我喜欢手动编辑iptables文件,但是有一些让我感到困惑。 从我如何从手册中了解iptables,它从上到下遍历规则,如果不可能匹配,它将被logging并被底部的默认规则拒绝。 都好。 但是这些是什么意思: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] <accept ssh, ssl, etc> <log all, deny all> 顶部的链条具有默认策略“接受” – 这只是一种说法,我们接受数据包进入filter表,为以后的匹配? 对于我来说,在阅读手册之后,感觉好像它会接受一切,然后不读规则,因为默认情况下这些规则是如何工作的 – 如果有任何匹配,它将停止阅读规则,然后执行政策的行为。 这种行为的任何文件? 我找不到足够具体的东西。 我也看过这个, *filter表后面: *filter :RH-Firewall-1-INPUT – [0:0] 这样就可以添加自己的连锁店,并将其他连锁店连接到这条连锁店: -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT 但是这里的“ACCEPT”或“DROP”并没有被指定,而是有一个破折号( – )。 这使我更加困惑 – 它是如何工作的?
我在康卡斯特的住宅networking上有几个networking。 我需要通过其中一台主机上的SSH代理从各种环境访问这些networking。 (正如我使用的是OpenWRT,所以一个特定的解决scheme将是有帮助的,但我也一般好奇,如何使用任何基于Linux或BSD的边缘路由解决scheme。 对于IPv4,这是相对直接的:因为我的所有内部IP都是通过DHCP分配的,所以我可以简单地设置一个转发规则,将外部接口上的端口22移动到特定IP上的端口22。 由于我的IPv6地址都是用SLAAC分配的,所以我没有一个静态地址可以在ip6tables-land中用来转发。 如何检测前缀分配的更改,以便我可以build立新的iptables规则? 还是有办法build立一个规则,转发到一个特定的主机基于从其MAC地址或类似的东西发现其IP地址? (这些主机都在一个单一的网段,所以多播等应该工作。)
我使用Puppet Iptables模块来pipe理我的机器上的Iptables规则。 我想实现的速率限制失败的SSH连接,如下所述: iptables -A INPUT -p tcp –dport 22 -m recent –update –seconds 60 –hitcount 5 –name SSH –rsource -j DROP iptables -A INPUT -p tcp –dport 22 -m recent –set –name SSH –rsource -j ACCEPT 是否有可能将其翻译成Puppet语法,如 firewall { '015 drop 5 failed attemps to connect to SSH in a minute ': proto => […]
我正在设置以下内容: —[IVR 1] | (internet)—-[CentOS box]—+—[IVR 2] | —[IVR 3] CentOS盒子的内部接口是192.168.110.1,IVR是192.168.110.101-103。 我想要做的是将一串外部UDP端口映射到每个IVR – 例如,端口10000-14999映射到IVR 1,15000-19999映射到IVR 2等。我遇到的问题是即端口必须直接映射 – 即从互联网到端口10000的内容将被发送到IVR上的端口10000,IVR 1中的端口10000发送的内容将从networking上的端口10000发送出去,面向CentOS盒子的界面。 iptables的NAT的东西都带有警告,它会尽量不重新映射端口,但可能不得不。 现在,我的选项如下所示: 单独映射端口(15,000 iptables行,每个端口一个) ipables -t nat -A PREROUTING -i eth0 -p udp –dport 10000 -j DNAT –to 192.168.110.101:10000 在UDP conntrack超时的情况下build立一个内核 这两者都非常有吸引力。 我错过了什么?
