我有3个Linux系统A,B和C.A是一个TCP客户端,并且向C上的TCP服务器发送一个消息.A只能看到位于wlan0接口的B的外部IP,192.168.0.3 —————— ——————— ————————– System A System B System C 192.168.0.5 wlan0 <—–> 192.168.0.3 wlan0 192.168.61.73 eth0 <—> 192.168.61.81 eth0 TCP Client TCP Server on 192.168.61.81 —————— ———————- ————————- TCP客户端发送消息到192.168.0.3。 这应该被redirect到系统C的端口8036上的192.168.61.81上运行的TCP服务器(通过B的eth0接口)。 因此,我写了下面的ip表规则,然后在C上启动服务器,并从A上的TCP客户端发送消息。我可以在wlan0上从A上看到系统B上的数据包,但是它们永远不会被转发。 系统B似乎是从A接收SYN数据包,但将其丢弃(请参阅日志)。 这是我在系统B上做的: #Enable IP Forwarding for NAT echo "1" > /proc/sys/net/ipv4/ip_forward #Flush all iptable chains and start afresh sudo iptables -F #Forwarding rules […]
我的目标是在端口3000上运行一个web服务器,并通过端口80将其提供给我的networking。到目前为止,我发现的最好的答案是这个不错的一行。 iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 3000 但是,这只会影响传入的包,我希望客户端从端口80得到他的回应。接下来的问题是,networking服务器应该只能通过端口80到达。到目前为止,我坚持这种configuration。 # Default Chain Policies iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP # Allow Loopback Access iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT […]
我试图设置一个iptablesconfiguration,使得只有在状态为ESTABLISHED的情况下才允许来自我的CentOS 6.2服务器的出站连接。 目前,下面的设置对于sshd来说是非常好的,但是所有的Samba规则完全被忽略了,这是我无法弄清楚的。 iptables Bash脚本来设置所有规则: # Remove all existing rules iptables -F # Set default chain policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # Allow incoming SSH iptables -A INPUT -i eth0 -p tcp –dport 22222 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp […]
我pipe理托pipe公司的服务器。 Apache设置为侦听端口80和443. HTTP(端口80)通信正常工作。 我也可以使用端口22的ftp和telnet。问题 – 当我尝试使用https连接时,我找不到服务器。 所以我打开tcptrack,我可以看到我的https请求进入端口21,这是不是正在聆听。 域名被分配给分配给分配给服务器的专用IP的公共IP。 这是我已经安装的第三台服务器,其他两台都没问题。 只有这一个RedHat服务器有这个问题。 任何帮助,将不胜感激。 lsmod | grep ip_tables ip_tables 55329 2 iptable_filter,iptable_mangle x_tables 50377 3 ip_tables,ipt_REJECT,xt_tcpudp iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
是否有语法来过滤基于多个接口标准? 例如 iptables -A INPUT ! -i eth0 (and ! -i lo) -m limit –limit 5/s -j LOG –log-level 4 基本上,我想包括除eth0和lo以外的所有接口的日志条目。 更广泛地说,是否有创build复合标准和/或类似操作的方法。
当我将此添加到iptabls它的工作原理 -A INPUT -p tcp –dport 100 -j DROP 但是,当我尝试更改端口号到一个我不需要任何反应任何人都可以帮助?
这是iptables停止sync_flood攻击的规则: iptables -A INPUT -m state –state NEW -p tcp -m tcp –syn \ -m recent –name synflood –set iptables -A INPUT -m state –state NEW -p tcp -m tcp –syn \ -m recent –name synflood –update –seconds 1 –hitcount 60 -j DROP 错误: iptables: Unknown error 4294967295 我不知道该怎么做,插入最后一条规则时会出现这个问题“-m recent –name synflood –update –seconds 1 […]
我正在尝试使用以下命令设置port 12345到port 54321 UDP端口转发: iptables -t nat -A PREROUTING -p udp -i eth0 -d 192.168.0.1 –dport 12345 -j DNAT –to 192.168.0.1:54321 iptables -A FORWARD -p udp -i eth0 -d 192.168.0.1 –dport 54321 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 这适用于新的连接,但是,它不适用于当前活动的连接。 为了说明我的意思,假设在添加规则之前,存在来自192.168.0.2:55555 <—> 192.168.0.1:12345的活动连接,并且我试图redirect192.168.0.1:12345上的所有传入连接192.168.0.1:12345到192.168.0.1:54321 。 添加上述两条规则之后, 192.168.0.1:12345所有其他报文都将从192.168.0.2:55555接收,但192.168.0.1:12345报文除外。 我猜这个连接的状态起了一个作用。 我怎样才能解决这个问题,并从192.168.0.1:55555到目的地port 12345得到传递到port 54321 port 12345的数据包?
我对于使用命令行相对来说比较陌生,所以我对于摆弄IP表非常紧张,并且不小心做了一些错误,从而在防火墙中造成漏洞。 所以,我想我会问在这里,如果我的命令使用是正确的,实际上试图通过SSH添加此白名单规则。 iptables -I INPUT -p tcp -m multiport –dports http,https -s 204.93.240.0/24 204.93.177.0/24 199.27.128.0/21 173.245.48.0/20 103.22.200.0/22 141.101.64.0/18 108.162.192.0/18 190.93.240.0/20 188.114.96.0/20 -j ACCEPT 这个用法是否正确? 不太确定是否可以一次添加所有这些IP,或者如果我必须逐个手动添加它们。
我在办公室有一个“开发”的KVM服务器,在一个桥接networking设置中安装了一些KVM客户机。 对于每个KVM guest虚拟机,当guest虚拟机启动时,在节点上创build名为kvm[id].0例如kvm126.0的虚拟接口。 昨天我四处游玩,想看看如果我需要的话,我可以如何解决KVM客人的问题。 所以我尝试了route add ip_address reject没有效果,因为没有效果有route add ip_address gw 127.0.0.1 lo或ip route add blackhole ip_address/32 。 由于这是一个桥接networking设置,我得到为什么上述不起作用。 接下来尝试使用iptables; 我试过了 iptables -A INPUT -s ip_address -j DROP iptables -A FORWARD -s ip_address -j DROP 这个伎俩,我不能ping KVM的客人了。 现在的事情是,如果我是一个恶意用户,我会开始尝试其他邻居IP,直到我find一个不与另一个客户冲突,并静态分配给我的VPS。 所以我想知道的是,如果有一种方法可以阻止来自该客户的特定界面的stream量,则无论他设置了哪个IP来configuration他的客户机。