我正在寻找一种方法来使用iptables为vpn用户loggingDNS查询。 我正在寻找的是在系统日志中logging新的DNS查询的源IP,loggingtypes和域名。 我曾看过http://software.klolik.org/xt_dns/,但似乎无法logging查询中使用的实际查找名称。 有任何想法吗?
好的,我使用简单的linux ftp客户端从ftp服务器下载/上传文件。 我有一个iptables防火墙阻止大部分的端口,我必须closures防火墙才能正常工作。 虽然端口21是开放的,但我想这解释了为什么下载工作,而不是上传。 以下命令与防火墙完美配合: wget ftp://user:[email protected] 当我实际连接到服务器并尝试将文件“上传”/上传到服务器时,我遇到了一些问题。 这是当时使用的端口的netstat输出示例,但总是不同的。 netstat -a | grep ServerIP tcp 0 197520 myIP.:59622 ServerIP:ftp-data ESTABLISHED tcp 0 0 myIP.:40341 ServerIP:ftp ESTABLISHED myIP范围内的两个端口都被阻塞,我无法猜测我必须打开哪些端口。 Googlesearch也会失败。 其次,如果我在iptables上尝试这样的事情,它会给我一个错误: -A INPUT -p tcp –match multiport –dport 40000:40500 -j ACCEPT iptables-restore v1.4.8: too many ports specified 其次,为什么我需要在configuration文件中阻塞端口之前打开端口? -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
我试图阻止使用此特定的IP地址stream量: sudo iptables -A INPUT -s 192.148.10.209 -j DROP 是否一个IP地址捕捉所有存在的地方,我可以阻止所有地址在192.148.10。*使用上述命令?
我在同一个地区有两个EC2实例。 让我们称他们为instance-1和instance-2 。 instance-1有一个弹性IP地址,但是instance-2没有。 我希望我的instance-1允许来自instance-2入站stream量在其iptables 。 我可以分配一个Elastic IP到instance-2并在INPUT链中添加如下所示的内容。 ACCEPT tcp — xx.xx.xx.xx anywhere tcp dpt:yyyy ACCEPT tcp — xx.xx.xx.xx anywhere tcp dpt:zzzz 其中xx.xx.xx.xx是instance-2弹性IP, yyyy和zzzz是目标端口。 但是,由于Amazon限制分配给帐户的弹性IP地址的数量为五,我不希望此实例具有弹性IP地址。 我的问题是,我可以使用内部IP地址,forms为10.xx.xx.xx,由Amazon提供给instance-2的iptables的instance-1 ? 解决scheme可能是停止使用实例级别的iptables并使用由EC2提供的安全组。 但是我对此有点担心。 我觉得在实例级别以及安全组(EC2应用)级别保护系统免受未知入站stream量影响会更好。
我在笔记本电脑上使用OpenVZ运行CentOS 6.4。 为了为VE提供Internet访问,我必须在笔记本电脑上应用以下规则: iptables -t nat -A POSTROUTING -j SNAT –to-source <LAPTOP_IP> 它工作正常。 但是,我必须在办公室,家里,合伙人办公室等不同的地方工作。我的笔记本电脑的IP地址在这些地方是不一样的,所以每当我换个地方的时候都要改变上面的规则。 我已经创build了一个基本上确定IP和应用规则的解决方法: #!/bin/bash IP=$(ifconfig | awk -F':' '/inet addr/&&!/127.0.0.1/{split($2,_," ");print _[1]}') iptables -t nat -A POSTROUTING -j SNAT –to-source $IP 上述解决方法工作。 我只需要手动执行。 也许我可以让它成为一个挂钩执行任何时候我的笔记本电脑从DHCP获取IP地址 – 我该怎么做? 此外,我只是想知道是否有一个优雅的方式来完成首先 – iptables? 也许有一个语法允许在规则中指定“当前硬件IP地址”?
我有一个静态的IPv4和一个静态的IPv6地址。 现在,我的iptables看起来像: *filter :INPUT DROP [28:2168] :FORWARD DROP [0:0] :OUTPUT ACCEPT [551:134808] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m multiport –dports 22,80,443 -m state –state NEW,ESTABLISHED -j ACCEPT -A INPUT -s 111.222.333.555/32 -i eth0 -p tcp -m tcp –dport […]
我有一个iptable规则,我允许IP的子网。 规则如下: iptables -I INPUT 2 -i eth0 -s xxxx / 24 -d xxXx -j ACCEPT 例如,我想允许子网172.16.0.0/24。 我可以面对一个像这个子网IP没有访问的问题,虽然我已经configuration这个子网允许? 我正在处理这样的问题。 我configuration了172.16.0.0/24从iptables允许,但是当我尝试从IP 172.16.0.9访问,我没有访问权限。
如何阻止本地用户访问本地端口? 示例:用户Elvis不应该有权访问同一台服务器上的端口25600。
networking服务器和MySQL服务器在没有公共互联网访问的networking上有第二个接口。 一个MySQL用户如何限制只能从私有networking和第二个接口连接? 首先,我在my.cnf禁用了bind-address bind-address = 0.0.0.0 这可以限制更多吗? MYSQL用户可以限制只能从第二个界面连接吗?
由于我用yum更新了我的CentOS服务器,现在我的一些iptable规则会在一段时间后被删除。 当我注意到服务器closures了我的端口,我可以简单地解决这个问题: service iptables restart 我的服务器重新启动closures该端口。 所以每次我做一个iptables重新启动它再次打开端口。 是的,我已经尝试使用服务iptables保存,这不会帮助我。 任何人都可以解释为什么出现这个问题?