IPTables正在我的Web服务器上运行。 我真的需要SSHdynamic端口转发,但是我的IPTables DROP任何INPUT / OUPUT连接,只允许一些端口。 对于FORWARD链,我写了这些规则: Chain FORWARD (policy ACCEPT) target prot opt source destination DROP tcp — 0.0.0.0/0 0.0.0.0/0 tcpflags:! 0x17/0x02 state NEW ACCEPT all -f 0.0.0.0/0 0.0.0.0/0 limit: avg 100/sec burst 100 ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 limit: avg 2/sec burst 10 DROP all — 0.0.0.0/0 0.0.0.0/0 state INVALID 我的规则可以阻止任何SSHdynamic端口转发连接。 我需要写什么规则? 不要告诉我“禁用IPTables”,我需要防火墙来反黑客。
我想将通过我的OpenVPN网关的stream量redirect到Privoxy,如下所示: OpenVPN的客户端 – >互联网 – > OpenVPN网关 – > Privoxy – >互联网 – > Web服务器(反之亦然) 到目前为止,我设法让OpenVPN网关正常工作。 连接到Privoxy代理似乎也在工作。 但通过iptablesredirect端口80的stream量不会工作(外部networking服务器无法访问)。 我的iptablesconfiguration文件必须看起来像什么? 提前致谢 PS:这是我到目前为止… iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.0/24 -j MASQUERADE iptables -I FORWARD -i tap0 -j ACCEPT iptables -I FORWARD -o tap0 -j ACCEPT #以下行不成功 iptables -t nat -A PREROUTING -i tap0 -p […]
我已经将Ubuntu机器configuration为路由器。 下面给出了NATconfiguration的步骤: #iptables -F #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #iptables-save > /etc/network/iptables 然后在rc.local中保存这个文件的位置 #vi /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. […]
我正在尝试将到达主机的数据包转发到虚拟机。 目前的目标是将xxx.xxx.xxx.xxx:3022转发给vm 192.168.10.2:22 。 我尝试通过命令行添加以下规则,但没有运气: iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp -i routed0 –dport 3022 -j DNAT –to 192.168.10.2:22 iptables -A FORWARD -p tcp -i routed0 -d 192.168.10.2 –dport 3022 -j ACCEPT 我想这可能是因为以前的规则。 这是iptables-save的输出,包括Xen生成的所有规则: *nat :PREROUTING ACCEPT [1299:340167] :POSTROUTING ACCEPT [703:144619] :OUTPUT ACCEPT [5:390] -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p […]
我想限制每个IP为特定的UDP端口连接。 我得到它的TCP工作,但不知何故,它不能在UDP上工作。 这些是我的规则: 对于TCP(工作) iptables -A INPUT -p tcp –syn –dport 7787 -m connlimit –connlimit-above 3 -j REJECT –reject-with tcp-reset iptables -A INPUT -p tcp –syn –dport 7788 -m connlimit –connlimit-above 3 -j REJECT –reject-with tcp-reset 对于UDP iptables -A INPUT -p udp –dport 7787 -m connlimit –connlimit-above 3 -j REJECT iptables -A INPUT -p udp […]
我一直在努力让ip6tables工作。 运行DirectAdmin的CentOS 6服务器,因此是端口。 有人能告诉我为什么它不允许任何stream量? 任何对此的意见都非常感谢,因为我现在坚持了几天。 /sbin/ip6tables -F /sbin/ip6tables -t mangle -F /sbin/ip6tables -A INPUT -i lo -j ACCEPT /sbin/ip6tables -A OUTPUT -o lo -j ACCEPT /sbin/ip6tables -P INPUT DROP /sbin/ip6tables -P OUTPUT ACCEPT /sbin/ip6tables -P FORWARD DROP /sbin/ip6tables -t mangle -P PREROUTING ACCEPT /sbin/ip6tables -t mangle -P OUTPUT ACCEPT /sbin/ip6tables -X /sbin/ip6tables -t mangle -X […]
给定一个典型的Web服务器,使用Apache2,常见的PHP脚本和DNS服务器,从安全的angular度来看,将phpmyadmin这样的pipe理接口绑定到localhost并通过SSH隧道进行访问就足够了? 或者有人知道,例如。 phpmyadmin(或任何其他常用脚本)正在本地主机上的某个端口上侦听容易伪造的请求,如果没有其他身份validation的话会被执行? 换句话说:互联网上的某个人能否容易地伪造一个请求,以便networking服务器能够接受它,如果服务器只在127.0.0.1上侦听,那么认为它来源于127.0.0.1? 如果存在风险,是否可以以比应用程序更低的级别进行处理,例如。 通过使用iptables ? 这个想法是,如果有人发现在PHP脚本或Apache的弱点,networking仍然会阻止这个请求,因为它没有通过SSH隧道到达?
有两个IP与一个物理networking接口eth0和eth0:0相关联。 以下工作适用于第一个界面: iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080 Howerver同样不适用于第二个界面: iptables -A PREROUTING -t nat -i eth0:0 -p tcp –dport 80 -j REDIRECT –to-port 8080 还试过: iptables -A PREROUTING -t nat -p tcp –dport 80 -d $THE_IP -j REDIRECT –to-port 8080 所以问题是如何在虚拟接口上redirect。
以下是我的防火墙规则。 eth1是WAN接口,其他都是LAN接口。 我只想在eth1 (WAN接口)上过滤INPUT和FORWARD链。 所有其他interfces不需要防火墙。 我的代码示例如下工作正常。 但是我觉得我不需要这么多的规则就可以在eth1启用过滤function。 那么我怎么能只使用less量的iptables规则在eth1上启用过滤呢? iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A […]
我正在运行一个需要打开UDP端口1000:11000的服务器,以及打开TCP 10011和30033的function。 我有一套iptables规则设置为允许SSH和这些端口,并有意地排除在2010年,因为我在该端口受到攻击。 即使被告知,服务器也不会阻塞传入的IP。 需要拒绝的IP是:194.97.114.3。 我的iptables脚本: service iptables restart iptables –flush iptables -P INPUT DROP iptables -A INPUT -i lo -p all -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 10011 -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 30033 -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 22 […]