我有无线USB调制解调器,它的GUI具有硬编码的URL。 调制解调器通常可以通过LAN上的192.168.9.1 IP进行访问。 此调制解调器连接到NAT后面的路由器。 我需要通过互联网访问这个graphics用户界面(也可以使用公共IP服务器),并试图使用SSH隧道和IPTABLES来实现这一点。 我想我不能使用简单的IP隧道,因为从互联网到GUI的GET请求被立即尝试被该调制解调器redirect到硬编码的URL。 SSH隧道已经启动并运行,如下所示: 10888:localhost:80 publicIPserver.com 我尝试了许多IPTABLES规则PREROUTING和OUTPUT,但我无法连接。 会话立即被丢弃或者有无尽的超时。 iptables -t nat -A PREROUTING -p tcp -d 127.0.0.1 –dport 10888 -j DNAT –to 192.168.9.1:80 iptables -t nat -A OUTPUT -d 127.0.0.1 -p tcp –dport 10888 -j DNAT –to 192.168.9.1:80 任何方向得到这个工作将不胜感激。
我想限制连接到正在运行的Docker容器。 我有一套iptables规则可以有效地做到这一点。 然而,规则集取决于在DOCKER链之前应用我自己的规则链。 基本上,我想要这个结果 Chain FORWARD (policy DROP) target prot opt source destination PRE_DOCKER all — 0.0.0.0/0 0.0.0.0/0 /* Insert before Docker's filtering to apply our own */ DOCKER all — 0.0.0.0/0 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 Chain PRE_DOCKER (policy DROP) target […]
我们想要添加一个额外的网段(LAN2),并且需要LAN1上的一些机器来访问LAN2上的资源。 LAN2上的某些机器也需要访问LAN1和WAN网段上的资源。 LAN1和LAN2之间的网关称为“SRV-01”,一个双归属的Linux服务器。 我无法从LAN2访问LAN2或从LAN2访问LAN1,也不能从LAN2访问WAN。 我想知道如何使LAN1主机和LAN2一起通话,以及如何允许从LAN2机器访问WAN。 故障排除 我使用ping获得以下回复: IP(来源)—> IP(目标):Ping回复 ————————————————– ————————- 192.168.5.33(LAN1上的客户端)—> 192.168.5.8(SRV-01:eth0):OK 192.168.5.33(LAN1上的客户端)—> 10.0.2.1(SRV-01:eth1):NO 192.168.5.33(LAN1上的客户端)—> 10.0.2.2(SRV-02:eth0):NO *。*。*。*。*(SRV-01)—> 192.168.5.33(LAN1上的客户端):OK *。*。*。*。*(SRV-01) – > 10.0.2.2(SRV-02:eth0):OK 10.0.2.2(SRV-02)—> 10.0.2.1(SRV-01:eth1):OK 10.0.2.2(SRV-02) – > 192.168.5.8(SRV-01:eth0):OK 10.0.2.2(SRV-02)—> 192.168.5.33(LAN1上的客户端):NO networking拓扑结构 WAN —(ISP路由器)— LAN1 —(SRV-01)— LAN2 —(SRV-02) ISP路由器 Internet服务提供商(ISP)路由器提供NAT(两个networking适配器),并充当LAN1的DHCP服务器。 我们没有shell / admin访问这个设备。 xxx.xx.xx.xx / xx(eth0,WAN) 192.168.5.4/24(eth1,LAN1) SRV-01服务器 SRV-01是双宿主Ubuntu Server 14.04(两个networking适配器),它将充当LAN1子网和LAN2子网之间的网关。 192.168.5.8/24(eth0,LAN1) 10.0.2.1/24(eth1,LAN2) 的/ etc […]
我正在尝试将OpenVPN服务器设置为移动/桌面设备的反向代理,可以根据特定策略中继stream量: 只有白名单IP地址的请求才会被直接转发(MASQUERADE到eth) 其他人将需要通过另一层代理服务器(因为服务器本身没有直接访问非白名单地址) 我目前(额外)的iptablesconfiguration是: iptables -t nat -N POLICY iptables -t nat -A POLICY -d server_ip -j RETURN iptables -t nat -A POLICY -d 0.0.0.0/8 -j RETURN iptables -t nat -A POLICY -d 10.0.0.0/8 -j RETURN iptables -t nat -A POLICY -d 127.0.0.0/8 -j RETURN iptables -t nat -A POLICY -d 169.254.0.0/16 -j RETURN iptables […]
由于前几天我一直在观察从端口24441从我的服务器一些奇怪的经常性外发UDPstream量,但由于它不是恒定的,我似乎无法find是什么原因造成的。 我只能看到iptables日志中的以下内容: Nov 15 00:46:33 server kernel: [17216276.676673] Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=<SERVER_IP> DST=5.9.124.53 LEN=192 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=60641 DPT=24441 LEN=172 UID=501 GID=513 我怀疑是从我的服务器周期性运行的某种恶意软件,但想知道究竟是什么。 有人可以点亮如何捕捉/发生这种情况时,自动logging的来源? 我正在运行Centos 6.7。 谢谢!
