我正在运行一个iptables防火墙5个别名ip地址(实际ip 10.64.18.1)。 这台机器也是我所有内部机器的出口(192.168.18。*)。 我的问题是,当192.168.18.65出去时,我需要我的网关说IP是10.64.18.107而不是10.64.18.1。 这可能吗? 有没有一个后续的命令可以做到这一点? *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [276:56637] -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j […]
我想创build一个我的类的演示,我想configuration我的笔记本电脑上的“假”域名。 前面的问题“我可以在OS X上的/ etc / hosts的一个条目中指定一个端口吗? 包含一个答案,指出要做到这一点,你必须使用/ etc / hosts加上对iptables的更改 “如果OS X使用iptables,你可以将xyz.com指向主机文件(如157.166.226.25)中的某个ip,然后: sudo iptables -t nat -A OUTPUT -p tcp –dport 80 -d 157.166.226.25 -j DNAT –to-destination 127.0.0.1:3000 “ 由于OS X不使用iptables,因此我如何使用OS X上提供的工具来执行相同的操作? (原来的“提问者”似乎知道怎么做,所以没有解释)。 提前致谢。
我试图连接到本地IP上的Postgres实例,我可以连接到使用psql -h localhost命令没有问题。 然而,试图通过rails运行,我得到这个: $ rails c production /home/avishai/.rvm/gems/ruby-1.9.3-p125/gems/activerecord-3.2.9/lib/active_record/connection_adapters/postgresql_adapter.rb:1208:in `initialize': could not connect to server: Connection refused (PG::Error) Is the server running on host "10.61.99.194" and accepting TCP/IP connections on port 5432? 这是我的/etc/postgresql/9.1/main/pg_hba.conf : # DO NOT DISABLE! # If you change this first entry you will need to make sure that the # database […]
在我的机器上,我希望只有50%的数据包能够收到。 我正在使用centOS 5.5。 为此,我在网上search。 我得到了IPtables。 我使用了IPtables的随机补丁。 命令 sudo iptables -A INPUT -p icmp –icmp-type echo-request -m random –average 50 -j DROP 产量 iptables v1.3.5: Couldn't load match `random':/lib64/iptables/libipt_random.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables –help' for more information. 但上面显示,图书馆失踪。 那么,我怎样才能放下50%的数据包呢? 请纠正我的上述方法或build议新的方法。 告诉我如何将这些库添加到IPtables现有的包中。 [我试过,但是这些图书馆没有在互联网上find] 编辑1 我还需要logging丢弃的数据包,所以我改变了我的iptables规则集,如下所示: iptables […]
我在我的Web服务器上托pipe两个应用程序,一个是Drupal站点,另一个是Errbit安装,这是一个Ruby on Rails应用程序。 这些url看起来像这样: http://ourcompany.com http://errbit.ourcompany.com:3000 我想在第二个url上放弃:3000的需求,所以我们可以通过以下方式直接访问它: http://errbit.ourcompany.com 我不想redirect,我希望URL保持不变,没有端口号。 我以前使用下面的命令行命令来设置一些IP表重新configuration: sudo iptables -t nat -I PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 3000 sudo iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 –dport 80 -j REDIRECT –to-ports 3000 …工作得很好,因为旧服务器上没有运行Apache。 但是,这将导致端口80上的所有请求被redirect到端口3000,这意味着它将中断访问http://ourcompany.com 我如何设置? 有没有办法configurationIP表来允许这个,或者这将在Apache2configuration?
我在一个centos盒子上安装了一个Openvpn服务器,我可以让客户端连接(osx),但无法访问互联网甚至本地networking。 我想也许DNS,但无法通过IP访问任何网站。 任何帮助,将不胜感激。 我将在下面列出我的configuration文件。 server.conf::: port 1194 #- port proto udp #- protocol dev tun tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 reneg-sec 0 ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login #- Comment this line if you are using FreeRADIUS #plugin /etc/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf #- Uncomment this line if you are using FreeRADIUS […]
几个月前,我们刚开始在Rackspace上运行我们自己的Web服务器(他们很棒)。 我使用NewRelic(也非常酷)来监视服务器的使用情况,我得到的错误警报在我看来是注入攻击? 想知道是否有人能够通过洞察或build议如何挫败这些努力,摆脱错误和烦人的通知。 我们知道一个事实,这些不是要求我们的网站打电话。 我已经开始进入访问日志,并阻止了IP的请求,但他们稍后又回来了一个不同的。 下面是一个“MySQL错误”示例: http://www.ourdomain.com/item.php?fetchitem=46 “+和+ 999999.9)+ UNION + ALL +select+ 0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39, 0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39,0x39313335313435363232362e39,0x39313335313435363232372e39,0x39313335313435363232382e39,0x39313335313435363232392e39 +和+ '1'='1 该url应该是www(dot)ourdomain(dot)com / item.php?fetchitem = 46 另一个: (*),%(%),% 2F **%2fcOnCaT((%2F **%2fsElEcT(%2F **%2fsElEcT(%2F **%2fsElEcT +%2F **%2fcOnCaT(炭(33,126,33),计数(吨。%2F%** 2ftAbLe_nAmE),炭(33,126,33))+%2F **%2ffRoM + INFORMATION_SCHEMA。%2F **%2fsChEmAtA + AS + d + +joinINFORMATION_SCHEMA。%2F **%2ftAbLeS +作为+ T + T +。 %2F **%2ftAbLe_sChEmA + = + d。%2F **%2fsChEmA_NaMe […]
2064 871K ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 […]
我目前正在研究高stream量高可用性网站的架构。 我们正在使用AWS。 目前,我们有: 路线53 – > ELB – >多个EC2实例 – > RDS多AZ。 每个EC2实例运行Varnish + Nginx和PHP FCGI。 会话和其他一些共享数据通过ElastiCache存储。 我们计划在每个EC2实例上运行Varnish和Nginx,因为这样可以减less故障点,并在负载增加时运行额外的实例。 但是,我们必须添加iptables(fail2ban)。 当然,我们获得ELB的IP而不是真正的客户端IP … 我们想到了以下解决scheme: 1)在Route 53和ELB之间添加一个EC2实例,运行iptables / firewalls(也可能是varnish?)并将所有内容转发到ELB。 2)用运行HAProxy + iptables的自定义EC2replaceELB。 3)使用mod_security并构build一些自定义的东西来dynamic地将IP列入黑名单 4)坚持目前的架构,并从我们的待办事项列表中删除iptables。 什么是一个好方法? 谢谢
我是iptables的新手,我迷失了方向,并且从configuration中感到困惑。 我有IPv4和IPv6连接的工作服务器和只有IPv6连接的家庭服务器。 如何设置规则转发所有传入的IPv4stream量,端口5600从工作服务器到我的家庭服务器(IPv6地址),端口5600?