我有我的服务器设置了几个公共IP地址,networkingconfiguration如下(与示例IP): 为eth0 \ – br0 – 1.1.1.2 | – [VM 1的eth0] | | – 1.1.1.3 | \ – 1.1.1.4 \ – [VM 2的eth0] \ – 1.1.1.5 我的问题是,如何为实际的物理服务器和虚拟机设置不同规则的iptables? 我不介意让虚拟机做自己的iptables,但是我希望br0拥有不同的规则。 现在,我只能让所有事情都完成,而不是所期望的行为(正如br0所显示的那样)。 谢谢!
我想知道如果有人可以指出一些很好的文档,可以给我关于一些内核variables的详细信息。 我现在最感兴趣的是下面的variables/参数,以及它如何影响系统以及如何确定它们的最佳值 net.ipv4.conf.all.send_redirects = 0 net.ipv4.ip_conntrack_max = 231072 net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3 net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0 net.ipv4.netfilter.ip_conntrack_tcp_loose = 3 net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300 net.ipv4.netfilter.ip_conntrack_log_invalid = 0 net.ipv4.netfilter.ip_conntrack_generic_timeout = 600 net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30 net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180 net.ipv4.netfilter.ip_conntrack_udp_timeout = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = […]
如果此接口出现故障,是否应该为特定接口刷新iptables规则? 它有什么优点吗? 目前我正在使用iptables-restore并且我不删除规则,即使我发送接口,规则只是在启动时加载,这就是全部。 你推荐什么?
# /sbin/iptables -nvL 上面的iptables命令的输出看起来像这样… pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp — * * 192.168.101.101 0.0.0.0/0 tcp dpt:3306 state NEW,RELATED,ESTABLISHED 16810 1009K ACCEPT tcp — * * 192.168.101.120 0.0.0.0/0 tcp dpt:3306 这两条线有什么区别? 第二个IP没有“状态新,…”。 这有什么区别? 我所要做的就是允许从默认端口3306上的这些IP访问mysql
我发现伪装很简单,如何非常有用,一切正常。 但是我不确定最后一行: iptables -F iptables -t nat -F iptables -t mangle -F iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state –state NEW -i ! ppp0 -j ACCEPT iptables -P INPUT DROP #only if the first two are succesful iptables -A […]
我有一个HAProxy服务器后面的Apache服务器。 今天早些时候,服务器变得不可用,HAProxy在前端抛出了503错误。 调查后,它看起来像iptables开始阻止来自HAProxy的请求,并重新启动Apache解决了这个问题。 我需要帮助弄清楚为什么iptables会随机地开始拒绝这些请求,所以我可以防止它在将来发生。 HAProxy = 10.xxx.xxx.26 Web1 = 10.xxx.xxx.229 iptables日志条目: May 16 22:12:27 web1 kernel: [339449.200414] iptables denied: IN=eth1 OUT= MAC=40:40:e9:0d:29:96:40:40:25:5e:3d:74:08:00 SRC=10.xxx.xxx.26 DST=10.xxx.xxx.229 LEN=80 TOS=0x00 PREC=0xC0 TTL=64 ID=9773 PROTO=ICMP TYPE=3 CODE=3 [SRC=10.xxx.xxx.229 DST=10.xxx.xxx.26 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=15095 DF PROTO=TCP SPT=80 DPT=43176 WINDOW=55 RES=0x00 ACK FIN URGP=0 ] iptablesconfiguration(删除nagios / ssh规则的可读性): Web1:/var/log# cat /etc/iptables.test.rules […]
我需要将来自多个无线客户端的广播数据包转发(路由)到固定networking中的单个服务器。 由于安全原因,无线networking和固定networking未被桥接。 通过以下几行,数据包显示在INPUT链日志中 iptables -I INPUT -i $IF_WIFI -p udp –dport 6000 -j LOG –log-prefix "I " iptables -I FORWARD -i $IF_WIFI -p udp –dport 6000 -j LOG –log-prefix "F " 现在我添加下面的规则 iptables -t nat -A PREROUTING -p udp -d 255.255.255.255 –dport 6000 -j DNAT –to 10.0.0.10:6000 现在,数据包不会显示在INPUT或FORWARD日志中,也不会被路由到固定networking。 我期望在FORWARD日志中看到数据包 PREROUTING规则根据 iptables -t nat -v –list […]
我在CentOS服务器上安装了postgre。 我基本上遵循这个指南在这里: PostgreSQL在最后一步它说我需要打开TCP端口5432,这样做我需要添加以下行到我的/ etc / sysconfig / iptables中: -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 5432 -j ACCEPT 重新启动iptables会在新行上产生一个错误,看起来它不像RH-Firewall-1-INPUT部分。 问题是,即使我停止iptables服务端口5432似乎保持closures。 任何帮助将不胜感激。 编辑: iptables -L -nv Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2331 187K RH-Firewall-1-INPUT all — * * 0.0.0.0/0 0.0.0.0/0 […]
我想只允许某些IP范围(CIDR),并阻止其他的一切,但是,我有我想要在文本文件上允许的IP。 我怎么能从allow.file加载它们到IPTABLES接口eth0 ?
概要 服务器操作系统:Debian Squeeze Web服务器:Apache2 IP表'脚本':arno-iptables-firewall 服务器上的/proc/net/ip_conntrack有170个条目。 目前,其中134个涉及到一个IP地址parsing为cl59.justhost.com(我build议你不要浏览它,以防万一)。 我不明白conntrack条目,我担心他们可能表明安全漏洞。 详情 /proc/net/ip_conntrack的134个条目全部是这样的(我的服务器IPreplace为192.168.0.1), tcp 6 282883 ESTABLISHED src=192.168.0.1 dst=69.175.58.106 sport=80 dport=33053 packets=2 bytes=3000 [UNREPLIED] src=69.175.58.106 dst=192.168.0.1 sport=33053 dport=80 packets=0 bytes=0 mark=0 secmark=0 use=2 tcp 6 282877 ESTABLISHED src=192.168.0.1 dst=69.175.58.106 sport=80 dport=33064 packets=2 bytes=3000 [UNREPLIED] src=69.175.58.106 dst=192.168.0.1 sport=33064 dport=80 packets=0 bytes=0 mark=0 secmark=0 use=2 tcp 6 284392 ESTABLISHED src=192.168.0.1 […]