我有一台在网关上运行的Debian服务器。 这运行鱿鱼创build网站块列表 – 例如。 阻止局域网上的社交networking。 也使用iptables。 我可以用squid和iptables做很多事情,但是有一些东西似乎很难实现。 1)如果我通过他们的http url阻止facebook,人们仍然可以访问https://www.facebook.com,因为默认情况下,squid不会通过httpsstream量。 但是,如果用户在其Web浏览器上将网关IP地址设置为代理,则https也会被阻止。 所以我可以做一件事情 – 使用iptables删除所有传出的443stream量,以便人们被迫在其浏览器上设置代理以浏览任何HTTPSstream量。 但是,有没有更好的解决scheme呢。 2)随着鱿鱼被封锁的网站数量的增加,我正计划整合鱿鱼卫士。 但是,好的squidguard列表不是免费的商业用途。 任何人都知道一个好的鱿鱼卫士清单是免费的。 3)阻止雅虎通,GTalk等。这些即时通讯软件的工作有这么多的端口。 你需要在iptables中删除大量的输出端口。 但是,新的端口被添加,所以你必须不断添加它们。 即使你的端口列表是最新的,人们仍然可以使用networking版的gtalk等。 4)阻止P2P。 到现在为止还没有弄清楚如何做到这一点。
我使用的是Ubuntu 10.10 我有一个名为“备份”的本地备份用户。 🙂 我想给这个用户一个1Mbit的带宽。 无论哪个软件想要连接到networking。 此解决scheme限制: iptables -t mangle -A OUTPUT -p tcp -m owner –uid-owner 1001 -j MARK –set-mark 12 iptables -t mangle -A POSTROUTING -p tcp -m owner –uid-owner 1001 -j MARK –set-mark 12 tc qdisc del dev eth0 root tc qdisc add dev eth0 root handle 2 htb default 1 tc […]
我知道在serverfault这是一个非常问的问题,但是我没有一个consise答案(或没有足够的阅读:D)我也知道,你们中的一些人可能认为这是一个antimanager的做法(可能是)但必须完成的地方… 目前我正在申请一个iptables阻止政策与鱿鱼结合,但没有工作,因为我们需要访问某些谷歌网站或Skype服务,这些都是由https访问,也交换他们的IP地址是很难保持轨道… … – 我的一个朋友推荐我Astaro我还没有看到它,你能build议一个工具,通过端口网站做过滤/域? 编辑问题 有没有办法阻止HTTPS网站的域名或最好的办法做到这一点? Astaro看起来像一个替代品,但它看起来像一个普通的旧的Web代理
我在/etc/hosts.deny文件中有以下内容 # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In […]
我有一台运行在一台机器上的数据库服务器(特别是东京暴民)和一台运行在另一台机器上的networking服务器。 我需要在两台机器上安装iptables,以便Web服务器可以在数据库服务器上进行查询。 目前,当我从Web服务器上尝试这个时,我得到“连接被拒绝”: tcrmgr list ${ip_of_db_server}:${port} 最好,数据库服务器应该只接受来自Web服务器的IP地址的stream量。 我是新来的iptables,所以这可能是显而易见的,但我挣扎。 任何帮助非常感谢 – 谢谢! (编辑:注意这是我的iptables规则列表: sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:ssh ACCEPT tcp — anywhere anywhere tcp dpt:www DROP all — anywhere anywhere […]
我有以下规则: iptables -t nat -I PREROUTING -d 1.2.3.4 -p udp -m udp –dport 6881 -j DNAT –to-destination 10.11.12.6 iptables -N RTORR iptables -I FORWARD -s 10.11.12.16 -p udp -m udp –sport 6881 -j RTORR iptables -A RTORR -d 2.3.4.5 -j ACCEPT iptables -A RTORR -j DROP 但过滤不起作用。 看起来像数据包没有达到FILTER规则。 是否有可能过滤预先路由的数据包?
iface eth0上有两个ip地址: eth0 Link encap:Ethernet HWaddr 00:19:99:a4:14:08 inet addr:85.25.152.115 Bcast:85.25.152.255 Mask:255.255.255.0 inet6 addr: fe80::219:99ff:fea4:1408/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:233866 errors:0 dropped:0 overruns:0 frame:0 TX packets:145186 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:175800889 (167.6 MiB) TX bytes:38033903 (36.2 MiB) Interrupt:18 eth0:1 Link encap:Ethernet HWaddr 00:19:99:a4:14:08 inet addr:85.25.248.216 Bcast:85.25.248.255 Mask:255.255.255.192 UP BROADCAST […]
我有一个两个接口Linux的iptables防火墙。 目前我有一个私人networking192.168.0.x后面有几个服务器。 防火墙目前在本地configuration了每个IP,并使用NAT将端口转发到相应的服务器,例如: 208.80.x.130:80 – > 192.168.0.130:80 我的界面如下所示: vlan1 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.129 Bcast:208.80.x.159 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1140818 errors:0 dropped:0 overruns:0 frame:0 TX packets:1108086 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:462146250 (440.7 MiB) TX bytes:590006065 (562.6 MiB) vlan1:0 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.130 Bcast:208.80.x.255 Mask:255.255.255.224 UP […]
我试图通过使用TUN设备捕捉和操纵传入的IP数据包(通过eth0接口)(因为我只关心IP层)。 我认为的第一步是从eth0到tun0的1:1数据包转发,但是我不能通过iptables和/或路由表来实现。 我究竟做错了什么? 有一个简单的方法来做到这一点? 我在Fedora中启用了IPv4转发function,并添加了所有正确的iptables规则,但无论我尝试什么,它似乎都不起作用。 有没有更简单的方法来解决这个问题? 通常我可以使用libpcap,但我需要能够丢弃数据包和其他选项,我没有看到在libpcap中。 任何build议将不胜感激。
我试图在Ubuntu Server 10.04上build立一个运行Heartbeat,Pacemaker和Varnish的两个VMware虚拟机的集群,目的是将它们作为主要和备用的装载器平衡器用于进一步的虚拟机。 Varnish工作正常,并且Heartbeat按照以下ha.cfconfiguration按照预期来select这两个虚拟机: autojoin none bcast eth0 crm respawn deadtime 20 initdead 120 keepalive 2 logfacility syslog node VMViper node VMJester warntime 5 VPViper的IP为192.168.1.54,VMJester的IP为192.168.1.53。 我已经在/ etc / hosts中设置了这些设置,并在我的物理路由器(使用Tomato 1.28的WRT54GL)上使用了静态的DHCP。 我可以通过这些IP在浏览器中看到后端网站。 IPTables看起来像: :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED […]