我正在使用netfilter_queue从内核中获取某些数据包,并对其进行一些处理。 对于netfilter队列,我需要来自特定源的所有数据包, except UDP packets with src port 2152 & dst port 2152. 我尝试添加iptable规则 iptables -A OUTPUT ! s 192.168.0.3 ! -p udp ! –sport 2905 ! –dport 2905 -j NFQUEUE –queue-num 0 iptables抛出一个无效参数的错误。 查询dmesg,我看到下面的错误打印 ip_tables: udp match: only valid for protocol 17 我已经尝试了下面的变化与抛出相同的错误。 iptables -A OUTPUT ! s 192.168.0.3 ! -p udp –sport 2905 […]
我正在使用Squid代理3.1,局域网内的所有系统通过代理连接到互联网。 使用网关服务器的iptables阻止直接连接。 有些设备没有自动代理或手动代理的选项,只能直接连接到互联网。 所以我启用了Squid中的透明代理,并使用iptables将端口80和443的数据包redirect到Squid代理。 现在问题是HTTP端口工作正常,但HTTPS不工作。 这是抛出“ssl_error_rx_record_too_long”错误。 如果通过透明代理不可能,请给我build议另一个解决scheme。 温暖的问候 Supratik
我有两个网卡。 eth0连接到Internet,eth1连接到LAN。 我想限制使用iptables和linux tc的下载限制。 所以我写了一个testing脚本来validation它是否工作。 我的iptablesconfiguration如下。 iptables -t mangle -N INBOUND iptables -t mangle -I PREROUTING -i eth0 -j INBOUND iptables -t mangle -A INBOUND -j MARK –set-mark 60 我的入口configuration如下。 tc qdisc add dev eth0 handle 1: ingress tc filter add dev eth0 parent 1: protocol ip prio 1 handle 60 fw police rate 100kbit […]
我正在为我的团队configuration一个复杂的防火墙。 我们正在查看六个不同types的安全区域和stream量的接口。 我有一个很好的logging,干净的防火墙configuration脚本,但如果我运行iptables保存,结果当然没有评论。 结果也将与我们logging的政策不同步。 有没有一个很好的,干净的方式,我可以在Redhat上使用我自己的configuration文件,而不需要取消Redhat的Rube Goldberg脚本? 同时,我想确保那些相同的脚本不会跺脚我的configuration,或者,例如,当有人执行ifdown / ifup时,将防火墙彻底打开。
我使用基于iptables的MAC访问限制。 我列出了我想允许访问的用户的MAC ID,然后放下rest。 而当我运行iptables -vL它显示所有的MAC地址和它们的用法:数据包传输,数据在字节。 所以我的问题是: 是否有可能使它显示兆字节的数据使用情况? 我可以对其进行sorting,以使重度用户的MAC ID达到最高? 最后,我可以将数据保存到磁盘,可以将数据保存到数据库中,这样可以重新启动并保存数据。
我迷失在Linux中,有人可以帮助我一个iptables命令,只允许IP地址5.5.5.5访问端口22? 我已经将该端口限制在EC2安全组中的相同IP上,但是我也需要在实例本身上阻止它。
如果我想阻止从000.00.000.26到000.00.000.37连续的IP地址,我可以发出这个命令12次单独封锁每个IP: iptables -A INPUT -s 000.00.000.26 -j DROP 有没有办法修改语法,以便用一个命令来阻塞所有12个地址?
好吧,我开始深入networking昨天,只是安装我的Ubuntu服务器,所以我是一个完整的noob。 我想问一下iptables中的input/输出/输出链是什么? 说我想打开端口22 ssh访问,我需要使用所有3这些? 或者只是其中的一个? iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –dport 22 -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -j ACCEPT 谢谢!
我想给一个小时的tcp端口3306的IP访问。 之后,所有连接必须closures。 我如何添加一个超时到以下expression式? iptables -A INPUT -m state –state NEW -m tcp -p tcp –source 1.2.3.4 –dport 3306 -j ACCEPT
我尝试redirectssh-traffic从一台机器到另一个bash sctipt: IPTABLES="/usr/sbin/iptables" $IPTABLES -F $IPTABLES -X $IPTABLES -F -t nat $IPTABLES -X -t nat $IPTABLES -F -t mangle $IPTABLES -X -t mangle $IPTABLES –policy INPUT ACCEPT $IPTABLES –policy FORWARD ACCEPT $IPTABLES –policy OUTPUT ACCEPT $IPTABLES -t nat -A POSTROUTING –out-interface ppp0 -j MASQUERADE $IPTABLES -t nat -A PREROUTING -p tcp –dport 22 -j DNAT […]