我的服务器是Red Hat Enterprise Linux Server release 5 。 我不是Linux iptables防火墙的专家。 安装完成后,我在/etc/sysconfig/iptablesfind以下条目。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j ACCEPT -A FORWARD -j ACCEPT -A OUTPUT -j ACCEPT COMMIT 这个iptablefilter限制规则是什么意思?
我似乎无法弄清楚这个问题。 我已经检查了CSF中的拒绝列表,甚至完全停止了它,以及IPTables。 不知何故,我仍然阻止访问我的服务器。 目前我可以从其他IP访问,所以我很确定这是问题(虽然我可能是错的,当然,我不是专家) 所以,关于它可能是什么,以及如何解决这个问题的build议,我将非常感激。 我已经将自己的IP添加到hosts.allow文件,并没有解决它。 我也把它添加到CSF的csf.ignore文件中。 再次,没有运气。 我正在运行CentOS 5.4 所有访问被阻止,我甚至不能ping回请求 更新:我的朋友build议在服务器上ping一个不同的IP,并回应。 所以我转而使用DNS来访问这个IP,虽然这是一个体面的绕道,但我真的很想知道如何解决这个问题
我已经configuration我的服务器的sshd在非标准端口42上侦听。 然而,在工作中,我在防火墙/代理的后面,它只允许传出连接到端口21,22,80和443.因此,我不能ssh到我的服务器工作,这是不好的。 我不想把sshd返回到22号港口。 这个想法是这样的:在我的服务器上, 如果源IP与我工作networking的外部IP相匹配, 则将本地端口22转发到端口42。 为了清楚起见,让我们假设我的服务器的IP为169.1.1.1(在eth1上),我的工作外部IP为169.250.250.250。 对于与169.250.250.250不同的所有IP,我的服务器应该以预期的“连接被拒绝”来响应,就像它对非监听端口所做的那样。 我对iptables很新。 我简要地浏览了长长的iptables手册和这些相关/相关的问题: iptables问题:将端口x转发到networking上不同机器的ssh端口 我该如何使用iptables进行端口转发? 然而,这些问题涉及到更复杂的几个主机场景,我不清楚哪些表和链我应该用于本地端口转发,如果我应该有2个规则(“问题”和“答案”数据包)或“问题”数据包只有1个规则。 到目前为止,我只通过sysctl启用转发。 我将在明天开始testing解决scheme,并将欣赏指针或者实现我的简单场景的具体案例。 下面的草案解决scheme是否正确? iptables -A INPUT [-m state] [-i eth1] –source 169.250.250.250 -p tcp –destination 169.1.1.1:42 –dport 22 –state NEW,ESTABLISHED,RELATED -j ACCEPT 我应该使用mangle表而不是filter吗? 和/或FORWARD链,而不是INPUT ?
