如果我build立了一个Linux iptables MASQUERADE规则,使stream量离开特定的接口,但该接口有多个IP地址,源IP如何被select? 作为一个例子,我们假设我添加了一个规则: $ iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE …和界面看起来像: $ ip addr show dev eno1 1: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 94:18:82:35:a2:c1 brd ff:ff:ff:ff:ff:ff inet 10.136.122.97/24 scope global eno1 valid_lft forever preferred_lft forever inet 10.136.122.98/24 scope global eno1 valid_lft forever preferred_lft […]
我有一台mySQL机器,我需要build立一个远程连接。 问题是出站连接机器在阻塞3306端口的networking上,并且mySQL进程与其他应用程序/开发者共享。 我目前的想法是使用iptables wizardry来改变它的端口。 我发现了 我发现iptables命令在基于NAT的层面上工作,例如 iptables -A PREROUTING -t nat -p tcp –dport 8080 -j REDIRECT –to-port 3306 我很难find适用于INPUT的iptables目标
我在Ubuntu服务器上使用iptables将公共IP路由到私有IP。 我想要所有的stream量,包括80,443和ICMP。 但是,看起来ICMP不是路由。 我有一个稳定的ping到公共IP,它永远不会停止,即使NAT指向一个虚假的IP。 以下是我正在使用的规则: iptables -t nat -I PREROUTING -d 206.72.119.76 -j DNAT –to-destination 10.240.5.5 iptables -t nat -I POSTROUTING -s 10.240.5.5 -j SNAT –to-source 206.72.119.76 我特地尝试了ICMP的规则,但没有这样的运气: iptables -t nat -I PREROUTING -d 206.72.119.76 – icmp –icmp-type echo-request -j DNAT –to-destination 10.240.5.5 有任何想法吗?
与此条目非常类似: 使用DD-WRT连接到VPN并通过VPN转发某些设备的所有stream量 ,我已经使用dd-wrt + OpenVPN设置了我的路由器以连接到VPN。 这工作正常,路由器后面的所有stream量都通过VPN。 如何在路由器中路由(?)stream量,以便只有来自局域网的特定IP将通过VPN,而其他则采用“正常”路由? 是否也可以允许来自某些本地IP的stream量只能通过VPN进行访问,如果VPNclosures,就不可能使用常规的Internet连接? 我知道这个问题是在我联系的post中回答的,但这似乎并不适用于我。 路由表和规则改变,但stream量仍然只是通过VPN。
我想设置我的新服务器(位于我的局域网),以允许来自我局域网上任何其他计算机的所有传入和传出stream量,但拒绝任何来自局域网外系统的连接。 我的问题是如何设置iptables来做到这一点? 另外,我想知道这是否会影响我在该服务器上从Internet上下载文件的能力? 如果我这样设置,我仍然可以下载服务器的安全更新吗? 正如你可能已经猜到的,我对这一切都很陌生,所以请提前原谅我的无知。 谢谢,Tim
一些背景: 已经使用RH Fedora 13,Kernel 2.6.34.7-63和IPTables 1.4.7构build了一个防火墙。 防火墙是一种简单的双适配器configuration,外部接口(eth0)面向互联网,另一个接口(eth1)面向小型专用networking(单个IP子网)。 防火墙是一个堡垒主机,意思是防火墙主机只包含操作系统IPTables,只包含支持主机本身操作的项目。 防火墙不运行任何其他应用程序。 包含在专用networking内的是一个Web服务器。 networking:基地址:149.10.10.0/24networking服务器:149.10.10.25客户端:位于子网的各个地址。 防火墙eth1地址:149.10.10.1 DNS地址:149.10.10.2 问题考虑到内部networking上的客户可以自由地上网:如果客户select特定的网站(即www.website.com),我的目标是configurationIPTables,而不是将客户端redirect到内部Web服务器。 如果客户端Web浏览器打算www.website.com,然后iptablesredirect客户端到149.10.10.25 如果客户的networking浏览器要冲浪任何其他网站,那么iptables允许客户端转发到互联网。 我已经尝试了几个iptables规则,其中包括: iptables -v -t nat -A PREROUTING –in-interface eth1 –dport 80 -d www.website.com -j DNAT – 到149.10.10.25 但是,这似乎没有效果。 你能推荐我应该用来执行这个壮举的规则吗?
我已经configuration了一个鱿鱼透明tproxy 。 一切正常。 现在我需要所有的stream量去外部IP(互联网)不通过代理。 我是否需要修改iptables,ebetables规则或更改squid的configuration? 我发现这个教程 ,但它不使用tproxy规则。 iptables规则: iptables -F -t mangle iptables -X -t mangle iptables -t mangle -N DIVERT iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT iptables -t mangle -A DIVERT -j MARK –set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT iptables -t mangle -A PREROUTING -p tcp […]
ipt_recnet的参数之一是ip_list_tot ,它决定了要记住的IP数量。 如果达到这个限制会发生什么? 是否停止录制新的IP?
我在主动FTP模式下运行ProFTPD版本1.3.3c,并具有以下防火墙规则。 但是,每当我做目录列表,它太慢了。 这需要时间,但目录和文件被列出。 只要我刷新iptables规则,那么它是快速的。 我在这个规则中缺less的是什么? Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED DROP all — 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
我有一种情况,可以形容如下: CentOS A:11.22.33.44(eth0 – WANnetworking)— 5.11.22.33(ham0 – Hamachi) Win32 B:55.66.77.88(WANnetworking)—- 5.11.22.44(hamachi) 我使用iptables将端口80从A转发到B,以便人们可以从11.22.33.44访问5.11.22.44的Web服务器 iptables -t nat -A PREROUTING –dst 11.22.33.44 -i eth0 -p tcp –dport 80 -j DNAT –to-destination 5.11.22.33:80 iptables -t nat -A POSTROUTING -p tcp –dst 5.11.22.33 –dport 80 -j SNAT –to-source 11.22.33.44 但事实并非如此。 如果我将转发目标更改为不在hamachinetworking中的IP,而是在WANnetworking中,则在本例中为55.66.77.88。 它完美的作品。 请告诉我哪一部分我错了?