我的服务器有一个IPv4地址,我不能通过ftp或filezilla连接到FTP。 我检查了configuration,似乎都是正确的,防火墙不阻止端口21或22但由于超时连接,我无法连接。 无法使用FTP或SFTP连接,并使用服务器的IP地址作为服务器地址。 使用parsing到这个IP的域也是行不通的。 netstat -tlp | grep ftp输出 netstat -tlp | grep ftp显示这个: tcp6 0 0 [::]:ftp [::]:* LISTEN 1133/xinetd 没有inputtcp的FTP。 我使用Plesk Onyx最新版本,但是我拥有SSH根权限,所以我可以在terminal中进行更改。 更新 iptables -nvL输出 Chain INPUT (policy ACCEPT 31195 packets, 24M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target […]
我想从我的网关(内部IP:192.168.4.4)从外部端口1965访问我的局域网内的FTP服务器(192.168.4.2) 所以换句话说,有人用FTP访问我的网关:1965将被redirect到192.168.4.2:21 我在过去使用较老的linux内核做了这个,并且工作。 看来,从4.9内核,事情已经改变,我不能设法更新我的iptables脚本。 ip转发和nf conntracking被启用: net.ipv4.ip_forward = 1 net.netfilter.nf_conntrack_helper = 1 并加载需要的模块: nf_nat_ftp 16384 0 nf_conntrack_ftp 20480 3 nf_nat_ftp nf_nat 24576 5 xt_nat,nf_nat_redirect,nf_nat_ftp,nf_nat_masquerade_ipv4,nf_nat_ipv4 nf_conntrack 94208 9 nf_conntrack_ftp,nf_conntrack_ipv4,xt_helper,nf_nat_ftp,xt_CT,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat iptable_raw 16384 1 iptable_nat 16384 1 nf_nat_ipv4 16384 1 iptable_nat iptable_filter 16384 1 ip_tables 28672 3 iptable_filter,iptable_raw,iptable_nat 我的iptablesconfiguration(由iptables-save生成,带有计数器) 我已经做了大部分的改变,在4.1内核中不需要伪装FTP。 我明白,现在你必须使用CT助手。 为了可读性,我已经削减了所有的日志logging规则,以及所有与ftp(samba,ssh,…)无关的规则。 生的 PREROUTING [21:1052] -A PREROUTING -p […]
我有两个虚拟机(服务器,客户端)与防火墙VPN。 当我尝试ping从客户端数据包的任何IPv6资源不会返回到客户端。 Tcpdump在enp0s3接口(服务器)中显示ICMP应答数据包,而不是在wg0(服务器上的vpn接口)。 但是,如果禁用nftables并启动ip6tables,一切正常。 经过这一步,我禁用ip6tables和启用nftables …所有继续工作… 软件版本: NixOS: 17.09.git.ebaff59 (Hummingbird) WireGuard: 0.0.20170706 Nftables: 0.7 使用下一个命令构buildISO映像: 服务器: nix-build -A config.system.build.isoImage -I nixos-config=./wireguard_server_10.nix ./nixpkgs/nixos/default.nix 客户: nix-build -A config.system.build.isoImage -I nixos-config=./wireguard_client_20.nix ./nixpkgs/nixos/default.nix 这里nix文件: https://gist.github.com/MrSorcus/d6d8b8b6acff715368844a643775c980 使用下一个命令创build虚拟机: 服务器: virt-install \ –name NixOSVS10 \ –ram 1024 \ –vcpus 1 \ –cdrom /tmp/nixos_10.iso \ –os-type linux \ –nodisk \ –network bridge=br0 \ […]
很久以前的读者,第一次海报.. yada yada yada .. 不pipe怎么说,我希望有人有一些广泛的iptables / netfilter LIMIT或HASHLIMIT模块的经验,并解释我目睹的行为。 背景:我们有一个networking服务器,并希望限制一个月内客户可以拥有多less连接(HTTP Keepaliveclosures,顺便说一句)。 所以,我正在尝试使用iptables LIMIT模块来限制它们的新连接数量,以每月设定的数量(比方说500)。 iptables LIMIT模块使用“令牌桶”algorithm,所以我应该能够将限制突发(桶大小)设置为500,将限制(重填率)设置为500除以28天或大约18 /天。 这将确保在一个月的时间(4周)内,如果每一次都完全清空,那么桶就会被重新填充。 (我知道这实际上会授予超过500个,但它应该足够接近我们的需要)。 这里是我的iptables规则(我们使用ipset对IP进行分组,LimBurTest4包含我的源testing机器) Chain INPUT (policy DROP 2316 packets, 186K bytes) pkts bytes target prot opt in out source destination 2952K 626M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED /* Accept outgoing return traffic */ 379 13702 […]
