有人正在DOS我的服务器。 这不是一个DDOS攻击,因为只有一个服务器参与了这个攻击。 我简单地使用下面的iptable规则来删除所有来自攻击者的数据包: iptables -I INPUT 1 -s IP_OF_ATTACKER -j DROP 这条规定一切正常。 我可以看到他的stream量使用iftop命令来到我的服务器。 但是,即使在DOS攻击下,我所有的服务也能顺利进行。 他不停地DOSING我的服务器2-3天,但iptables规则很好地放弃他的数据包。 但是,今天他又用同样的带宽再次运行DOS攻击,但是我的服务器已经死机。 我捕获/分析数据包,但iptables成功地丢弃了所有的数据包。 我也运行以下命令查看有多lessstream量被IP表阻塞: iptables -nvL –line-numbers 22Gstream量被封锁了2-3天: num pkts bytes target prot opt in out source destination 1 3203K 22G DROP all — * * ATTACKER_IP 0.0.0.0/0 只有3GB的stream量被阻止。 但是,他一整天都在使用我们的服务器,并且有超过100GB的stream量(恕我直言)。 num pkts bytes target prot opt in out source destination 1 […]
我遵循iptables连接限制来限制服务器可以在端口80上获得连接的数量。例如,我试过: /sbin/iptables -I INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 10 -j REJECT –reject-with tcp-reset 这似乎限制了每个IP的连接。 有没有办法通过IPTables或可能sysctl来限制全球连接数量。 这意味着如果说主机A堵塞了所有10个可用会话,那么其他主机将无法连接?
我有一组移动设备被configuration为发送UDP消息到在其SRAM中设置的IP地址。 他们无法存储URL,也无法将URLparsing为IP地址。 到设备发送到目的地IP的stream量必须通过我控制下的网关路由器。 网关路由器正在运行OpenWRT linux。 我想将这些UDP数据包发送到Amazon Elastic Load Balancing(AWS服务)。 Elastic Load Balancing的一个限制是(就我所能确定的)而言,必须使用DNS来parsing负载平衡器的IP(因为在任何时候AWS可能会使用多个负载均衡器)在亚马逊控制下的DNSselect使用哪一个)。 这是漫长的故事。 简短的故事是:“如何通过OpenWRT路由器将UDP数据包路由到通过路由器上的DNSparsing的地址? 我正在寻找一个解决scheme,通过IP链/表,防火墙规则等(或至less“插件”与一些历史),而不是自定义生成的代码。 预先感谢您的帮助!
我在Ubuntu 14.04的股票安装上安装了Apache Web服务器,我试图使用fail2ban来阻止检查漏洞的请求。 我把/etc/fail2ban/jail.local放在了下面: [apache-vulnerability-scan] enabled = true port = http,https filter = apache-vulnerability-scan logpath = /var/log/apache*/*access.log maxretry = 1 规则的定义在/etc/fail2ban/filter.d/apache-vulnerability-scan.conf : [Definition] failregex = ^<HOST> -.*"\(\)\s*\{[^;"]+[^}"]+}\s*;.*$ ignoreregex = 对于那些可能不熟悉Ubuntu的fail2ban默认规则的人来说,一些主要规则如下所示: ignoreip = 127.0.0.1/8 bantime = 600 findtime = 600 maxretry = 3 backend = auto usedns = warn protocol = tcp chain = INPUT 但是,即使maxretry设置为1 […]
我目前的设置包含以下内容: 使用OpenWRT的路由器有两个接口: eth0是对网关的访问, eth1pipe理本地networking(192.128.2.0/24) 一个盒子(不能用于网桥模式),设置为允许路由器在其DMZ(192.168.1.0/24) 在路由器上启动并运行一个privoxy服务器,监听端口4000(接口eth1 ) 当我在eth1上设置客户端使用192.168.2.1:4000作为HTTP和HTTPS代理时,一切顺利。 不过,我使用iptables来自动执行这个redirect过程的尝试都失败了。 这是我做的最后一次尝试: iptables -t mangle -A PREROUTING -i eth1 -p tcp -m multiport –dport 80,443 -j TPROXY –on-ip 0.0.0.0 –on-port 4000 –tproxy-mark 1/1 iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -j ACCEPT iptables -t mangle -A PREROUTING -i eth0 -d 192.168.1.0/24 -j ACCEPT iptables -t […]
我有以下设置,最小化来解释问题: _________ |Desktop | ———- 192.168.2.6| | | ———— |—————— ————–| Switch | | Firewall server | ———— |—————— |192.168.2.110 | | —————- 192.168.1.11| |To ISP | Server |————— ————| |———— —————- 192.168.1.121 | | | ———— | Switch | ———— 我已将桌面上的默认网关设置为192.168.2.110 我已将服务器上的默认网关设置为192.168.1.11 我在服务器和防火墙服务器上启用了转发 我可以从桌面到服务器,反之亦然 我可以从服务器ping到防火墙服务器,反之亦然。 我也可以从桌面ping到192.168.1.121。 我无法从桌面到防火墙服务器192.168.1.11。 我尝试在所有显示的机器上刷新所有的iptables规则。 我错过了什么? 编辑:提供更多的信息,按要求。 所有机器都运行Linux Ubuntu。 桌面是开发机器。 服务器运行开发服务器… […]
我正在寻找build立我的IPTables防火墙的方式: 任何新的connect()都被接受 一旦收到数据: 如果目标端口在白名单上,请继续允许连接和任何RELATED连接 否则,closures/重置连接 我环顾四周,甚至尝试了一些我自己的configuration,但是我对IPTables并不是很熟悉,也没有成功。 我的第一次尝试是这样的: iptables -F iptables -A INPUT -I lo -j ACCEPT iptables -A INPUT -m state –state NEW -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT //example of allowed port iptables -A INPUT -m state –state ESTABLISHED,RELATED -j DROP iptables -P INPUT DROP iptables -P FORWARD DROP […]
编辑 :我知道, learn-address是我需要用来调用脚本(在openvpn-netfilter项目中指定)来设置防火墙规则。 我想我的问题更多地涉及到config.ovpn脚本。 你如何configurationclient.ovpn文件同时学习到用户需要哪些路由,同时也保持互联网stream量到用户的ISP? 我有一个关于如何做每个用户防火墙规则的问题,同时也不通过OpenVPN服务器路由Internetstream量。 我正在尝试为我和一群朋友build立VPN服务器,因为我们正在进行一个项目。 我将执行这样的Github项目: https : //github.com/gdestuynder/openvpn-netfilter 。 这将使VPN服务器能够为用户查找ACL,并在服务器端使用iptables来实现它们。 所有其他stream量将被丢弃。 对于我自己的私人家庭VPN,我知道我可以在我的client.ovpnconfiguration中使用以下内容, 不通过VPN路由Internetstream量: route-nopull route 192.168.1.0 255.255.255.0 其中, 192.168.1.0/24是我的家庭子网,而10.8.0.0/24 (未显示)是tun适配器的DHCP IP范围。 我知道把它放在客户端的configuration覆盖服务器设置push "redirect-gateway def1 bypass-dhcp" 。 这是我弄糊涂了:我已经知道我的家庭子网是192.168.1.0/24 ,所以我可以很容易地把它放在client.ovpn文件。 但是,如果我不了解我可以访问的子网/ IP(大多数用户不知道),那么OpenVPN如何dynamic地将每个用户的VPN规则推送到客户端? 换句话说,如果user1访问10.0.2.10和10.0.2.10 , user2访问10.0.2.10和10.0.3.4 ,OpenVPN如何知道如何将正确的路由推送给每个用户,同时使用相同的通用client.ovpn组态?
我新安装了一个OVH VPS的CentOS 7。 但是当我运行命令firewall-cmd我得到这个: -bash: firewall-cmd: command not found 所以我看着如何解决这个问题,我看到基本上我需要安装它。 所以我试图完全禁用iptables: systemctl mask iptables但我收到一个错误,我奇怪,因为我是以root身份运行: Failed to execute operation: Access denied 我也试过以下命令: [root@vps****** ~]# systemctl status iptables ● iptables.service Loaded: not-found (Reason: No such file or directory) Active: inactive (dead) 和 [root@vps****** ~]# systemctl stop iptables Failed to stop iptables.service: Unit iptables.service not loaded. 所以我认为iptables没有安装,但是当我运行命令iptables –version我得到iptables […]
我遇到了以下问题:我想阻塞从networking访问的端口8000(阻塞除127.0.0.1以外的所有连接)。 所以为了简化我的问题,并作为第一步,我决定通过使用这个规则来阻止所有对端口8000的访问: iptables -A INPUT -p tcp –dport 8000 -j DROP 现在,我知道我应该采取相反的做法,除了可信任的所有连接之外,我决定将其作为教育目的。 iptables -L显示我这个输出: Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 Chain FORWARD (policy ACCEPT) target prot opt source destination DOCKER all — 0.0.0.0/0 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT all — 0.0.0.0/0 […]