好吧,我有两个虚拟机都在ESXi下运行。 一台VM正在托pipeObservium,它使用SNMP来获取其信息。 我直接在我的ESXi主机上指出了Observium,它运行良好,所以Observium没有问题。 尝试使用正确的设置添加设备(尝试过SNMP v1 , v2c和v3 ),服务器始终没有响应。 在这种情况下,服务器的主机名是cal ,客户端的主机名是default ,只是为了说明。 我发送SNMP请求的客户端是全新安装的Ubuntu Server 14.04 LTS。 我所做的只是安装snmpd软件包,并对其进行configuration。 这是我的/etc/snmp/snmpd.conf : com2sec readonly default taylor group MyROGroup v1 readonly group MyROGroup v2c readonly group MyROGroup usm readonly view all included .1 80 access MyROGroup “” any noauth exact all none none syslocation “San Francisco, CA” syscontact [email protected] 据我的理解,在社区名称(即taylor […]
我们希望使用iptables来logging所有的networking连接, 除非连接地址是ABCD或连接地址是EFGH 。 如果没有包括我们想要包含的地址在内的范围,这两个地址不能合并成一个CIDR范围。 我通过添加这个iptables规则来获得部分path: -I INPUT ! -s ABDE -p tcp -m tcp –dport 3306 -m state –state NEW -j LOG –log-level 1 –log-prefix "New Connection " 但是,这仍然logging来自EFGH连接。 有没有办法让一切都没有logging? (这两个地址生成很多连接,我们不需要logging它们。)
我最近不得不重build我的iptablesconfiguration,当我运行 service iptables restart 我现在收到以下错误行: iptables: Loading additional modules: nf_conntrack_ftp [FAILED] 我的iptables-config文件包含以下行: IPTABLES_MODULES="nf_conntrack_ftp" 当我运行modprobe nf_conntrack_ftp时,响应是: FATAL: Module nf_conntrack_ftp not found. 这是我的iptables文件: 表:mangle链PREROUTING(策略ACCEPT)num目标protselect源目的地 链INPUT(策略ACCEPT)num目标protselect源 目的地1 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 状态NEW tcp dpt:8447 2 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0状态NEW tcp dpt:8443 链FORWARD(策略ACCEPT)num目标protselect源 目的地 链OUTPUT(策略ACCEPT)num目标protselect源 目的地 链POSTROUTING(策略ACCEPT)num目标protselect源 目的地 表:filter链INPUT(政策DROP)数目目标保护select来源目的地1 ACCEPT所有 – 0.0.0.0/0 0.0.0.0/0状态RELATED,ESTABLISHED 2 DROP tcp – […]
我已经在Fedora Server 21上安装并configuration了Squid,并进行了完整的更新。 我的代理的IP是145.130.33.133端口3128.首先,我修改我的规则和我的squid.conf。 在我的笔记本电脑与Fedora工作站21正常工作,同时在我的服务器上没有。 PC和笔记本电脑我都没有configurationiptables。 我错过了什么? 我附加了iptablesconfiguration PD:当iptables服务打开时,Httpd(Apache)不起作用 先谢谢了。
我是Centos 7 / Serverpipe理新手。 我想弄清楚如何使用firewalld。 我的内核版本是:2.6.32-042stab084.20(OpenVZ) 和: #firewall-cmd –version #0.3.9 问题是我无法从firewall-cmd中获得任何function。 以下是我尝试过的一些命令: # systemctl status firewalld -l firewalld.service – firewalld – dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) Active: active (running) since …; Main PID: 120 CGroup: /system.slice/firewalld.service └─120 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid systemd[1]: Starting firewalld – dynamic firewall daemon… systemd[1]: Started firewalld – […]
我有以下设置: Box A eth0 – 192.168.1.101 eth1 – 10.10.2.1 Box B eth0 – 10.10.2.2 方框A通过eth0访问互联网。 我希望Box B可以在192.168.1.0/24networking上看到,所以我可以直接从另一个Box上SSH,但Box A也必须可用。 我想在Box A上创build一个到eth0的虚拟ip,然后把所有的stream量转发到Box B ifconfig eth0:0 192.168.1.102 iptables -t nat -A PREROUTING -i eth0:0 -j DNAT –to-destination 10.10.2.2 但似乎并不奏效。 此外,IP转发启用和框B有互联网接入 iptables -t nat -A POSTROUTING -j MASQUERADE