我试图configuration我的OpenVPN服务器(Ubuntu 16.04),使客户端无法与除OpenVPN服务器本身以外的任何其他设备进行通信。 我已经尝试从我的服务器configuration中删除客户端到客户端,但是这并不会阻止ping通过,大概是因为操作系统是通过接口从tun0路由数据包。 我已经尝试了这里提出的解决scheme,但没有任何效果。 我正在使用ufw来configuration我的防火墙,并试图直接在/etc/ufw/before.rules中将这个规则添加到iptables中,但没有任何更改。 我也调查过使用OpenVPN的内部数据包filter,但有关此function的文档是稀疏的。 示例服务器configuration指出:“强制客户端只能看到服务器,您还需要适当地防火墙服务器的TUN / TAP接口”,但我不清楚如何使用ufw或iptables来实现这一点。
我试图创buildredirect的系统日志UDPstream量从传入的IP:端口到其他端口在同一个Linux机器上。 这样做的目的是将来自服务器上的不同IP地址的stream量路由到根据目标地址在较高端口号上运行的服务。 操作系统:RHEL 7.2 规则: iptables -A PREROUTING -t nat -p udp –dport 514 -d ADDR -j REDIRECT –to-port 1514 为了debugging我也testing了: iptables -A PREROUTING -t nat -p udp –dport 514 -d ADDR -j LOG –log-prefix "SYSLOG_REDIRECT" iptables -t nat -L -v -n 计数器显示为0,没有logging日志 tcpdump显示在入口端口514上传入的stream量 目标IP地址(ADDR)被分配给子接口/别名接口enoXXXX:1 有人有类似的情况吗?
我想debugging一个SSL连接,所以我跟着这个问题的答案,并想运行第一个testing: # openssl s_client -connect SERVER_IP:PORT -state -debug 并得到以下输出: socket: Connection refused connect:errno=111 我查了一下,发现它与SSL无关,这意味着服务器没有运行,或者端口被防火墙阻塞。 我login到服务器,并检查,实际上它正在运行,并且端口是开放的监听所有的IP地址: # netstat -plan | grep PORT tcp 0 0 0.0.0.0:PORT 0.0.0.0:* LISTEN PID/java 下面是有趣的部分:当我使用我的服务器的内部IP来运行上面的openssl命令时,我得到了预期的输出。 无论我尝试从客户端还是从服务器本身连接到服务器,行为都是相同的。 我添加了端口到iptables。 以下是他们现在的样子: # iptables -L -v | grep PORT 40 4252 ACCEPT tcp — any any anywhere anywhere tcp dpt:PORT 0 0 ACCEPT tcp — […]
我有一个运行Ubuntu两个networking接口的VPS。 这是启用第二个networking接口后的ifconfig输出: ens32 Link encap:Ethernet HWaddr 00:50:56:a8:36:67 inet addr:192.168.1.20 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::250:56ff:fea8:3667/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1883513 errors:0 dropped:280 overruns:0 frame:0 TX packets:362667 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:251522994 (251.5 MB) TX bytes:72543049 (72.5 MB) ens34 Link encap:Ethernet HWaddr 00:50:56:9b:65:a0 inet addr:10.20.96.88 Bcast:10.20.97.255 Mask:255.255.254.0 inet6 addr: fe80::250:56ff:fe9b:65a0/64 […]
我注意到在一些随机的时间,我的iptables规则刷新,或不符合我的设置。 我是这个服务器的唯一用户,所以它不是另一个用户,但它是另一个程序,我猜。 如何知道什么程序或“东西”使用iptables命令? 非常感谢你 !
我试图build立一个虚拟机主机(当前运行的ubuntu + KVM),它将为不同的应用程序托pipe许多虚拟机。 例如,我们有一个虚拟机运行在一个虚拟机上,另一个虚拟机运行在另一个虚拟机上。 主办 / \ VM1 VM2 在内部,虚拟机在自己的虚拟networking上有自己的IP,但是从外部来看,只有一个IP地址是主机的IP地址。 在我们的networking上build立了一个指向主机IP的域,我可以设置一个iprule来将发往主机的stream量直接转发给其中一个虚拟机。 但是,为了使这两个虚拟机访问外部世界,不知何故,我需要转发基于URL的请求。 理想情况下,我想通过子域转发请求 http://vm1.host/ – > host – > VM1 http://vm2.host/ – > host – > VM2 但也可以通过URLpath: http:// host / vm1 – > host – > VM1 http:// host / vm2 – > host – > VM2 我已经在主机上安装了Apache 。 我需要什么types的转发/redirect/别名/反向代理规则才能使这种networking设置正常工作? 有什么额外的需要处理子域名?