我想转发到80基于主机名的各种端口传入的stream量。 以前在serverfault我已经看到使用ldirectord,只是iptables,haproxy和其他代理服务器的解决scheme。 考虑到我正在寻找简单的代理,那么ldirectord vs haproxy的pro和con可能是什么,或许是一些纯粹的基于iptables的解决scheme? 一B
我有一个奇怪的端口转发问题。 端口转发到我的内部networking服务器(端口80上的10.0.0.10)工作没有问题,但端口转发到端口3389上的Windows服务器(10.0.0.15)不起作用。 港口3389是开放的。 有任何想法吗? 谢谢! #!/bin/sh IPTABLES="/sbin/iptables" $IPTABLES –flush $IPTABLES –table nat –flush $IPTABLES –delete-chain $IPTABLES –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE $IPTABLES -t nat -A PREROUTING -p tcp -i eth0 -d 188.40.XXX.XXX –dport 3389 -j DNAT –to 10.0.0.15:3389 $IPTABLES -t nat -A PREROUTING -p tcp -i eth0 -d 188.40.XXX.XXX –dport 80 -j […]
手册不是很清楚,在线文章和教程不费心去解释它。 -m tcp和-p tcp一起使用有什么意义? 这似乎是多余的,这使我困扰… 谢谢
这可能是基本的,但我是一个开发人员,真的没有iptbles的经验。 我需要打开的唯一连接是: eth0 (外向) SSH 平 SSL到tomcat(转发端口443到8443) eth1 (本地子网) 连接到postgres服务器 其他一切都应该被阻止。 我目前的尝试似乎是打开所有其他端口。 我不知道是什么给了。 谢谢serverfault!
我试图确定是否可以为整个networking(包括客户服务器)使用单个防火墙,或者每个客户应该拥有自己的防火墙。 我发现很多托pipe公司要求每个客户端都有一个服务器集群来拥有自己的防火墙。 如果你需要一个networking节点和一个数据库节点,你还必须得到一个防火墙,并支付另一个月的费用。 我有多个KVM虚拟化服务器托pipeVPS服务的空间,以供不同的客户使用。 每个KVM主机都运行一个软件iptables防火墙,只允许在每个VPS上访问特定的端口。 我可以控制任何给定VPS打开的端口,允许从端口80和443上的任何地方访问Web VPS,但是完全阻止数据库VPS到外部,并且只允许某个其他VPS访问它。 configuration适合我目前的需求。 请注意,目前没有硬件防火墙保护虚拟主机。 但是,KVM主机只有22端口是打开的,除KVM和SSH以外什么都不运行,甚至端口22除了在networking块之外都不能被访问。 我现在正在考虑重新考虑我的networking,因为我有一个客户需要从单个VPS转换到两个专用服务器(一个networking和一个数据库)。 一个不同的客户已经有一个专用的服务器,除了在系统上运行的iptables之外,不在任何防火墙之后。 我是否应该要求每个专用服务器客户都有自己的专用防火墙? 或者我可以为多个客户群使用单一的networking防火墙吗? 我熟悉iptables,目前我正在考虑将它用于任何我需要的防火墙/路由器。 但是我不一定要把每个防火墙的1U空间用在每个防火墙上,也不需要每个防火墙服务器的功耗。 所以我正在考虑一个硬件防火墙。 任何build议什么是一个好方法?
iptables -A INPUT -m state –state NEW -m recent –set # If we receive more than 10 connections in 10 seconds block our friend. iptables -A INPUT -m state –state NEW -m recent –update –seconds 5 –hitcount 15 -j Log-N-Drop 我从iptables有这两个相关的规则。 如果超过15个连接在5秒内完成,则logging尝试并将其阻止。 iptables维护柜台多久? 如果再次尝试连接,它会刷新吗?
谈到路由器时,我有比Linux更多的思科背景。 在devise我的防火墙规则时,我已经习惯了in特定的接口上附加ACL。 我想我可以通过让FORWARD链跳转到每个接口的自定义链来模仿IP Tables的这种行为。 例如(默认策略将是DROP): iptables -N INET_IN iptables -A FORWARD -i eth0 -j INET_IN iptables -A INET_IN -m tcp -p tcp –dport 80 -d 12.12.12.12 -j ACCEPT 我可能会最终使用状态检查,但以上是总体思路。 有没有什么理由可能会导致我麻烦或不工作? 如果这样做,这是不是这样做,我需要一些再教育?
需要哪些规则才能在IPTables上使用ucarpstream量?
可能重复: 你能推荐一个很好的iptables介绍吗? 我将在我的服务器上设置IPTables。 我从来没有做过任何IPTables,想要开始。 你最常用的configuration是什么,或者你的必备品?
我有一个需要帮助的情况。 我有客户需要将stream量重新路由到远程服务器上的特定端口,我想使用iptables为我redirect它。 这是configuration: 客户端使用SMTPstream量smtpout.secureserver.net。 服务器将接受端口80或端口3535上的SMTP通信。问题是我已经将发往端口80的stream量redirect到端口8080上的传输代理。当客户端尝试向外发送电子邮件时,连接超时。 我想要做的是构build一个iptables规则,redirect到smtpout.secureserver.net:80到smtpout.secureserver.net:3535的stream量。 这是我迄今为止,但似乎没有按照我所期望的方式工作: -A PREROUTING -i eth1 -d 72.167.82.80/32 -p tcp –dport 80 -j DNAT –to-destination 72.167.82.80:3535 -A POSTROUTING -j MASQUERADE