添加其他-m模块或-p协议到同一个命令) 但是我读了firewall-cmd manpage ,我找不到如何做出同样的规则。 即使“富有的规则”似乎也没有这种支持。 我必须使用“直接”function吗? 我不太明白它的语法。 特别是它让我感到担心,这些都没有回报! firewall-cmd –direct –get-chains ipv4 filter firewall-cmd –direct –get-rules ipv4 filter OUTPUT firewall-cmd –direct –get-rules ipv4 filter INPUT 当然, iptables -L显示我有这些表,链和规则。 那么如何添加一个永久的规则与所有者,也许使用firewalld一个更多的标准?
我正在尝试设置高度可用的AWS Magento部署。 这里有一个参考部署: http : //docs.aws.amazon.com/quickstart/latest/magento/architecture.html 基于这一点,我想build立自己的,我喜欢他的想法,只有NAT实例在公共子网。 RDS实例和Web服务器都在私有子网的NAT后面。 我发现这与我迄今为止的大部分理解都有所不同,那就是networking服务器必须位于公共子网中才能够从互联网访问。 我缺less的是如何configuration在公有子网中运行的NAT实例,以便将端口80/443端口转发到专用子网中的NAT后面相应的networking服务器。 我不相信这可以通过单独的NAT实例上的安全组来完成。
我们已经安装了iptables,它允许TCP / UDP端口111 2049 32769 32803 892 ..我在/ etc / sysconfig / nfs中进行了以下更改 RPCMOUNTDOPTS =“ – p 892” 和 /etc/sysctl.conf中 fs.nfs.nlm_tcpport = 32803 fs.nfs.nlm_udpport = 32769 根据redhat文档中的规定,在Redhat / Centos 7中的防火墙之后运行nfs ref – https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Storage_Administration_Guide/nfs-serverconfig.html 仍nfs没有绑定到这个提供的端口,并采取任何限制任何客户端连接到nfs由于iptables的随机端口..我们不能阻止iptables .. 尝试与rpc.mountd -p 892这个命令,但似乎不工作.. o / p – rpcinfo -p 程序vers proto端口服务 100000 4 tcp 111 portmapper 100000 3 tcp 111 […]
我有CentOS 6 x86_64 vps服务器。 我刚刚创build了下面的iptables。 但它给出了一个错误消息。 我在这里做错了什么? *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :SERVICE – [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 4 -j ACCEPT -A INPUT -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp -m […]
我想路由本地pptp服务器的HTTPstream量使用Polipo http_proxy 。 所以我发现这个QA: IPTABLES:通过透明的Squid路由VPN用户 但我testing我的系统和更改iptables规则从3128到8123像这样: iptables -t nat -A PREROUTING -i ppp+ -p tcp –dport 80 -j REDIRECT –to-port 8123 当我想从浏览器中获取任何网页时,我看到了Polipoconfiguration页面! 我是否缺less设置iptables规则?
我有一个服务器的根访问,我打开了4022端口的SSH和它以前工作得很好,今天我尝试通过SSH连接在我的服务器上,但没有发生,所以我通过Nmap检查,它显示我4022被过滤,所以我怎么能再打开它? 我testing这个, /sbin/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 4022 -j ACCEPT 但它不再工作?!
我试图find一个工具,使我能够find一个数据包将要进入的设备上的路由,并有一个特定的目标地址。 ip route get将做大部分我正在寻找。 问题是,我想testing数据包是否在路由环境相当复杂的情况下find正确的路由。 理想的工具将允许欺骗具有fwmark(或其他属性)的通用数据包,并且可以通过整个IpTables链和ip route / ip规则集来发送它,或者只是find将被返回的路由。 我希望能够运行一个命令来validation一组特定的路由按预期工作。 最低要求是像ip route get但与fwmark支持。 虽然,在这一点上,任何build议testing工具的路由将不胜感激! 随着路线的堆积,它变得非常复杂。