我最近为我的IT组织build立了一个Fedora Corenetworking服务器,我是一个linux新手,甚至更多的是iptables的新手。 现在,我需要允许外部用户访问端口80上的Web服务器,启用端口3306上的MySQL连接,并允许ssh连接。 现在我不需要严格限制连接的来源,所以我只需要一些通用的宽松规则就可以实现。 我testing了内部试图从我的电脑连接到新的服务器与下面的规则,我根本无法连接iptables开始。 一旦我停止iptables,我能够到服务器,所以我知道我的iptablesconfiguration有什么问题 – 我只是太多的新手想出来。 有人可以帮忙吗? 🙂 :INPUT ACCEPT [0:0]<br> :FORWARD ACCEPT [0:0]<br> :OUTPUT ACCEPT [0:0]<br> -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT<br> -A INPUT -p icmp -j ACCEPT<br> -A INPUT -i lo -j ACCEPT<br> -A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT<br> -A INPUT […]
我想知道,有人可以帮我理解/解释这个iptables规则到底做了什么吗? iptables -A INPUT -i eth0 -p tcp ! –syn -m state –state NEW -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix "Dropped" iptables -A INPUT -i eth0 -p tcp ! –syn -m state –state NEW -j DROP 谢谢
我已经用下面的命令创build了一个squidconfiguration: deny_info ERR_PROXY_INFO all 并通过设置鱿鱼端口为8080,然后将我的浏览器代理设置为192.168.1.3:8080进行testing 这会显示自定义错误页面。 但是当我尝试使它透明时: iptables -t nat -A PREROUTING -i br0 -p tcp –dport 80 -j REDIRECT –to-port 8080 它不工作,我得到这个浏览错误: 错误 所请求的url无法检索 尝试处理请求时遇到无效的请求错误: GET / HTTP / 1.1主机:www.google.co.nz连接:keep-alive接受:application / xml,application / xhtml + xml,text / html; q = 0.9,text / plain; q = 0.8,image / png , / ; q = 0.5用户代理:Mozilla […]
有一个CentOS-5.x盒子似乎因PING而下降。 如果服务器得到PING,它将停止回复到ssh / http连接。 出现iptable是一种方法,但我想确保我正在做我应该做的一切。
我目前在Debian下的27015端口上运行游戏服务器。 根据以下输出: tcpdump -n -i任何dst主机xx.xxx.xxx.xxx 服务器正在充斥着: 19:34:48.388401 IP xx.xx.x.xxx.52954> xx.xxx.xxx.xxx.27015:UDP,长度为19:34:48.388405 IP xx.xx.x.xxx.52954> xx.xxx。 xxx.xxx.27015:UDP,长度为0 19:34:48.388407 IP xx.xx.x.xxx.52954> xx.xxx.xxx.xxx.27015:UDP,长度为0 而游戏服务器的ping命中1000+(只影响在这个ip上运行在这个端口上的服务器,而不是整个机器) 我为违规的IP地址设置了放置规则: iptables -A INPUT -s xx.xx.x.xxx -j DROP 但是,服务器的ping仍然是通过屋顶。 还有什么我可以做的吗? 我仍然看到tcpdump涌入,但根据随机谷歌来源,这似乎是正常的。
我想在我的Linux本地网关上使用基于端口的路由 。 这是我的networking图: 192.168.42.148/24 192.168.42.1/24 192.168.44.2 192.168.44.1 +——————–+ +—————————-+ +———-+ | Workstation (eth0)-|—————-|-(em0) Local_GW (tun0)-|————| VPN_GW | +——————–+ | (rl0) | +———-+ +————-|————–+ 10.133.8.79/21 | | 10.133.15.254/21 | +——————–+ | Provider_GW | +——————–+ Provider_GW只允许21,110,143,554,587,993,995,5222,6666:6669作为发往Internet的数据包的输出端口。 Local_GW通过UDP SSL VPN(OpenVPN)连接到VPN_GW, 所以我想用: 10.133.15.254作为出口端口在列表中的tcp数据包的网关21,110,143,554,587,993,995,5222,6666:6669 192.168.44.1作为具有任何其他输出端口的tcp数据包的网关 以下是我遵循的步骤: #!/bin/bash ## Flush FIP (Forbidden Internet Ports) table ip route flush table FIP ## […]
我想知道什么最好的办法应该是在处理logging的iptables内的项目。 例如,我有一个规则,如下所示: $IPT -A BADTCP -p tcp -m tcp –tcp-flags ACK,FIN FIN -m limit –limit 5/min –limit-burst 5 -j LOG –log-prefix "Denied ACK-FIN Scan: " –log-ip-options –log-tcp-sequence –log-tcp-options –log-level 7 $IPT -A BADTCP -p tcp -m tcp –tcp-flags ACK,FIN FIN -j DROP 我很好奇,是否有更好的规则的以下部分 -m limit –limit 5/min –limit-burst 5 -j LOG –log-prefix "Denied ACK-FIN Scan: […]