Articles of iptables

从远程IP分配用户连接到数据库时，表示无法连接。 它也没有连接到根，所以出了什么问题。 绑定IPclosures，我也尝试禁用iptables，仍然没有骰子。 端口3306被转发。 我在Centos 5.6上运行，使用phpmyadmin，但我也尝试通过命令行分配用户，并创build一个新的数据库，仍然无法正常工作。 现在几个小时一直在search和排除故障，没有骰子。

我推送了一个适量的stream量（约20 req / s）到一个运行在Apache服务器上的简单PHP API。 Apache服务器瘫痪（mod_status几乎没有注册一个活动的请求），但是，我看到“连接被拒绝”的错误发生，尽pipe这样。 我尝试清理uname -n和MinSpareServers ，但没有任何效果。 我在加载的时候运行了一个诊断脚本，我发现10个请求中有1个失败，连接被拒绝 while [ 1 ]; do echo "" | telnet <server> 80; sleep 1; done 但是，当在本地机器上运行一个类似的请求时，它很好。 while [ 1 ]; do echo "" | telnet localhost 80; sleep 1; done 最初我以为可能是所有的请求都来自同一个客户端，并且服务器被限制了。 但是，在负载下，尝试连接的所有其他主机将看到相同的间歇性问题。 本地主机的行为不同的事实表明，这是一个networking，而不是Apache的问题，但我不知道在哪里诊断。 是否有日志logging，我可以检查/启用，以查看连接拒绝是否在O / S（或可能是iptables）级别发生。 相关软件： Ubuntu Lucid，2.6.33内核 Apache 2.2.14 更新： 在我们的iptablesconfiguration中，我可以在“Chain TCPACCEPT”下看到以下规则： 655K 34M […]

我不能拒绝访问FTP的IP地址。 首先，我需要拒绝一切，所以我喜欢这个： #iptables -F #iptables -P INPUT DROP #iptables -P OUTPUT DROP #iptables -P FORWARD DROP 然后我打开FTP： #modprobe ip_conntrack_ftp #iptables -A INPUT -p TCP -i eth0 –dport 21 -m state –state NEW -j ACCEPT #iptables -A INPUT -p ALL -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT #iptables -A OUTPUT -p ALL -o eth0 -m […]

我知道这不是最好的解决scheme，它不是一个生产服务器，但是，我仍然试图删除请求到一个域，如果它不匹配域string。 如果我自己应用这个规则，到目前为止它是有效的，但是它不会与其他规则一起工作。 我猜是因为iptables对命令敏感。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Allow unlimited traffic on loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow full outgoing connection but no incomming stuff iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT […]

我有两个接口：eth0（公共地址）和10.0.3.1的lxcbr0。 我有一个LXC客户端运行IP 10.0.3.10 这是我的fireholconfiguration： version 5 trusted_ips=`/usr/local/bin/strip_comments /etc/firehol/trusted_ips` trusted_servers=`/usr/local/bin/strip_comments /etc/firehol/trusted_servers` blacklist full `/usr/local/bin/strip_comments /etc/firehol/blacklist` interface lxcbr0 virtual policy return server "dhcp dns" accept router virtual2internet inface lxcbr0 outface eth0 masquerade route all accept interface any world protection strong #Outgoing these protocols are allowed to everywhere client "smtp pop3 dns ntp mysql icmp" accept #These (incoming) […]

有没有办法删除所有与给定接口有关的iptables规则？ 我没有看到任何命令行选项，可能是这里有一个shorcut bash脚本？

我正在用虚拟机构build一个小型办公室networking。 我的模式是这样的： 计算机A ：网关，ip 1.1.1.1 ，用于NAT的iptables [eth0 =公网dhcp，dhcp; ETH1 =网关] 计算机B ：使用来自计算机A的网关的客户端ip 1.1.1.2 。 NAT正在工作，而计算机B可以使用A的网关访问互联网。 我将一些传入端口从Aredirect到B（例如，如果A接收到端口80的请求，它将自动进入计算机B的Apache）。 问题是我真的不知道如何从计算机A打开/closures计算机B的端口。我知道如何closures一个端口： iptables -A INPUT -p tcp –dport 80 -j DROP 它将拒绝所有到端口80的input（不是输出）连接。但是，这对于主接口eth0是有效的。 举例来说，我试图为计算机B，端口80放入和传出连接： iptables -A FORWARD -i eth1 -o eth0 -p tcp –dport 80 -j DROP iptables -A FORWARD -i eth0 -o eth1 -p tcp –dport 80 -j DROP 但它不起作用。 […]

我们有一个Centos 6 VPS，最近被迁移到一个新的机器在同一个networking托pipe公司。 它运行WHM / cPanel并安装了csf / lfd。 csf是build立在大多数香草configuration。 我不是iptables专家，csf以前也没有让我失望。 如果一个端口不在TCP_IN列表中，它应该被iptables在防火墙上阻塞。 我的问题是我可以telnet到端口3306从外部主机，但我认为iptables应该阻止3306由于csf的规则。 由于这个开放的港口，我们现在没有进行安全检查。 （这个输出被混淆以保护无辜：www.ourhost.com是带有防火墙问题的主机） [root@nickfenwick log]# telnet www.ourhost.com 3306 Trying 158.255.45.107… Connected to www.ourhost.com. Escape character is '^]'. HHost 'nickfenwick.com' is not allowed to connect to this MySQL serverConnection closed by foreign host. 所以连接build立了，MySQL由于configuration的原因拒绝连接。 我需要防火墙级别的networking连接在到达MySQL之前被拒绝。 使用WHM的csfnetworking用户界面我可以看到“防火墙configuration”包含一个相当明智的TCP_IN行： TCP_IN: 20,21,22,25,53,80,110,143,222,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096,8080 （让我们忽略我现在可以修改一下，我担心的是3306 没有在列表中列出） 当csf重新启动时，它会logging通常的输出，因为它设置了iptables规则，例如看起来像阻塞所有stream量，然后允许特定的端口，如SSH在22： [cut] DROP all opt […]

当我尝试连接到我的Tomcat服务器上的http://<servername>:8080它工作正常，但从另一个ISP提供它给出了以下错误： HTTP through a proxy server is not allowed. 有些ISP显然不允许通过端口8080的HTTP，因为他们认为客户端使用代理。 我的网站上也有一个80端口的httpd 。 所以为了避免代理错误，我想对以下路由做出解释： 如果用户连接到http://<servername> ，那么网站通过apache提供服务。 如果用户连接到http://<servername>/AppName ，则该端口将重新路由到8080，而无需客户端（或其ISP）知道。 这是可能的（使用iptables或其他）？ 谢谢

我们使用keepalived来pipe理我们的Linux虚拟服务器（LVS）负载平衡器。 LVS VIP设置为使用iptables中configuration的FWMARK。 virtual_server fwmark 300000 { delay_loop 10 lb_algo wrr lb_kind NAT persistence_timeout 180 protocol TCP real_server 10.10.35.31 { weight 24 MISC_CHECK { misc_path "/usr/local/sbin/check_php_wrapper.sh 10.10.35.31" misc_timeout 30 } } real_server 10.10.35.32 { weight 24 MISC_CHECK { misc_path "/usr/local/sbin/check_php_wrapper.sh 10.10.35.32" misc_timeout 30 } } real_server 10.10.35.33 { weight 24 MISC_CHECK { misc_path "/usr/local/sbin/check_php_wrapper.sh 10.10.35.33" […]