如果我有两个或更多的networking接口,从虚拟和现实,因为它可以设置iptables规则影响所有这些接口? 例如:我有四个接口, eth0 , eth0:0 , eth1和loopback ,我想设置下面的规则: iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT 这个规则将如何应用它接口eth0 , eth0:0 , eth1而不是在loopback应用它? 如果该规则适用于eth0也适用于eth0:0 。
我删除了iptables,再次安装它并重新启动了我的centos服务器; 之后,我访问服务器上的域名已被拒绝。 当我检查控制台有一个错误: fsck.ext4:没有这样的文件或目录,而试图打开/ dev / mapper / vg_servername-lv_root超级块无法读取或不描述正确的ext2文件系统… 我试过yum update来检查是否有东西删除不需要的更新,但是当我运行这个代码它说: 另一个应用程序正在持有百胜锁:等待它退出… 另一个应用是:yum … 等了很长时间什么都不做,继续写下来。 我真的放养在这个我看了一些其他论坛上的文章,其中一些是不是这个问题,其他一些没有工作,或者我不明白他们。请…如果有人可以帮助我这个,我会感谢。 [UPDATE] / etc / fstab的内容: / proc / mounts的内容: / proc /分区的内容: [UPDATE] @Ryan Babchishin的问题的答案: 系统无法启动? 没有 您是否正在使用救援/现场CD来收集这些信息? 不,我只是有控制台的可访问性,我看到的只是从那里。 你是如何访问根文件系统的? 控制台(vmware vSphare) 为什么文件系统只读? 我不知道我只是做了我所说的,没有别的 。 你试过手动fsck? 是的,它说的是我在问题的顶部所说的问题 。
我尝试使用Docker运行2个容器(问题不是特定于他们): MySQL(官方容器) Redmine(官方集装箱) 每个容器都有一个转发的端口: MySQL: 127.0.0.1:3000 -> 3000/tcp Redmine: 127.0.0.1:3306 -> 3306/tcp 正如你所看到的,目标是让他们只能在主机内访问。 一个Nginx服务器(不是通过Docker安装的)侦听端口80,并将任何请求redirect到Redmine容器端口(使用代理function: proxy_pass等)。 所有这一切完美的作品,当我去服务器IP,我可以访问Redmine。 但是,我想要使用iptables添加一些安全性。 所以,目标是: 全部默认删除(这一点是确定的) 允许Docker只在本地主机中生成业务 允许容器访问互联网(下载依赖关系,更新…) 允许访问SSH和Nginx(也可以) 首先,我尝试添加–iptables=false选项来停止–iptables=false搞乱我的iptables。 重启后,我认为,用干净的iptables(所有的政治默认设置为ACCEPT ,所以没有任何事情完成),一切都会工作。 但事实并非如此,我得到了来自Nginx的"502 Bad Gateway"响应。 我不明白为什么不添加额外的规则,如果Docker无法工作(如果全部是开放的,它应该工作…不是?)。 我试图阅读有关Docker中高级networking的文档,我也尝试了多个教程,但是我找不到阻塞Docker的东西: https://fralef.me/docker-and-iptables.html https://docs.docker.com/v1.8/articles/networking/ 我不是一个Linux / Docker / SysAdmin专家,所以也许,对于你们中的一些人来说,这是显而易见的(至less我希望!)。 不要犹豫,如果需要更多的细节问。 预先感谢您的回答。
我正尝试从vmbr1本地networkingconfiguration路由到公共接口vmbr0 。 我的电脑在vmbr1接口上有IP 192.168.0.1 。 我configuration了以下邮政路由规则: iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE 作为testing,我从另一台configuration为默认网关192.168.0.1计算机上ping Google DNS服务器8.8.4.4 。 使用iptables -t nat -L -v ,我可以看到一些数据包正在打到filter,但是通过增加的速度,很明显正确的数据包没有。 Chain POSTROUTING (policy ACCEPT 5 packets, 300 bytes) pkts bytes target prot opt in out source destination 24 8358 MASQUERADE all — any vmbr0 anywhere anywhere 从tcpdump -i vmbr0 ,我可以看到数据包正在离开未经编辑的接口。 […]
我已安装LFD / CSF防火墙,但不能阻止IP地址范围。 csf -d 172.111.221.0/24 Adding 172.111.221.0/24 to csf.deny and iptables DROP… DROP all opt — in !lo out * 172.111.221.0/24 -> 0.0.0.0/0 DROP all opt — in * out !lo 0.0.0.0/0 -> 172.111.221.0/24 所以,我们来检查IP表: iptables -nv -L … Chain DENYIN (1 references) 0 0 DROP all — !lo * 172.111.221.0/24 0.0.0.0/0 Chain DENYOUT […]
