Articles of iptables

作为试验项目的一部分，我正在尝试为使用NoMachine的开发团队设置瘦客户端环境。 每个开发人员都将login到同一个Linux机器上，并通过X会话进行开发。 目前，每个开发人员在他们的本地工作站上运行他们自己的HTTP守护进程，在127.0.0.1:5000上侦听。 但是，如果我把每个人都搬到同一台机器上，这显然会造成港口冲突的问题。 理想情况下，我想保持他们的工作stream程相同。 如果我不得不为每个人分配一个独特的端口，这只会造成很多的悲伤和困惑。 有没有办法做到这一点？ 不同的进程可以在每个用户的基础上绑定到相同的端口吗？ 我发现了一种方法来使用iptables做每个用户的端口redirect，但这只能解决部分问题： iptables -t nat -I OUTPUT –src 0/0 –dst 127.0.0.1 -p tcp –dport 5000 -m owner –uid-owner userA -j REDIRECT –to-ports 5001 该解决scheme仍然不允许不同的进程绑定到相同的端口。 我甚至不知道我是通过寻找一个iptables解决scheme来find正确的方向。 有什么build议么？ 有没有可能在用户级应用的黑客？ 谢谢！

我有一台机器有一个DNAT规则，将数据redirect到邻居服务器： iptables -t nat -A PREROUTING -p udp -d 10.99.193.116 –dport 54321 -j DNAT –to 10.99.193.115:54321 可以看出，这个规则是经常触发的： pkts bytes target prot opt in out source destination 192K 19M DNAT udp — * * 0.0.0.0/0 10.99.193.116 udp dpt:54321 to:10.99.193.115:54321 但是，从接口看，redirect的数据包不会在接口上发送出去。 $ tcpdump -i eth0 -n port 54321 17:03:36.553363 IP 172.21.0.159.54321 > 10.99.193.116.54321: UDP, length 82 17:03:37.514257 […]

当我做lsmod ，尽pipe我有iptables运行，但是我没有看到与iptables有关的任何内核模块。 是否因为iptables已经静态链接到内核中，因此我的防火墙脚本中不再需要这些行？ /sbin/insmod ip_tables /sbin/insmod ip_conntrack /sbin/insmod ip_conntrack_ftp /sbin/insmod iptable_nat /sbin/insmod ip_nat_ftp

如何查看“最近”模块中的IP地址的完整列表？ 我希望看到当前的计数值会相应地调整我的值，所以没有有效的用户被意外阻止

我build立了以下ip表规则： sudo iptables -t nat -I PREROUTING –dst 192.168.0.116 -p tcp –dport 80 -j REDIRECT –to-ports 8000 sudo iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp — anywhere static.snake2.test tcp dpt:www redir ports 8000 Chain POSTROUTING (policy ACCEPT) target prot opt source destination 链OUTPUT（策略ACCEPT）目标protselect源目的地 这将在给定的IP上的端口80上的任何stream量转发到相同的IP端口8000。 通过浏览器完美工作。 如果我试图直接从控制台运行一些testing，那么不起作用的是： lynx-head […]

大家好，你好！ 我试图用iptables设置我的服务器防火墙（我不得不承认，上一次我使用iptables是在一年前），但iptables的行为违背我的要求。 这是我的testing脚本： #!/bin/sh IPT="/sbin/iptables" echo -n "Loading iptables rules…" # Flush old rules $IPT –flush $IPT –delete-chain # Allow incoming and outgoing for loopback interfaces $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # Allow incoming traffic for HTTP(S), SSH and SMTP $IPT -A INPUT -p tcp –dport […]

我想添加从64.240.160.0 to 64.240.191.255的一系列IP地址的64.240.160.0 to 64.240.191.255 。

这可能是一个非常愚蠢的问题，但是如何在不定义接口的情况下在多个接口上打开一个端口？ 例如，我如何打开所有接口上的端口22？ 在我的机器上，我有一些dynamic的接口，可能或不可用，所以我必须设置“通用”的规则。 此代码不适合我，但我不明白为什么： # My default policy is to drop the input. # The other policies are required like that. $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT $IPTABLES -t mangle -P […]

我有一些滥用FTP的服务器上我所有的100MBs。 我怎么能阻止从Cpanel或iptables或其他？

我有几台机器上的http和httpsstream量到我的Linux机器上的eth0上，但是我想把这些stream量转发到eth1，它可以访问互联网。 并且将来自80和443的stream量的免费操作从eth1路由到eth0，以便它们到达创buildweb请求的机器。 我试过下面的iptables命令，但是没有帮助： iptables -A FORWARD -p tcp –dport 80 -o eth1 -j ACCEPT iptables -A FORWARD -p tcp –sport 80 -o eth0 -j ACCEPT 我不知道如何去做这件事。 ===================== ip addr show输出 $ /sbin/ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 […]