我使用这个cloud-config.yml在digitalocean创build了3个coreos机器: https ://gist.github.com/socketwiz/d6fe23d19180a1ad8b5a其中令牌被replace为我从中检索到的: $ curl -w "\n" "https://discovery.etcd.io/new?size=3" 到目前为止,一切运作良好。 我可以看到其他机器 $ curl -L http://<machine_ip>:2379/v2/keys/ 在他们中的每一个,并获取有效的数据,所以我怀疑我的防火墙设置是好的(但也许不)。 我的问题开始时,我设置docker集装箱。 首先我得到docker0的IP地址: $ ifconfig docker0 然后我设置docker集装箱: $ docker run -it alpine ash 一旦启动,我运行: $ apk update && apk add curl 然后我尝试使用从ifconfig获取的IP地址访问etcd: $ curl -L http://172.17.42.1:2379/v2/keys/ 但curl命令只是挂起,最终超时。 我怀疑我的cloud-config.yml在etcd2部分或iptablesconfiguration中有一些configuration错误,但是我对这一切还是有点新的,而且我一整天都在调整它,不能克服这个问题。 任何想法将不胜感激。
我以前的DSL调制解调器有一个名为“ DMZ主机 ”(在其他平台似乎被命名为默认主机)的function。 当您selectnetworking中的计算机作为DMZ主机时,它会将每个非手动转发的端口转发到该计算机,并通过DHCP将该调制解调器的外部IP分配给该计算机(dmz主机)。 所以,实际上,它将复制外部IP并将其提供给内部计算机。 由于各种原因,这是很方便的,特别是挑剔的程序(随机端口)或游戏。 但是现在我已经改用了光纤,调制解调器没有这个function。 我打算创build一个用于路由目的的Linux机器。 有没有办法用iptables重新创build相同的function? 涉及其他平台/软件的提示非常受欢迎。 为了更好的清晰起见,我附上了一个图表(从这个问题的图片编辑: 从LAN内部访问DNAT'tednetworking服务器 )在这里: 提前感谢! 我一直在试图find有关设置这个信息,但我一直无法。 也许我使用了错误的search条件。
我正在构build一个高度匿名的代理服务器与鱿鱼和stunnel,我面临着iptables的configuration问题。 服务器应该是这样的: browser <-> client stunnel <=> server stunnel <-> server squid <=> site Wheres -表示本地stream量, =表示互联网stream量。 目前stunnel和squid都安装在同一台服务器上。 我是iptables的新手,我已经尽我所能,并设置下面的规则(通过iptables-save转储): *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [117178:91123876] :LOGGING – [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p icmp -m icmp –icmp-type 0 -j ACCEPT -A INPUT -i eth0 -p […]
在具有不同内核版本的许多服务器上效果相同。 有多个Iptables DNAT规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 12345 -j DNAT –to-destination 10.20.30.40:5678 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 23456 -j DNAT –to-destination 10.11.12.13:5789 …. iptables -t nat -A PREROUTING -i eth0 -p udp –dport 34567 -j LOG –log-prefix 'natudp: ' iptables -t nat -A PREROUTING […]
我在Centos 6.5上使用了Iptables,并尝试将iptables规则转换为centos 7的firewalld规则。然而,在firewalld中,我发现我无法 丢弃无效状态的数据包 创build一组规则来保护端口扫描 创build一个针对SYN攻击的规则(意思是寻找带有syn标志的数据包) 使用散列限制来限制每个IP每秒的连接数 我想我认为firewalld与iptables相比有一些不太可能的特性吗?