使用–dport参数可以在单个规则中指定多less个端口? 前 – iptables -A INPUT -p tcp –dport {0,5,10,15,20,25, etc,,??} -j ACCEPT
这花了我整天的工作,所以我想我会得到这个logging在这里! 我有一个使用NAT的LibVirt主机,而不是为托pipe的虚拟机桥接,使用安装时由LibVirt构build的默认IPTables规则。 我可以使用虚拟CD安装操作系统,然后获得完整的Internet连接,但是由于TFTP *在PXE启动方面更为复杂,伪装似乎不会将TFTP回复传递给虚拟机。 我可以看到来自tcpdump的各种实例的以下数据包序列: VM udp / ephemeral到LibVirt主机udp / 69请求文件 LibVirt主机udp /短暂到TFTP服务器udp / 69请求文件 TFTP服务器udp / ephemeral2到LibVirt主机udp /短暂的 在这一点上没有进一步的传递和虚拟机tftp客户端超时。 我尝试使用内核模块ip_conntrack_tftp / nf_conntrack_tftp和ip_nat_tftp / nf_nat_tftp,但这并没有帮助。 *虽然客户端到服务器的初始请求在udp / 69上,但是从服务器到客户端的回复来自一个伪随机临时端口。
我正在尝试在我的设备上configurationiptables,以便只允许SSH和HTTPSstream量。 特别是,HTTPS协议用于从java客户端向远程服务器调用某些REST API 。 这是我的iptables: iptables -F iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #SSH iptables -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT #DNS iptables -A OUTPUT -p udp –dport 53 -j ACCEPT #HTTPS […]
我试图只接受来自我的白名单端口53,80和443的连接。 这是我的iptables文件 # Generated by iptables-save v1.4.21 on Thu Feb 25 18:28:29 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT –reject-with icmp-port-unreachable -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state –state […]
我们的一个SSH服务器作为jumphost。 用户只能进入某些目标主机。 这可以用iptables来完成,但目前这不是所需的解决scheme。 我检查了man ssh_config ,看看是否可以在系统范围内configurationssh_config ,但没有发现提示。 除了iptables有什么想法来实现这个吗?
我正在更换我的网站example.org的服务器。 旧服务器的IP不能用于新服务器。 我想以零停机时间replace旧的服务器。 在example.org上运行着许多不同的服务,它不仅仅是一个web服务器应用程序,它也是一个邮件服务器,git服务器,笨拙的服务器等等。 我的想法是: 获取服务器的数据同步,以便新的服务器具有旧服务器的相同副本的数据 更新域名以使example.org指向新的IP 在旧服务器上,设置iptables规则,将http,https,smtp等所有stream量redirect到新服务器。 我不确定使用哪个IP规则,所以可以使用一些帮助。 现在,这听起来不错,但我觉得会有SSL的问题。 例如,如果用户Alice在浏览器中导航到example.org并且parsing为旧IP,由于DNS更改还没有传播给她,然后旧IP将她redirect到新IP,所以我认为她浏览器会吓坏了。 它会看到新的IP使用SSL证书example.org,而example.org明显parsing为一个不同的IP,旧的IP,因为DNScaching不更新为Alice。 所以Alice会在浏览器中看到一个巨大的红色SSL警告,说新的IP不是example.org。 邮件服务器(SSL smtp)和example.org上运行的其他服务也会出现类似的问题。 我如何解决这个问题? 一个理想的解决scheme是以某种方式使用iptables,以便旧服务器代理新服务器,而不是将用户redirect到新服务器。 这样DNScaching没有更新的用户就会这样通信:[user] <—> [old server] <—> [new server]。 他们甚至不知道新服务器是否存在,对于他们来说,看起来就像他们与旧服务器通常的通信。 我这个代理解决scheme唯一的问题是,新服务器将看到旧服务器的源IP,而不是用户的。 这可能会破坏很多事情,例如Fail2Ban可能会阻止旧服务器的IP 10分钟,因为有些用户几次input不正确的邮件密码,实质上拒绝将邮件服务器访问到没有更新DNS的所有其他用户使用代理。
在我们的networking工作中,我们有一个在我们和互联网之间的鱿鱼代理。 它的主要function是cachingWindows更新。 但是,有时候,我们的squid代理的外部接口有大量的stream量进入,但是没有被任何客户端机器读取。 此stream量始终来自llnw.com或msecn.net。 它持续不同的时间,几乎占用了我们所有的带宽。 Netstat -p确认squid是打开连接的程序。 这是什么原因造成的?
