我阻止了与iptables的所有连接,只允许回送: iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP 接下来,我想只允许SSH连接,我也想logging每个尝试访问端口22的IP地址使用最近module.then我想看看是否该IP地址试图连接2次或更多次最后60秒,如果不是,则接受数据包: iptables -A INPUT -p tcp –dport 22 -m recent –set –name ssh –rsource iptables -A INPUT -p tcp –dport 22 -m recent ! –rcheck –seconds 60 –hitcount […]
我有一堆使用Windows SNMP代理configuration的Windows服务器。 每个服务器有四个IP地址,SNMP全部监听。 我的监控服务器(这是与net-snmp 5.3.2.2的Centos 5.5 32位)有一些非常奇怪的事情。 如果我closures了iptables ,那么在任何这些服务器上的任何IP地址上执行snmp查询都没有问题。 如果我打开IPtables,那么我只能查询每台服务器上只有一个特定的IP地址。 snmpget Timeout: No Response from xxxx 。 关于允许哪些IP地址连接到这种行为没有模式。 但是每台机器只有一个IP地址。 这是我的iptablesconfiguration: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT […]
我想logging所有不是源于局域网的INPUT数据包用于审计目的,我有一个tcpdump脚本基本上附加到一个文件的结果: tcpdump "(dst net 192.168.0.0/24 and ! src net 192.168.0.0/24)" 不过,我在/ var / log / syslog中看到了一些外部尝试 [567325.985994] iptables INPUT denied: IN=eth1 OUT= MAC=….. SRC=69.163.149.200 DST=192.168.0.2 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=50281 DF PROTO=TCP SPT=51380 DPT=1194 WINDOW=5840 RES=0x00 SYN URGP=0 [567895.076532] iptables INPUT denied: IN=eth1 OUT= MAC=…. SRC=72.21.91.19 DST=192.168.0.2 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=TCP SPT=80 […]
我如何允许HTTP访问$ EXTIF? *nat -A POSTROUTING -o "$EXTIF" -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] #If this is changed to DROP than clients cannot connect out. :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A INPUT -j LOG -A FORWARD -i "$EXTIF" -o "$INTIF" -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT […]
我已经build立了一个家庭服务器作为路由器/ NAT工作。 这是用IPtables转发规则完成的。 现在我想阻止某些网站,如Facebook。 我以为我可以将127.0.0.1 facebook.com添加到服务器上的/etc/hosts ,但客户端(我的)计算机仍然可以访问/ ping域。 我也在运行绑定,也许这可以做到这一点? 感谢您的帮助。
我无法通过SSH访问我的新服务器。 我现在有一台服务器按照我想要的方式工作,而我正尝试以不同的方式工作。 我复制了我的用户文件(/ etc / passwd,/ etc / shadow,/ etc / group和/ etc / gshadow)和/ home文件夹(包括/home/*/.ssh)。 我甚至在新机器上添加了一个新用户(testuser),并使用它来testingssh设置。 / etc / ssh / sshd_config和/ etc / ssh / ssh_config都是一样的,就像iptables规则一样。 当我尝试使用PuTTY使用旧服务器的设置副本(当然地址除外)login到新服务器时,出现错误: 已断开连接:不支持可用的身份validation方法 在/ var / log / secure文件中,我得到这一行: sshd [6562]:从xxx.xxx.xxx.xxx收到断开连接:14:不支持可用的身份validation方法 旧的和新的服务器都运行centOS 我还能在哪里find可能closures的configuration? 谢谢。
目前NAT主机和各个客户端都能够访问任何服务。 我喜欢NAT主机(运行IPTABLES的设备)只能访问HTTP(S),DNS和发送/响应ICMP请求。 我希望$ INTIF后面的内部客户端只能访问HTTP(S)和DNS。 我尝试了多港口,但我运气不大。 我接受其他build议。 *nat -A POSTROUTING -o "$EXTIF" -j MASQUERADE COMMIT *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -p tcp -i eth1 –dport 22 –sport 1024:65535 -m state –state NEW -j ACCEPT -A INPUT -i "$INTIF" -p udp –dport 53 -j ACCEPT -A INPUT -m conntrack –ctstate […]
我有两台服务器,一台Web服务器和一台ssh服务器。 目前我有负载平衡器后面的Web服务器,而SSH服务器有一个子域指向它。 我希望它可以直接SSH到我的裸域,而不必指定子域。 现在用户必须通过x.domain.com而不是domain.com来访问ssh。 我想将我的裸域的ssh和wwwstream量路由到后端的不同框。 我一直在玩iptables,但似乎无法得到这个工作。 我的路由器是虚拟的,只有一个接口eth0。
我有一个在SLES上运行的postgresql实例。 我想设置它来侦听本地主机,并启用iptables来执行端口转发。 我目前的configuration postgresql.conf中: listen_addresses = 'localhost' port = 5432 pg_hba.conf的: local all all md5 host all all 127.0.0.1/32 md5 host all all 0.0.0.0/0 md5 iptables(通过iptables -t nat -I PREROUTING -p tcp –dport 5432 -j REDIRECT添加的规则iptables -t nat -I PREROUTING -p tcp –dport 5432 -j REDIRECT ): Chain PREROUTING (policy ACCEPT 441 packets, 54049 bytes) […]
这是我的设置: 所有节点都运行Ubuntu 10.04 LTS 我有一台机器node1 ,充当专用networking的代理服务器。 它将端口80和443上的所有传入连接转发到我的networking服务器node2 ,它具有10.182.33.141的私有IP并且没有公共IP。 我还有其他几个节点: node3是一个数据库服务器, node4是一个memcached服务器等,它们都有一个私有IP,没有公有IP。 我还希望node1充当防火墙,同时仍然将端口80和443转发到node2 。 configurationnode1开始充当防火墙的最佳方式是什么? 有什么办法来testing防火墙的安全性? 任何方向非常感谢! 对不起,如果之前已经询问过,我search了,没有find我要找的东西。 供参考:(iptables -t nat -L) Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp — anywhere node1 tcp dpt:www to:10.182.33.141:80 DNAT tcp — anywhere node1 tcp dpt:https to:10.182.33.141:443 Chain OUTPUT (policy ACCEPT) target prot opt source destination […]