我知道SSL问题已经被打死了 我正在使用DNSredirect来强制我的客户使用我的拦截代理。 众所周知,拦截HTTPS连接是不可能的,除非我提供假证书。 我想在这里实现的是允许所有HTTPS请求直接连接到源服务器,从而绕过Squid: HTTP连接>由Squid代理 HTTPS连接>绕过Squid并直接连接 我花了几天的时间去尝试不同的方法,但目前为止还没有成功。 我使用CONNECT方法阅读了关于SSL隧道的知识,但是无法find更多的信息。 我尝试了一种类似的方法,使用RINETD将通过我的Squid的443端口的所有stream量转回到www.pandora.com的原始IP。 不幸的是,我没有意识到所有其他HTTPS请求也转发到www.pandora.com的IP。 例如, https://www.gmail.com也把我带到https://www.pandora.com 由于我正在运行截接模式,所以转发需要是dynamic的,并且将每个HTTPS域名与正确的原始IP进行匹配。 这可以在Squid或iptables中完成吗? 最后,我正在使用DNS区域redirect将stream量导向到我的Squid服务器。 例如,一个客户端请求www.google.com,我的DNS服务器将这个请求发送给我的Squid IP,然后我的透明Squid将代理这个请求。 这个设置会影响我想要实现的吗? 我尝试了很多方法,但无法使其工作。 任何承担如何做到这一点?
我现在正在搭build一台CentOS的新机器,每天要有一个非常大的网站1M独特的+。 现在我已经知道我的Linux相当多,但是在防火墙和networking安全方面,我从来都不是专家。 现在我已经收到了一个加强安全的人的脚本,但我不确定这是否会“过度”。 我不能因为networking规则太严密而无法访问某些用户。 所有我需要使用HTTP端口80,HTTP的443,FTP的21和SSH的22。 我不会运行任何邮件或其他服务。 只是Nginx,vsftpd和ssh。 我的问题是,你可以推荐运行所有这些命令,或者只是其中的一部分? 脚本可以在下面find: #!/bin/bash # A sample firewall shell script IPT="/sbin/iptables" SPAMLIST="blockedip" SPAMDROPMSG="BLOCKED IP DROP" SYSCTL="/sbin/sysctl" BLOCKEDIPS="/root/scripts/blocked.ips.txt" # Stop certain attacks echo "Setting sysctl IPv4 settings…" $SYSCTL net.ipv4.ip_forward=0 $SYSCTL net.ipv4.conf.all.send_redirects=0 $SYSCTL net.ipv4.conf.default.send_redirects=0 $SYSCTL net.ipv4.conf.all.accept_source_route=0 $SYSCTL net.ipv4.conf.all.accept_redirects=0 $SYSCTL net.ipv4.conf.all.secure_redirects=0 $SYSCTL net.ipv4.conf.all.log_martians=1 $SYSCTL net.ipv4.conf.default.accept_source_route=0 $SYSCTL net.ipv4.conf.default.accept_redirects=0 $SYSCTL net.ipv4.conf.default.secure_redirects=0 $SYSCTL net.ipv4.icmp_echo_ignore_broadcasts=1 #$SYSCTL […]
首先:我知道可以用SSH轻松完成,但我想学习如何路由。 我想通过它们进入我的系统的同一个tun0接口将数据包路由回去。 我可以做单路线。 这工作: sudo ip route add 74.52.23.120 metric 2 via 10.8.0.1 但我不得不手动添加他们每个请求下来的pipe道 我已经服用了蓝色药丸,并遵循http://lartc.org/howto/lartc.netfilter.html : Netfilter&iproute – 标记包的教程 但它的目标是根据标记redirectOUTGOING数据包 我想要的是通过tun0进入的数据包不会被丢弃,这就是现在正在发生的事情,运行scappy或类似的接收数据包似乎没有收到任何东西。 在wireshark中观察,我看到tun0接口上的初始SYN数据包,但是就像上面显示的那样,没有静态路由。 我疯了吗?
