我正在尝试创build一个具有两个负载平衡器和一个公共IP地址的Web群集 我使用的命令如下: iptables -I INPUT -d $CLUSTERIP -i $WAN_IF -j CLUSTERIP –new –clustermac $CLUSTERMAC –total-nodes $TOTALNODES –local-node $LOCALNODE –hashmode sourceip-sourceport 我失去了10%的请求,我不知道原因。 在第一个节点dmesg说: [3953663.740770] ipt_CLUSTERIP: unknown protocol 1 [3958608.863834] ipt_CLUSTERIP: unknown protocol 1 [3959598.791987] ipt_CLUSTERIP: unknown protocol 1 [3962373.974935] ipt_CLUSTERIP: unknown protocol 1 [3964028.213515] ipt_CLUSTERIP: unknown protocol 1 [3964884.100071] ipt_CLUSTERIP: unknown protocol 1 [3969131.737498] ipt_CLUSTERIP: unknown […]
我有一个Linux机器,通过一个openVPN连接路由其整个互联网stream量。 它被明确configuration为以这种方式工作。 但是,机器有几个应用程序不应该使用VPN连接(tun +)并通过打开的连接(eth0)。 由于它不是基于目标IP的路由,我的第一个尝试是创build一个本地socks5代理,应用程序应该使用这个代理来避开openVPN通道。 但是,我试图用ssh -D或其他的sw来做这件事)已经失败了(可能是我的错),现在我想知道是否有一个不同的更好的解决scheme。
我已经build立了一个没有IP的桥接接口。 $ brctl addbr br0 $ brctl addif tap0 $ brctl addif tap1 $ ifconfig br0 up 如上所示,这个桥接器通过openvpn连接2个TAP接口。 我能ping和发送2 TAP接口之间的stream量没有任何问题,但是每当我尝试tcpdump桥接口我看不到任何stream量通过。 这是因为桥接接口没有分配IP吗? 有没有办法绕过它,所以你可以看到桥接口的stream量(并可能通过iptables或类似的东西),而不必分配一个IP到桥接口?
我想了解/proc/net/xt_recent/ip_list文件(由recent的iptables扩展创build)中logging的含义,例如: src=127.0.0.1 ttl: 128 last_seen: 4298627364 oldest_pkt: 3 4298623492, 4298625777, 4298627364 所有的字段看起来很明显, last_look看起来像时间戳。 但是它不是UNIX时间格式的时间戳。 被转换为UNIX时间是相等的03/21/2106 18:19:24。 显然这不是“最后看到”的时间。 如何从last_seen时间提取正确的值? 谢谢。 UPDATE 只是为了避免误解: $ date Mon Jun 15 14:14:00 MSK 2015
我正在pipe理的Web服务器显示了目标端口443上IPv4地址的奇怪的iptables拒绝,尽pipe显式允许HTTPS通信。 端口80也被允许在相同的规则,但该网站是HTTPS-only和80被立即redirect到443由nginx。 事情是:浏览网站的作品 。 你可以加载所有的页面,所有的资源进来就好了等等。但是这里显然是不对的,这可能会伤害页面加载性能。 以下是分别logging在端口443和80的/var/log/iptables_deny.log中的一些错误示例。 这些可以单独或者以连发的方式来判断,从我的tail -f的日志文件来看。 绝大多数是港口443: iptables denied: IN=eth0 OUT= MAC=f2:3c:91:26:1e:1f:84:78:ac:0d:8f:41:08:00 SRC=(redacted IP) DST=(redacted IP) LEN=40 TOS=0x08 PREC=0x00 TTL=53 ID=61266 DF PROTO=TCP SPT=49264 DPT=443 WINDOW=0 RES=0x00 RST URGP=0 iptables denied: IN=eth0 OUT= MAC=f2:3c:91:26:1e:1f:84:78:ac:0d:8f:41:08:00 SRC=(redacted IP) DST=(redacted IP) LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=11186 DF PROTO=TCP SPT=58445 DPT=443 WINDOW=254 RES=0x00 ACK FIN URGP=0 iptables […]
我拥有运行Debian的VPS,我想避免从“外部”(通过Internet)发生安全漏洞。 我想保证这些规则: 允许所有出站stream量; 允许来自IP 1,2,3的HTTPS连接; 允许来自IP 4的SSH连接。 所以,其他的东西应该被封锁。 iptables足够了吗?
