Articles of iptables

我如何让我的服务器到自己的FTP?

我在RHEL6上,我试图在wordpress上自动更新,但ftp和sftp连接失败。 我怀疑它至less是testing从我的防火墙不允许的服务器内的连接。 我把这一行添加到/ etc / sysconfig / iptables中,但是仍然没有工作。 有任何想法吗? -A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

如何全局限制与iptables的TCP连接总数?

我有一个相当困难的时间搞清楚如何拒绝入站和出站连接从一台机器与iptables一旦TCP连接总数达到全局最大值,而不考虑源端口或目标端口。 所有来源/目的地/港口必须包括在内。 这可能与iptables?

如何在Debian 7上激活iptables?

我想我已经要求iptables删除端口8091的任何数据包,但tcp连接仍然成功。 $ iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT $ iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT $ iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT $ iptables -A INPUT -i eth0 -j DROP $ iptables -L Chain INPUT (policy ACCEPT) target prot opt […]

如何删除指向iptables链中的所有规则?

我有一套我为networking监控,控制等devise的脚本。 我在这些脚本中做的一件事就是创build一个iptables链,比如iptables -N mychain 。 然后,我将规则插入到主表中,以便无论我希望他们在那里拥有什么目的,都可以将数据包送到我的自定义链中。 我的问题是:我有一个脚本,执行“刷新” – 换句话说,它删除所有规则,并重新开始。 如果出现任何奇怪的exception情况,这是有用的。 即使有pipe理部分的东西,人们通常仍然会手动pipe理iptables。 (这就是为什么我要把所有的工作都放在一个单独的桌子上。) 如果我想清除我的链,那很简单: iptables -F mychain 。 但是我不知道如何去做的是删除任何我可能创build的链接返回链接(INPUT,OUTPUT等等)的规则。 让我们假设我的应用程序中有一个错误,或者是一个用户摆弄,最后搞乱了表格,并且不知何故将规则添加到了INPUT链中两次。 现在数据包会经过两次链 – 被算两次,被路由两次,不pipe怎样。 显而易见的解决scheme是通过主链,并删除任何跳转目标是我的自定义链的规则。 但我不知道该怎么做。 以下是我们可以设置的最坏情况的一个例子: iptables -N TEST iptables -A INPUT -j TEST iptables -I INPUT 1 -p tcp –dport 1234 -j TEST iptables -I INPUT 1 -p tcp –dport 1234 -j TEST # again, […]

iptables命令清除所有现有的规则

我的服务器是红帽企业Linux服务器版本5。 什么是正确的/正确的命令来清除/etc/sysconfig/iptables定义的所有现有iptables规则(以便我可以开始定义/添加我的新规则)?

iptables让我通过FTP连接,但我不能得到dir列表

可能重复: 允许使用IPTables的FTP 我有一个相当严格的iptables规则集,下面的规则允许我通过ftp连接 iptables -A INPUT -p tcp –dport 21 -j ACCEPT 客户端可以正常连接,但事实就是如此,ftp客户端的以下输出可能会有所帮助: Command: MLSD Error: Connection timed out Error: Failed to retrieve directory listing 当我停止IP表一切正常工作 CentOS版本5.5(最终版) 的proftpd-1.3.3c -3-

如何干净地默默地重新加载iptables规则?

我有非常复杂和长的iptables脚本。 通过手动插入/replace或删除,不可能在现有的iptablesconfiguration上进行操作。 我有一个脚本,只需刷新所有规则和自定义链,然后重新从零开始加载所有内容。 这种方法在一定程度上运作良好。 我有很多敏感的stream量,比如封装在IP数据包中的E1线路等等。 我不能放弃所有规则并重新插入,因为这太慢了。 如果没有超过50ms的规则,许多东西就会中断。 除此之外,一些高吞吐量的stream量会进入部分恢复的防火墙,最后导致非常不好的conntrack条目,这需要手动干预来恢复function。 解决办法是在当前的末尾添加新的规则,然后删除旧的规则,这在理论上可以导致连续的规则集。 问题是,具有自定义链,ipset等的脚本变得非常复杂和容易出错。 问题是 – 你知道任何现有的解决scheme(在iptables之上的额外层),处理我在这里提到的问题? 提前致谢。

iptables匹配的规则

如果一个规则与数据包相匹配,并且具有-j DROP ,我知道数据包将停止遍历其余规则。 但是,我不明白如果数据包将符合规则与-j接受会发生什么? 它会再次停止遍历整个规则,否则将尝试匹配其他规则? 换句话说,如果一个球员有很多规则要匹配,会发生什么。

Fail2ban关于禁止IP和HTTP的build议

我最近安装了fail2ban,作为保护我们的Web服务器之一免受SSH攻击和HTTP攻击的一种方式。 目前我得到很多ssh攻击,但是fail2ban禁止,然后解除这些攻击。 他们是永久禁止这些IP由于攻击水平的一种方式。 另外在fail2ban中如何做到允许来自某个IP的HTTP请求,所以这些都不会被禁止,因为我们的开发人员会在/ var / www / dev文件夹下发出很多奇怪的请求来显示文件不存在等。 所有的build议欢迎欢呼

DD-WRT,http转发TCP端口80不能从WAN工作?

我在我的路由器上运行DD-WRT固件,版本DD-WRT v24-sp2(12/12/11)std 。 我试图将端口80上的http通信端口转发到我的PC的本地IP 192.168.2.97 ,虽然我可以浏览我的局域网上的托pipe站点,但当我尝试从远程IP站点时,我得到“ 连接超时 ”。 有人可以看看在这里链接的iptables转储,并帮助我find适当的iptables语法来使用端口转发正常工作? 我对iptables非常陌生,并且对如何制定必要的语法感到迷茫。 编辑 netstat -ano | find "80"输出 从Web服务器(运行IIS的Windows 7)中netstat -ano | find "80" : TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4 TCP 192.168.2.97:1869 207.46.124.39:80 ESTABLISHED 3860 TCP 192.168.2.97:43794 74.125.229.36:80 TIME_WAIT 0 TCP [::]:80 [::]:0 LISTENING 4 UDP 127.0.0.1:48000 *:* 3132 UDP 127.0.0.1:48001 *:* 2420 从DD-WRT命令提示符编辑 iptables -t nat […]