我完全不熟悉iptables,但是我需要它只允许ftp访问ftp.mywebsite.com,并拒绝通过closures端口的其他域/ ip的ftp连接。 这可能吗? 我怎样才能做到这一点? 我GOOGLE了,但无法find解决scheme。 谢谢你的帮助 :)
只需在我们的CentOS服务器上设置一个新的绑定/命名DNS服务器。 我正在使用Webmin来完成大部分的pipe理工作。 一旦我添加了一些地址到区域中,ping的时候,地址上的地址就解决了。 但我的Windows 7框无法parsing地址。 Windows 7中有一个静态IP,并且DNS设置为指向CentOS盒子。 CentOS盒子是可以ping通的,而且我可以ssh就可以了。 我已经使用Webmin在CentOS盒子上打开UDP和TCP端口53。 我没有看到有关错误的日志中显示的任何内容。 我在这里错过了什么?
有谁知道如何在Ubuntu服务器上使用syslog-ng为iptables设置备用日志文件?
ADSL路由器:Cisco 877(172.16.0.254) PC1(172.16.0.10)到路由器的端口1 PC2(172.16.0.20)到路由器的端口2 服务器,2个网卡,eth0到路由器的port0。 (172.16.0.240) 上述设置一切正常。 现在,服务器的eth1连接到千兆交换机。 服务器上的DHCP3使用此configuration在eth1上提供请求 subnet 172.16.0.0 netmask 255.255.255.0 { range 172.16.0.151 172.16.0.199; option domain-name-servers 194.30.220.117,194.30.220.114; option domain-name "XXXXXXXXXXXXXXX"; option routers 172.16.0.1; option broadcast-address 172.16.0.255; default-lease-time 600; max-lease-time 7200; } 和/ etc / network / interfaces auto lo iface lo inet loopback allow-hotplug eth0 iface eth0 inet static address 172.16.0.240 netmask […]
目前,我的IPtable不分青红皂白地将所有传入的请求发送到我的Squid透明代理。 但是,由于我需要SSL来工作,我需要一种方法来避免拦截SSLstream量。 理念 example.com – > IP = 100.100.100.1 http访问example.com – >发送到Squid代理 https访问example.com – >拦截请求100.100.100.1:443; 而不是发送到Squid代理,redirect到example.com 100.100.100.1的IP 有没有可能在iptable中做到这一点? 谢谢! 编辑:我添加更多关于我的设置的信息。 最终客户 DNS服务器 鱿鱼盒 由于具体要求,我必须使用DNSredirect将stream量发送到Squid透明代理,而不是典型的路由器/网关redirect。 拦截方法 用户请求www.example.com DNS服务器将www.example.com指向Squid服务器 Squid服务器拦截www.example.com请求 当前的IP表规则 将端口80转发到端口3128(Squid端口) 将端口443转发到端口3128(Squid端口) 显然,你正在使用一个典型的路由器/网关转发stream量到Squid,你可以转发端口80,忽略443,因为443stream量将直接跳过,鱿鱼。 不幸的是,用我目前的设置,如果我不转发443,任何HTTPS连接都会超时。 现在唯一的解决scheme是拦截所有443请求,将每个域映射到每个唯一的IP地址,并将请求发送回原始源IP。 我尝试使用Rinetd转发443到原来的网站的IP地址。 不幸的是,这种方法将我所有的443stream量转发到只有1个IP地址,因为它不会区分请求IP。 例如,我将443映射到Gmail.com的IP。 当我访问https://gmail.com时 ,它会正常工作。 但是,如果我访问https://hotmail.com ,它仍然会将我发送到gmail.com的IP 我需要find一个方法来映射每个IP与每个域,所以当我访问gmail.com,它会转发到gmail的IP; 当我访问hotmail.com时,它会将我转到hotmail.com的IP
我有一个VPS盒子上有4个外部ips,我需要打开每个ip的udp端口的一部分,但我似乎无法得到正确的IP表。 这是我的规则到目前为止: iptables -I INPUT -d 98.158.xxx.86 -p udp –dport 34121 -j ACCEPT 我正在使用的程序需要通过udp连接到该ip,但服务器不允许它。 有任何想法吗?
我用静态IP获得了Apache和Ubuntu机器。 今天我通过端口80托pipe网站,我希望能够托pipe网站与https。 有没有我可以购买的服务,可以让我IP池或以某种方式解决这个问题,而不是太乱了路由器?