我有一个防火墙,在一个物理接口上有3个IP别名。 数据包在这三个接口(ICMP,HTTP或其他)之间被丢弃。 我们追踪到这些数据包在FORWARD规则中被标记为INVALID,并由于这个规则而被丢弃: chain FORWARD { policy DROP; # connection tracking mod state state INVALID LOG log-prefix 'INVALID FORWARD DROP: '; mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; } (也就是说,我们看到dmesg的INVALID FORWARD DROP日志) 什么可能导致这个?
我正在build立一个新的Centos 5.6系统,无法让我的iptables防火墙正常工作。 它不会让我通过它使用SSH。 我是Centos新手,但不是Linux或iptables。 我一直在删除的东西,直到我孤立的问题。 我为INPUT链设置了默认的ACCEPT规则的防火墙。 我可以通过连接到服务器罚款。 如果我改变命令只允许从连接到我的信任networking的接口stream量停止工作。 加工: iptables -A INPUT -s 0/0 -d 0/0 -j ACCEPT 失败: iptables -A INPUT -i eth0 -s 0/0 -d 0/0 -j ACCEPT 我已经加倍检查了我使用的ip地址对应于eth0使用ifconfig。 任何想法,我出错了?
我正在寻找一个相当高的Nginx / Varnish反向代理的最小iptables规则集。 我想closures服务器,这样只有端口80和22完全可以打开来自外部的连接。 此外,我想从连接跟踪中排除端口80上的stream量,因为连接列表趋于增长。 另一方面,我想有自由地使用连接跟踪其他的东西。 怎样才能实现一个最小规则集,从连接跟踪中排除端口80和443上的HTTP和HTTPSstream量? 这是我的基本规则: iptables -F INPUT iptables -P INPUT DROP iptables -i lo -A INPUT -j ACCEPT iptables -i eth0 -A INPUT -m状态 – 状态RELATED,ESTABLISHED -j ACCEPT iptables -i eth0 -A INPUT -p TCP –dport 22 -j ACCEPT iptables -i eth0 -A INPUT -p TCP –dport 80 -j ACCEPT iptables […]
与此参考相关http://lartc.org/howto/lartc.netfilter.html 我想标记发送到某个端口的数据包(为简单起见,80)并将它们路由到tun0(由openvpn创build)。 将wlan0发送给端口80的数据包标记为1 $ iptables -A PREROUTING -i wlan0 -t mangle -p tcp –dport 80 -j MARK –set-mark 1 添加我的表格 $ echo 201 mytable >> /etc/iproute2/rt_tables 添加所有标记为1的数据包由mytable路由的规则 $ ip rule add fwmark 1 table mytable 添加规则,说任何发送到整个互联网的数据包由tun0路由 $ ip route add 128.0.0.0/1 via 10.8.0.13 dev tun0 table mytable $ ip route add 0.0.0.0/1 via 10.8.0.13 dev […]
我想通过我的VPS路由我的个人电脑stream量,并根据需要设置我的OpenVPN为fas,但是现在我遇到了无法设置iptables的问题,因为我的服务器内核禁用了NAT支持。 我会用的命令是 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0:0 -j MASQUERADE 现在有没有办法实现没有NAT iptables规则的行为?
我有一个Linux路由器(Debian 6.x),我转发一些端口到内部服务。 一些TCP端口(如80,22 …)都可以。 我有一个应用程序监听端口54277udp。 没有回报来自这个应用程序,我只有在这个端口上的数据。 路由器: cat /proc/sys/net/ipv4/conf/all/rp_filter = 1 cat /proc/sys/net/ipv4/conf/eth0/forwarding = 1 cat /proc/sys/net/ipv4/conf/ppp0/forwarding = 1 $IPTABLES -t nat -I PREROUTING -p udp -i ppp0 –dport 54277 -j DNAT –to-destination $SRV_IP:54277 $IPTABLES -I FORWARD -p udp -d $SRV_IP –dport 54277 -j ACCEPT 此外MASQUERADING内部stream量ppp0(互联网)是积极和工作。 默认策略INPUT&OUTPUT&FORWARD是DROP 奇怪的是,当我这样做的时候: tcpdump -p -vvvv -i ppp0 port 54277 […]
我正在使用fwbuilder,并尝试设置规则,这两个规则都允许lo接口和源IP 127.0.0.1 ,如下所示: $IPTABLES -A INPUT -i lo -m state –state NEW -j ACCEPT $IPTABLES -A OUTPUT -o lo -m state –state NEW -j ACCEPT … $IPTABLES -A INPUT -s 127.0.0.1 -m state –state NEW -j ACCEPT $IPTABLES -A OUTPUT -s 127.0.0.1 -m state –state NEW -j ACCEPT 连接似乎工作正常,但为什么我在/var/log/syslog看到这些错误中的几个? RULE 4 — DENY IN= OUT=lo […]
我的服务器运行Ubuntu 10.04.4 LTS,我想拒绝stream量到端口25.目标是这样的: $ telnet {ip} 25 Trying {ip}… telnet: connect to address {ip}: Connection refused telnet: Unable to connect to remote host 我试过直接使用iptables ,但是失败了。 相反,我现在正在尝试uwf : $ ufw reject 25 但是,它不能按预期工作: $ telnet {ip} 25 Trying {ip}… # Waiting for a minute… telnet: connect to address {ip}: Connection refused telnet: Unable to connect to […]
我们之前有过这个问题,但是我们认为这是因为安装了CSF。 现在再次出现IPTables的任何命令都没有返回的情况。 'iptables -L'不显示任何东西,重新启动不会回到闪烁提示,只是坐在那里: /etc/init.d/iptables restart iptables: Applying firewall rules: /etc/init.d/iptables -status返回 iptables: Firewall modules are not loaded. 我们有一个我们一直使用的防火墙脚本,我们会定期编辑所有的规则,这也只是冻结。 哪个iptables /sbin/iptables 帮助表示赞赏,我不想再重新安装服务器。
用tls auth和ip转发设置一个openvpn服务器。 我可以很好地连接到VPN服务器,但无法到达任何外部连接 我无法ping 8.8.8.8谷歌DNS服务 但我知道我可以连接到VPN服务器: tcpdump -i tun0 tun0是我的VPN接口,可以看到来自我的客户端的数据包。 但问题是,我的iptables链倒转了 这里是我的旧iptables -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT –reject-with icmp-port-unreachable -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p […]