我正在尝试将输出的UDP数据包与X的源端口转换为Y的源端口。 我已经使用下面的iptables规则做到了这一点: iptables -t nat -A POSTROUTING -s 10.0.0.1 -p udp –sport X -j SNAT –to-source 10.0.0.1:Y 这个规则的计数器在源端口为X的数据包生成时增加,但在此之后完全消失。 我找不到他们在任何其他链或表的计数器,并不能看到他们在使用tcpdump的任何接口。 如果我删除了这个规则 ,那么数据包就会和X的源端口一起收到。但是一旦我把规则放回去,数据包就会消失。 我正在使用在Voyage Linux上运行的iptables版本v1.2.11。 我无法轻易更新,因为这需要在几百个远程设备上完成。 我究竟做错了什么? 编辑:添加下面的iptablesconfiguration,有关特定应用程序,不能影响这个规则已被删除。 # Clear any existing rules iptables -v -t filter -F iptables -v -t nat -F iptables -v -t mangle -F iptables -v -t filter -X iptables -v -t nat […]
在iptables中似乎有许多不同的方法来设置白名单规则。 下面通过SSH将CloudFlare IP地址范围列入白名单的最明智的方法是什么? 204.93.240.0/24 (204.93.240.0 – 204.93.240.255) 204.93.177.0/24 (204.93.177.0 – 204.93.177.255) 199.27.128.0/21 (199.27.128.0 – 199.27.135.255) 173.245.48.0/20 (173.245.48.0 – 173.245.63.255) 103.22.200.0/22 (103.22.200.0 – 103.22.203.255) 141.101.64.0/18 (141.101.64.0 – 141.101.127.255) 108.162.192.0/18 (108.162.192.0 – 108.162.255.255) 190.93.240.0/20 (190.93.240.0 – 190.93.255.255) 188.114.96.0/20 (188.114.96.0 – 188.114.255.255) 根据他们的常见问题解答,应按照以下步骤完成: iptables -I INPUT -p tcp -m multiport –dports http,https -s CLOUDFLARE_IP_RANGE -j ACCEPT 但是,这会产生以下错误: Bad […]
场景: INTERNET — VPN-Server <—-> ROUTER <—-> Roadwarrior <—-> Subnet 132.1.1.1 192.168.2.1 192.168.2.50 176.168.10.0/24 | INTERNET VPN-Server:CISCO Roadwarrior:linux上的racoon 我正在尝试设置该场景,以便来自子网176.168.10.0/24的所有INTERNETstream量都通过VPN服务器,而不是通过路由器。 到目前为止:我可以通过Roadwarrior连接到VPN服务器。 此外,roadwarrior上生成的所有stream量都通过VPN服务器传输到互联网。 然而,来自子网的stream量使用以下命令路由,通过互联网上的路由器: iptables -t nat -A POSTROUTING -s 176.168.10.0/24 -j SNAT –to-source 192.168.2.50 使用以下命令,子网中的stream量不会通过路由器或通过VPN-Server传递到Internet: iptables -t nat -A POSTROUTING -s 176.168.10.0/24 -j SNAT –to-source 132.1.2.2 (internal ip assigned to roadwarrior from VPN-Server) 有任何想法吗? 勇士之路: eth0 […]
任何人都可以提供tc命令来限制Debian Lenny中每个用户的上传带宽? 我发现用iptables标记每个用户的数据包,我可以使用下面的命令 iptables -t mangle -A OUTPUT -p tcp -m owner –uid-owner testuser -j MARK –set-mark 500 但我不知道如何使用tc 更新 通过运行以下命令,我设法限制testuser上传带宽到10Mbit iptables -t mangle -N HTB_OUT iptables -t mangle -I POSTROUTING -j HTB_OUT iptables -t mangle -A HTB_OUT -j MARK –set-mark 30 iptables -t mangle -A HTB_OUT -m owner –uid-owner testuser -j MARK –set-mark 10 […]
在内核日志中有数百个这样的行。 源是VPS的外部IP(不是本地主机,也不是127.0.0.1),其他时间是VPS提供商networking的IP。 源端口和目的端口总是17500.我搜查了一下,但似乎并不是一个已知的端口。 它不被SSH,FTP,邮件服务器或其他人使用。 编辑:Dropbox没有安装的服务器(运行Ubuntu服务器12.04) Jan 2 01:17:17 kernel: [8861587.504866] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:10:00:25:09:e7:9b:08:00 SRC=xx.xx.xx.xx DST=255.255.255.255 LEN=210 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=190 Jan 2 01:17:40 kernel: [8861610.825311] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:10:00:05:90:ad:c2:08:00 SRC=xx.xx.xx.xx DST=255.255.255.255 LEN=151 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=131 Jan 2 01:17:47 kernel: [8861617.544797] iptables […]