经过两个星期的search和阅读,我结束了这个iptable规则,阻止youtube(作为string)到我的办公室networking的ip范围。 iptables -A FORWARD -t filter -m iprange –src-range 10.217.76.60-10.217.76.70 -m string –algo bm –string "youtube.com" -j DROP #block 正如你可以看到从.60到.70(10台机器)的电脑无法浏览YouTube,而例如.75可以。 该规则仅适用于几分钟和一些客户。 2或3分钟后,有些客户可以正常浏览YouTube。 如果我closures这些客户端的浏览器,刷新iptables规则并重新运行它们,所有的客户端无法连接到youtube,但这持续了2-3分钟,对于一些客户端(我正在谈论ip范围的客户端) 。 有没有人再次遇到这种行为? 它是否与我使用的服务器(Ubuntu的11.04),caching或别的什么!? 我也有鱿鱼3安装在哪里我阻止的YouTube和Facebook的http,所以我认为设置iptables我可以削减https的YouTube。 (但有些客户真的需要youtube工作,所以我想切断歌曲监听和无用的networkingstream量)。 编辑:经过了一段时间,我试过了: iptables -I FORWARD -t filter -s 10.217.76.80/28 -m string –algo bm –string "youtube.com" -j DROP #from .80 to .95 (15 ip)并得到了一个更好的解决scheme…只是一段时间。 一段时间后,一些客户再次开始浏览(规则不起作用),而另一些客户仍然没有(规则工作)。 我知道(正如MADHATTER所说)是一个YOUTUBE很多服务器的东西,但我不明白的是,当使用这样的规则iptables -I FORWARD -m […]
目前iptables阻止所有的出站stream量,除了一些已知/批准的服务。 iptableslogging每次阻塞的样本(2 / min), 我试图找出是什么使IPTable块请求。 Sep 17 06:30:39 [_REDACTED_] kernel: [936079.231998] iptables output drop: IN= OUT=eth0 SRC=[_REDACTED_] DST=[_REDACTED_] LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=25628 DF PROTO=TCP SPT=53657 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 我怎么知道是什么提出这个请求?
情况:我有一个专用的服务器(CentOS 6)和Virtual Box中的几台虚拟机(Cent OS 7和Windows Server 2012 R2)。 几乎没有应用程序在Windows中运行,可以从主IP(XX105.20)使用mod proxy进行访问。 托pipe在Linux VM中的应用程序需要可以从不同的IP(XX109.118)(服务器的第二个IP地址)访问。 我试过了什么:到目前为止,我试图从这个SF问题的 IP转发,但应用程序无法访问。 iptables -t nat -A PREROUTING -p tcp -d XX109.118 -j DNAT –to-destination 192.168.56.102 iptables -t nat -A POSTROUTING -p tcp -d 192.168.56.102 -j SNAT –to-source XX109.118 iptables -I FORWARD -m state -d 192.168.56.102 –state NEW,RELATED,ESTABLISHED -j ACCEPT 顺便说一下,应用程序可以从Windows Guest和CentOS主机访问 编辑基于评论:我有两个域。 一些基于.net的Web应用程序正在使用其中一个域的子域在Windows […]
第一次发布到ServerFault,所以我会尽力让它正确:) 我有多个环境(例如prod,dev,test等),我正在为我的RHEL 6.6服务器编写IPTables文件,允许特定的机器组在特定端口上的这些环境之间进行通信。 最初,在自己的产品线上定义的每个不同目的地或源子网的规则都有效 – 但是由此产生的iptables文件相当大。 为了简化/清除规则集,我尝试了使用相同端口的多个源或目标IP的规则。 我已经find了关于IPTables多源IP的相关的ServerFault文章,但是最高评价的例子似乎并没有为我工作。 例如,试图结合以下两条规则: -A INPUT -i $INTERFACE -m conntrack –ctstate NEW,ESTABLISHED,RELATED -s $CV1 -p tcp –dport 8400:8403 -j ACCEPT -m comment –comment "Source 1" -A INPUT -i $INTERFACE -m conntrack –ctstate NEW,ESTABLISHED,RELATED -s $CV2 -p tcp –dport 8400:8403 -j ACCEPT -m comment –comment "Source 2" 进入这个: -A INPUT -i […]