我试图configuration一个linux pc路由器,必须处理路由和使用NAT来提供连接到内部networking(它也是DHCP服务器和防火墙)。 在外部计算机有2个接口连接2个cablemodem(它通过DHCP获得公共IP)。 该scheme如下所示: http : //img810.imageshack.us/img810/411/filer.jpg 考虑到外部接口的dynamicangular色,我将不得不添加一些脚本到/etc/network/if-up.d和/etc/network/if-down.d,以build立正确的值,但现在我只是想确保它的工作。 所以,我使用这个基本的configuration: http : //pastebin.com/raw.php?i=tvSj0d5S 在testing中,我所做的一台电脑可以连接到互联网,但另一台却不能。 通过与wireshark嗅探,我已经看到非工作PC如何发送它的数据包,路由器redirect后,应用NAT和响应再次到达路由器,但NAT不是“撤消”,并且PC从不接收它们。 在另一台电脑相反,完美的作品。 当然,我有两个默认网关(每个提供商一个),通过显示路由列表(route -n)出现。 假设这两个外部接口都有众所周知的地址和网关(我总是得到相同的地址,所以testing它应该以同样的方式工作)什么是在这里失败? 我应该使用SNAT目标而不是MASQUERADE吗? 我应该使用iproute2的“route from”function而不是fwmark吗? 在此先感谢和问候
我希望有人可以帮助我 – 我一直在撕掉我的头发! 我有pptpd和鱿鱼设置。 我想让这些用户访问互联网,但想通过鱿鱼代理发送httpstream量。 希望这个粗略的图表能给你一个我想要实现的想法: VPN users connect to pptpd (via eth0) \ | / | | / \ http everything else | | | | | | squid | | | \ / \ / | NAT | internet (via eth0) 如果我设置了以下iptables规则,用户可以连接到互联网: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 我也可以直接连接到鱿鱼,它按预期工作。 现在,我希望另一个简单的规则将通过鱿鱼redirect所有的httpstream量: […]
如何在Ubuntu服务器上完美地刷新iptables没有任何风险? 我有一些Ubuntu的云服务器,我会通过SSH访问它们。 我在文件“/etc/iptables.rules”中input我的iptable规则,并且将使用命令“iptables-restore </etc/iptables.rules”应用这些规则。 猫/etc/iptables.rules *过滤 :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -Ainput-i lo -j接受 -Ainput-m状态 – 状态RELATED,ESTABLISHED -j接受 -A INPUT -m状态-i eth0 – 状态ESTABLISHED,RELATED -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -Ainput-p tcp -m tcp –dport […]
我需要在iptables中创build一个路由,当我连接到外部FTP服务器时,允许使用我的第二个IP地址作为源(不是默认值)。 我如何创buildiptables的路线? 我不是很熟悉Linux / Redhat的命令的任何帮助将不胜感激。 感谢任何方向!
我试图让我的MySQL服务器(在Ubuntu上运行)监听端口3306 和 110,因为我想从一个networking很less打开端口访问它。 到目前为止,我发现这个答案告诉我要做 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 110 -j REDIRECT –to-port 3306 但我得到的是: # mysql -h mydomain.com -P 3306 -u username –password=xyz Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 68863 Server version: 5.0.75-0ubuntu10.5 (Ubuntu) Type 'help;' or '\h' for […]
这是我正在处理的规则: iptables -A QUERY -p udp -m length –length 24:63 -m udp -m string –algo bm –hex-string '|ffffffff|' –from 12 –to 28 -j QUERYLIMIT 有没有办法检查只有UDP有效载荷,而不是处理整个头? 该规则的问题是标题大小可能会改变。 我知道-m u32 …是处理它的唯一方法吗?
我在端口7000上的服务器上运行一个Web服务器。我希望它可以在端口80上访问。我读过这可以很容易地完成iptables端口转发。 什么正确的命令将是实现这一目标? Ë
所以,看起来大约有两个IP地址通过UDP将我的HTTP服务器(apache)重载,我无法使用IP表来阻止这个。 我正在使用CentOS 5.我设法阻止了一些其他IP地址过载TCP,但似乎无法停止UDP。 我已经缩小了违者使用UDP连接连接到随机端口,但在iptables中的以下条目不起作用: -A INPUT -s <offending IP> -p udp -j DROP 任何人都可以提供一些build议,我做错了什么? 更新:我注意到,所有违规的传入连接是从端口53,所以下面,它似乎工作: -A INPUT -s <offending IP> -p udp –dport 53 -j REJECT
我想让iptables从内部从一个端口redirect到另一个,只有当一个服务正在监听那个端口。 可能吗?
有一个网站托pipe服务器上有几个网站。 我需要阻止某些网站的一些子网(IP范围)。 有没有可能? 我试过这样的事情: iptables -A OUTPUT -m owner –uid-owner 99 -d 123.123.0.0/13 -j REJECT 但它只适用于“nobody”用户,并阻止所有网站。 与另一个用户ID它不起作用。 有什么build议么? 请帮助,提前谢谢。