我遇到这个问题访问我的弹性公网IP在我的EC2实例在Web浏览器中。 安装了REDHAT 6.3,并安装了nginxnetworking服务器(启动并运行),并确保我启用了端口80,并且安装了所有需要的东西。 现在时间进入公共IP查看默认的nginx网页,什么也没有发生。 我无法访问IP地址。 现在我可以ping其他网站,但不能ping我的IP地址。 现在经过几个小时的尝试,并试图找出发生了什么事情…我想我应该检查在REDHAT操作系统的networking,每当我尝试编辑任何networking相关..这就是我失去了连接到服务器和无法重新启动networking。 我在这里错了什么? 为什么只是通过IP访问我的服务器这样一个困难的事情? 我现在需要做什么? 谢谢。 编辑。 这里是与EC2实例关联的安全组 Ports Protocol Source 20-21 tcp 0.0.0.0/0 22 tcp 0.0.0.0/0 80 tcp 0.0.0.0/0 14000-14050 tcp 0.0.0.0/0
我们一直在使用基于PPTPD的VPN来解决某些networking/路由问题,客户端无法通过VPN访问某些互联网域/ IP。 例如,用户可以浏览hxxp://google.com,但不能访问hxxp://microsoft.com。 设置如下: 客户端(Windows和Android的相同问题,没有testing其他人)(IP:XXXX) – >互联网 – >(YYYY)DD-WRT路由器(192.168.1.1) – > Ubuntu服务器10.10运行PPTPD(192.168.1.125)。 eirik @ woserv:〜$ cat /etc/pptpd.conf | grep -v'#' option /etc/ppp/pptpd-options logwtmp localip 192.168.1.125 remoteip 192.168.1.230-240 eirik @ woserv:〜$ cat / etc / ppp / pptpd-options | grep -v'#' name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128 ms-dns 192.168.1.1 proxyarp nodefaultroute debug lock auth nobsdcomp […]
我正在研究一些新的规则,但我似乎无法让他们目前的工作,我不断得到的错误是iptables: Applying firewall rules: iptables-restore: line 36 failed ,这是COMMIT 。 我确实移动COMMIT,看看我是否可以缩小这个问题,我认为它可以在-A LIMIT_INDIVIDUAL_CURRENT -m recent –update –seconds 300 –hitcount 200 -j DROP是否有任何人有一个想法。 *filter :INPUT DROP [13:672] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1604:100070] :LIMIT_INDIVIDUAL_NEW – [0:0] :LIMIT_INDIVIDUAL_CURRENT – [0:0] :LIMIT_OVERALL_NEW – [0:0] -A INPUT -i lo -j ACCEPT #Apache -A INPUT -p tcp –dport 80 -m state […]
我正在尝试为ISP(互联网分销商或学校或其他类似组织)创build一个互联网发行软件 它将有限制和政策,以限制带宽/速度/持续时间等根据他们的互联网连接包。 此外,pipe理员应该能够监控他们的速度,并阻止/允许用户和续订软件包。 该架构如下所示: 非https客户端请求正常工作。 但是https请求正如期望的那样给SSL_ERROR。 我读了Squid无法处理透明代理模式下的https连接 ,但我不希望用户每次都在浏览器中设置代理。 有没有其他方法可以计算用户使用的所有stream量(包括encryptionstream量)并相应地调整stream量?
我一直在使用随机IP和端口来获取这些UDP洪水。 randomip:randomport -> myip:randomport 0字节有效载荷 由于某些原因,它使用了大量的CPU。 这里是perf top -e cycles:k的结果perf top -e cycles:k 。 有没有什么办法来优化内核? 10.42% [kernel] [k] inet_getpeer 7.59% [kernel] [k] inet_getpeer.part.4 6.15% [kernel] [k] peer_avl_rebalance.isra.2 3.38% [kernel] [k] fib_table_lookup 2.77% [ip_tables] [k] ipt_do_table 1.98% [e1000e] [k] e1000_clean_rx_irq 1.82% [kernel] [k] md5_transform 1.69% [kernel] [k] __ip_route_output_key 1.36% [kernel] [k] check_leaf.isra.7 1.34% [kernel] [k] __udp4_lib_lookup […]