我试图做一个非常安全的iptablesconfiguration。 我有一些旧configuration的问题。 具体来说,我曾经阻止了更多的ICMP,并允许一些特定的ICMPtypes,但这似乎导致定期的DNS问题。 这似乎工作(主要)。 我可以跟踪路由服务器就好了。 我首先在虚拟机上testing这一切。 它必须通过PCI合规性。 *filter :INPUT DROP [5:735] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -p tcp […]
MI在ipcop机器上有两个接口eth1(public)和eth0(local LAN)。 透明SQUID正在eth0上监听和caching,所有stream量都从eth1路由到公共Web访问。 由于eth1速度太慢,我想通过不同的DSL网关来分离某些端点stream量。 当前的eth0是192.168.1.1,eth1是dynamic的。 我创build了eth0:0作为192.168.50.1,并将SQUID的tcp_outgoing_connection设置为192.168.50.1。 DSL路由器IP是192.168.50.250。 我已经添加192.168.50.0/24的路由为192.168.50.250。 我可以通过这条路由ping外部服务器,但不通过鱿鱼(我可以看到连接传出从192.168.50.1:800到192.68.50.250,但它停在那里)。 在eth0上,所有通信都可以通过eth0networking。 我错过了什么? 我必须改变什么iptables /路由设置? 我需要postroute伪装吗? 使用台式机,我可以随意浏览192.168.50.250作为我的网关。 我不能使用iproute2或任何这些选项… 帮帮我?
假设我们有两个监听端口80和81的Web服务器实例,我想无缝地redirect客户stream量,而不会丢失实例1到实例2的任何数据包。 我的理解是,简单的新匹配会起作用。它是正确的吗? $ iptables -A PREROUTING -t nat -p tcp –dport 80 -m state –state NEW -j REDIRECT –to-port 81 我希望旧的连接在它们closures之前是开放的,并且任何新的连接将被redirect到新的端口。
如果我的服务器上有两个网卡,那么有什么区别 iptables -t nat -A POSTROUTING -j MASQUERADE 和 iptables -t nat -A POSTROUTING -j MASQUERADE –source 192.168.0.0/24 ? 当没有指定–source ,iptables会使用什么默认值?
我想将我的服务Mail,HTTP,Dev用Xen分解成独立的虚拟机。 我有一个公共的IP,并希望把所有的domUs在一个私人局域网通过端口转发暴露的服务。 在这种情况下最好的做法是什么? dom0作为防火墙还是分开的domU实例? 如何维护iptables规则(Xen也创build了一些规则)?
我打算将虚拟机从一个数据中心迁移到另一个数据中心。 虚拟机有一个公共IP地址,将在新的数据中心更改为另一个公共IP地址。 我打算更改虚拟机的DNS条目,因此它将反映新的IP,但是我希望在DNS传播更改时保持机器可访问性。 有没有一种方法可以configuration一些路由或iptables规则,以便任何数据包发往我的第一(旧)IP地址转发到我的第二(新)IP地址? 这样,用户宽度caching的第一个IP的DNS条目仍然能够访问虚拟机。 过了一段时间(1或2天),我可以安全地删除路由规则。 我对IP表不太了解,甚至不太了解路由。 除了一些学术论文,我甚至无法提供关于此的提示。
我有2台服务器,希望能够通过SSH从服务器A连接到B,反之亦然。 我应该在两台机器上设置哪些Iptables规则来实现这一点? SSH在默认端口22上运行
我需要一个规则,允许我将1723端口上的所有stream量发回到专用networking上的任意非网关盒子,并保持所有数据包信息不变。 我需要的目标机器是作为一个网关只为这个端口,虽然它没有configuration为一个标准的接口网关。 事情是这样设置的,以避免在工作请求中让电话公司给其路由器充电,坐在客户端。 我需要带有开放端口的盒子,以便在服务器和客户端之间的中间和前向stream量。 中间人是一台Windows机器,但我相信它configuration正确。 看着Wireshark,我的Linux机器永远不会发回它的数据,虽然ip_forward是1,我有一个DNAT重写规则在nat PREROUTING。 🙁
所以我试图接受端口80上的连接,只能从反向DNS具有CNAME别名的IP(例如*.test.mydomain.com : 1.1.1.1parsing为boo.foo.com 和 *.test.mydomain.com CNAME boo.foo.com 然后接受连接。 有小费吗?
如果我有两个网卡, eth0和eth1 。 此规则是否允许所有NIC上的所有传出通信? iptables -P OUTPUT ACCEPT 或者我必须 iptables -A OUTPUT -o eth0 -j ACCEPT iptables -A OUTPUT -o eth1 -j ACCEPT ?