我有一个networking,我的广域网(一个CableModem)进入一个(可疑configuration)的Ubuntu盒子,作为整个公司的路由器。 我们最近转换了我们的ISP,我们得到一个非常奇怪的行为。 在Vista / Server 2008机器上,有些网站不工作。 这来了一下,但有一个,www.dilbert.com从来没有工作。 过去几个星期我们一直在做这个实验,这些是我们迄今为止发现的东西… Linux服务器本身可以加载Dilbert主页 Windows XP / 2003的机器工作完美 Windows Vista / 2008机器有问题 有时,在我的机器(2008),在FireFox,页面加载。 例如,它从不在Chrome中加载。 现在,一旦它加载到Firefox,如果我按F5,它立即死亡,它只加载一次。 错误是“连接被重置” 重新启动我的机器,路由器,cablemodem等,将不会再次加载,我仍然“连接重置”,它也不能从其他机器工作。 然后一段时间(天),它会再次加载, 一次 。 另外,我有时可以打开telnet连接(使用Windows telnet客户端)到www.dilbert.com:80并执行“get /”,在这种情况下,我得到一堆HTML,并且连接closures。 现在,如果我再次打开相同的连接,它会连接,但只要按下“g”,它就会断开连接。 这是我能find的最低级别的信息。 使用“Fiddler”来检查networkingstream量,在一些浏览器中,请求显示“响应状态0”,一个空的响应,没有错误的细节。 与其他浏览器,甚至不出现。 最后,如果我将cablemodem直接连接到2008个人电脑,没有中间的路由器,一切都很好,所以我99.99%确定问题是在我的networking,而不是我的ISP。 现在,我最好的猜测是,这是Vista的networking层(据我所知,是从XP改写的,不一样)和Ubuntu的一些奇怪的互动。 这就是我得到的。 除此之外,我完全傻眼了,开始相信我的build筑有一个诅咒。 你们能想出任何可能的想法吗?我可以做些什么来解决/诊断? 注:我知道没有关于Linux,虽然我可以运行命令,如果你能想到的东西,会给我一些有用的信息。 谢谢! 丹尼尔
我最近设置了一个运行Gentoo的新VPS(我第一次使用发行版,请原谅我这是一个非常简单的),正如我已经与其他服务器安装fail2ban。 设置它通过iptables阻止主机,太多的不成功的login与SSH。 但是,我收到了一个奇怪的错误,我无法解决。 当我启动fail2ban时,我在错误日志中得到了这些行 2009-11-13 18:02:01,290 fail2ban.jail : INFO Jail 'ssh-iptables' started 2009-11-13 18:02:01,480 fail2ban.actions.action: ERROR iptables -N fail2ban-SSH iptables -A fail2ban-SSH -j RETURN iptables -I INPUT -p tcp –dport ssh -j fail2ban-SSH returned 100 如果我尝试强制禁止这些错误在日志中显示,并且主机不被禁止 2009-11-13 11:23:26,905 fail2ban.actions: WARNING [ssh-iptables] Ban XXX.XXX.XXX.XXX 2009-11-13 11:23:26,929 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-SSH […]
我在一台服务器(在debian lenny testing上运行)上安装了Hudson deamon。 一切工作,直到我进行升级。 此时,Hudson不能通过端口8080访问(这是使用的默认端口)。 我已经查找了iptables的问题,但是端口8080在INPUT和OUTPUT打开。 在/ etc / default / hudson中的configuration文件似乎没问题,我没有碰它。 如果我做一个ps aux | grep哈德森,哈德森deamon正在运行。 更新1 :对我来说,真正奇怪的是在/var/log/hudson/hudson.log中我没有得到任何错误: [Winstone 2010/02/10 17:10:04] – Control thread shutdown successfully [Winstone 2010/02/10 17:10:04] – Winstone shutdown successfully Running from: /usr/share/hudson/hudson.war [Winstone 2010/02/10 17:10:43] – Beginning extraction from war file hudson home directory: /var/lib/hudson [Winstone 2010/02/10 17:10:44] – HTTP […]