我已经阅读了许多关于这个话题的文章和答案,我一直在与Linode的支持进行讨论,但似乎没有人能够回答我确切的问题。 看起来很简单 – 我想使用iptables防火墙来限制除了22,80和443之外的所有端口的访问。Linode在这里有一个很好的写法: https : //library.linode.com/securing-your-server#sph_creating – 防火墙 ,我用它们的防火墙规则。 防火墙运行良好。 我也想预先路由一些端口,因为这是一个nodejs应用程序。 所以我用: sudo iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080 sudo iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 443 -j REDIRECT –to-port 3000 如果我没有防火墙规则,这些规则将起作用。 实际上,我正在使用它们,但是我不得不离开防火墙。 如果我添加防火墙规则, PREROUTING停止工作。 如果我将活动的iptables规则保存到一个文件中进行查看,防火墙(过滤规则)和PREROUTING (nat规则)都存在,但只有防火墙规则有效。 看这里: # Generated by […]
在提出这个问题之前,我已经提到了以下链接。 我正在为我的学生在NAT上做一个例子 – 预路由。 在这里,我试图用我想要的目标IPreplace目标IP。 例如,当有人试图访问www.facebook.com时,wwww.google.com将被连接。 这是我试图做的。 # host www.facebook.com www.facebook.com is an alias for star.c10r.facebook.com. star.c10r.facebook.com has address 31.13.79.65 star.c10r.facebook.com has IPv6 address 2a03:2880:f002:201:face:b00c:0:1 ^C[root@shreyas joshis1]# # host www.google.com www.google.com has address 74.125.236.81 www.google.com has IPv6 address 2404:6800:4001:802::1014 [root@shreyas joshis1]# 现在,这是IP表规则。 # iptables -t nat -I PREROUTING -p tcp –dport 80 -d 31.13.79.65 -j […]
我正在面对我的服务器的IPv6可访问性问题。 该服务器具备IPv6能力,能够与IPv6上的第三方联系/联系(在我的Debian stable Wheezy上testing的ping6和traceroute6 ,最新) 该网站的DNS IPv6 AAAA条目已存在并正常运行 networking服务器(nginx)正在监听IPv6链接,并准备好以与IPv4相同的方式处理请求 ip6tables INPUT表configuration为允许HTTP请求就像iptables(默认策略DROP + TCP 80 ACCEPT规则): Chain INPUT (policy DROP 648 packets, 46788 bytes) pkts bytes target prot opt in out source destination 6 480 ACCEPT tcp * * ::/0 ::/0 tcp dpt:80 我缩小了问题的范围,因为如果将默认策略设置为ACCEPT ,则HTTP连接将起作用 , 否则不起作用 。 因此,似乎可能需要一些其他端口redirect? OO 这可能与路由/ IPv6堆栈的某些内核configuration有关吗? 这里是sudo ip6tables –line-numbers -nvL的输出sudo […]
我有一个Centos最低限度6.5充当路由器。 eth0连接到思科交换机中继端口,允许VLAN 200-213。 我有几个VLAN接口,正如这个链接所示: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/s2-networkscripts-interfaces_802.1q-vlan-tagging.html 并且具有IPv4转发,所以来自任何networking200-213的我的所有networking设备都可以使用这个linux盒子作为它们的路由器彼此通信。 问题是,我需要他们访问互联网,所以我添加了以下规则: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT –to 1.1.1.56 1.1.1.56是“外部”地址。 这工作正常,连接到内部networking的设备可以ping通Intertnet地址,但是,它们不能跨子网互相通话,所以192.168.211.55可以ping通8.8.8.8,但不能与192.168.213.5通信。 只要我做服务iptables重新启动删除规则,我可以开始再次跨内部子网交谈。 什么是正确的方法来设置多个私有子网的NAT? 或者,也许正确的方式来设置转发?
我在Synology NAS上安装了fail2ban 0.9.1来处理失败的SSH尝试。 当我启动监狱时,我在fail2ban.log中得到以下错误: 2015-02-01 17:22:52,394 fail2ban.jail [30576]: INFO Jail 'ssh-iptables-syno' started 2015-02-01 17:22:53,287 fail2ban.actions [30576]: NOTICE [ssh-iptables-syno] Ban 103.41.124.52 2015-02-01 17:22:53,613 fail2ban.action [30576]: ERROR iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT –reject-with icmp-port-unreachable — stdout: '' 2015-02-01 17:22:53,625 fail2ban.action [30576]: ERROR iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT –reject-with icmp-port-unreachable — stderr: […]
当用户请求网页时,例如www.example.com/about-us/history.html 。 服务器将发送一个HTML文件,HTML文件将包含随后生成更多的HTTP请求返回到服务器的元素,例如 <script src="./js/app.js"></script> <link rel="stylesheet" type="text/css" href="theme.css"> <img src="smiley.gif" alt="Smiley face" height="42" width="42"> 这些随后的请求是由iptables分类的 ESTABLISHED 新 要么 有关 ?
我试图安装一个nodejs服务器监听端口8080,我用iptable打开,但是当我运行nmap或一个web工具,我总是得到消息,端口被closures。 我在Ubuntu的vps。 首先,确保nodejs实际上在监听这样的端口: sudo netstat -tpln Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:60613 0.0.0.0:* LISTEN 1097/sshd tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1215/mysqld tcp 0 0 127.0.0.1:8080 0.0.0.0:* LISTEN 18843/nodejs tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1375/master tcp6 0 0 :::60613 :::* LISTEN […]
我有一堆用iptables -S转储的规则: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT etc… 下一次,我会通过iptables-save和iptables-restore来做到这一点。 但现在呢,还有更好的办法来恢复我的规则,除了: iptables -F xargs -n1 -d\\n iptables < […]
我已经使用iptables-save >命令保存了我的iptables规则,并且我试图在机器启动时恢复这些规则。 我已经在rc.local添加了命令iptables-restore < "path to rules file" ,但是它并没有rc.local规则。 我试图直接在terminal运行命令,它的工作,所以我知道有没有错误的命令。 我使用命令sudo chmod +x /etc/rc.local创build了rc.local文件的可执行文件。 可能是什么问题? 编辑 – 我使用的是Fedora 22
我在我们的集群中有一个节点,它在系统日志中获得大量的“nf_conntrack:table full,drop packet”消息。 我检查了nf_conntrack_count,它正好对着nf_conntrack_max运行。 纵观表格,我看到大部分条目都是DNS请求,所以我将这些规则添加到“raw”netfilter表中。 $ sudo iptables -t raw -vnL Chain PREROUTING (policy ACCEPT 146M packets, 19G bytes) pkts bytes target prot opt in out source destination 33M 4144M CT udp — * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 CT notrack 33M 2805M CT udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 CT notrack Chain […]