我有一个CentOS专用服务器(Hetzner): IP:aa.bb.cc. 16 网关:aa.bb.cc.1 networking掩码:255.255.255.255 和额外的IP(安装了Debian的guest虚拟机(libvirt)): IP:aa.bb.cc. 61 网关:aa.bb.cc.1 networking掩码:255.255.255.192 我使用Hetzner文档( https://wiki.hetzner.de/index.php/Netzkonfiguration_CentOS/en#Routed_.28brouter.29 )设置了路由configuration。 主机configuration: cat /etc/sysctl.conf net.ipv4.conf.all.rp_filter=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 net.ipv4.conf.default.proxy_arp=1 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.eth0.send_redirects=0 net.ipv4.conf.br0.send_redirects=0 net.ipv4.conf.default.send_redirects=0 net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0 cat / etc / sysconfig / network-scripts / ifcfg-eth0 DEVICE=eth0 ONBOOT=yes HWADDR=XX:XX:XX:XX:XX:XX BOOTPROTO=none IPADDR=aa.bb.cc.16 NETMASK=255.255.255.255 SCOPE="peer aa.bb.cc.1" IPV6INIT=yes IPV6ADDR=2a01:4f8:yyy:yyyy::2/128 IPV6_DEFAULTGW=fe80::1 IPV6_DEFAULTDEV=eth0 […]
系统是Fedora 23.目标是允许特定的端口或范围的端口从有限的一组IP地址访问。 这可以通过以下规则手动完成: -A INPUT -m state –state NEW -m tcp -p tcp -s 10.0.0.0/16 –dport 5900:5904 -j ACCEPT 但是,如果没有在/ etc / sysconfig / system-config-firewall中显示,它将通过system-config.firewall在其他规则的升级或更改中丢失。 有没有办法使用system-config-firewall来configuration类似上面的规则?
我在Raspberry Pi 3上使用Arch Linux(32位版本)。 当我尝试添加任何-j SNAT或-j DNAT规则到iptables ,它不起作用 – 我收到一个错误 iptables: No change/target/match by that name 我通常不会遇到与iptables有关的问题。 例如,标准的INPUT , OUTPUT和FORWARD有很多规则。 此外, POSTROUTING包含一个MASQUERADE规则,它可以正常工作,允许内部LAN与Internet通话。 我在尝试允许互联网向公共IP发送stream量到达内部networking上的一台机器时遇到了SNAT问题。 当这不起作用,然后我尝试了更简单的规则,他们也没有工作。 然后我试图添加DNAT规则,并有同样的问题。 我可以将更复杂的规则添加到PREROUTING和POSTROUTING而不指定-j DNAT或-j SNAT ,然后他们将添加,计数器将递增。 以下是添加-j SNAT和-j DNAT规则和错误的最简单尝试的一些示例。 无论我尝试添加什么样的SNAT或DNAT规则,错误总是与下面显示的相同。 [root@hostname ~]# iptables -F PREROUTING -t nat [root@hostname ~]# iptables -A PREROUTING -t nat -d $public_IP -j DNAT –to-destination $internal_IP iptables: No […]
我想build立一个静态路由到一个单独的子网,路由通过一个VPN。 Debian Linux。 机器A:vpn IP 10.1.1.10 – >机器b(服务器)ip 10.1.1.2 机器B:3个networking接口:eth0 LAN1(172.xxx),tun / tap VPN(10.1.1.2),eth1 LAN2(10.42.0.x)。 机器c:10.42.0.10(示例) Eth1是一个共享连接,允许10.42.0子网上的所有内容通过iptables转发数据包和NAT到eth0访问172.x子网。 很好用。 我希望VPNnetworking上的机器A能够访问10.42.0.x子网。 基本上是一条到10.42.0.xx的静态路由,通过10.1.1.2 VPNnetworking上的一台机器路由10.1.1.2。
我有一个用于备份的veritas备份服务器(windows server 2012)。 我需要备份的一台服务器(Redhat Enterprise Linux 5.9)无法与我的备份服务器通信。 我已经检查了veritas备份使用的端口,它是10000,并且从windows服务器到linux服务器做了“telnet”,但是失败了,出现以下消息: 连接到…无法打开连接到主机,在端口23:连接失败 所以,我使用netstat -apn|grep -w 10000命令在linux服务器上检查了端口10000,发现它没有显示输出。 因此,我做了以下几点: #iptables -I INPUT -p tcp –dport 10000 -j ACCEPT #service iptables save #service iptables restart 然后我试图validation: netstat -apn|grep -w 10000 但我没有得到任何输出,即使我已经在testing的Linux服务器上尝试过,但我成功地在testing服务器中打开该端口。 以下是我从testing服务器获得的输出: # netstat -apn | grep -w 10000 tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 44080/beremote tcp 0 0 :::10000 :::* […]