我试图在CentOS 6服务器上configurationSamba,只有3个IP地址可以访问Samba Share。 出于某种原因,我的iptableconfiguration是错误的。 我已经检查了11-15行,每个都有一个问题,我会认为这是同样的问题。 有人能看到我的问题吗? [user_sa@host ~]$ sudo cat -n /etc/sysconfig/iptables 1 # Firewall configuration written by system-config-firewall 2 # Manual customization of this file is not recommended. 3 *filter 4 :INPUT ACCEPT [0:0] 5 :FORWARD ACCEPT [0:0] 6 :OUTPUT ACCEPT [0:0] 7 -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 8 -A INPUT […]
感谢您的款待! 所以…我做了一个全新的RHEL v6.7安装。 我刚刚设置了NTP服务,并在互联网上跟随了一些教程。 在某些时候,这个教程build议我应该打开端口udp 123,以便服务器可以从其他客户端接收NTP查询。 在新安装之后,没有任何configuration完成。 当我检查iptables服务,这是我得到的。 [root@SVNTPRJO01 ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp — anywhere anywhere ACCEPT all — anywhere anywhere ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh REJECT all — anywhere anywhere reject-with icmp-host-prohibited Chain […]
我正在运行HTTP代理服务,并希望根据HTTP数据包的内容 (例如HTTP标头 )将stream量路由到各种 第3层 TUN 。 我正在使用BSD和Linux来做这件事,但是在做路由决定时(至less不用编写我自己的内核补丁),看起来它们都不能做第7层的分类。 那么,是否有可能根据Linux或BSD中的HTTP数据包的内容做出第3层 路由决策 ? 而且,如果没有,任何基于Unix的操作系统或发行版都有这个能力吗?
我的工作站上有Docker和IPSEC VPN通道,但容器无法访问VPN后面的主机。 有什么我可以做的,例如IPTables或路线允许访问? [注:目前我正在libvirt托pipe的虚拟机中运行这些testing,然后libvirt桥的地址为192.168.122.1] 我的networking设置如下所示: 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:0f:f2:bb brd ff:ff:ff:ff:ff:ff inet 192.168.122.87/24 brd 192.168.122.255 scope […]
假设我有一个快速的networking分区testing,我想运行它,比如断开一个ReDiS集群的两半 ,我想用IPTables来暂时断开一组服务器与其他组的连接。 这与fedora邮件列表上提出的问题非常相似: https://www.redhat.com/archives/rhl-list/2006-January/msg03380.html 如果我没有看到一个已经存在的EXISTING,RELATED的iptables –list的输出,我是否必须担心这个? 在fedora邮件列表上的下面的答案似乎是说,是的,现有的连接将closures,如果我没有看到一个存在EXISTING,RELATED的输出从iptables –list 。 https://www.redhat.com/archives/rhl-list/2006-January/msg03396.html 对于那些自反的旗手来说,这个问题,更重要的是,它的答案将会讨论IPTable在更新规则时是否会放弃现有的联系。 就我所知,在这个网站上,关于这个主题的其他问题并没有解决现有的和尝试的连接之间的差异: 如何closures除IPTABLES列出的所有networking的某些TCP / UDP端口(传入) 我在以下URL链接的页面中find了Googlesearch的大部分研究结果: https://duckduckgo.com/?q=iptables+close+existing+connections
有什么方法可以学习不属于我的权限的“被动”FTP服务器的端口范围。 可以在configuration文件中设置范围。 例如在vsftpd.conf : pasv_min_port=25000 pasv_max_port=25500 #pasv_min_port=0 #pasv_max_port=0 (any port) 由于我想在Linuxterminal服务器上应用一个非常有限的OUTPUT防火墙(iptables),我需要知道远程服务器的端口范围。 FTP是否支持端口范围信息的暴露,客户可以使用? 我也打开任何其他可能的解决scheme,除了下面的一个,我假设服务器IP地址为10.1.1.1: -A OUTPUT -d 10.1.1.1 -j ACCEPT 感谢您的关注… 问候 编辑 感谢@ aaron-copley , @ martin-prikryl , @ user3590719 回答主要问题,FTP不向客户端展示被动端口范围。 需要的解决scheme是加载用于FTP的netfilter连接跟踪模块。 ip_conntrack_ftp (Module alias for CentOS/Red Hat : nf_conntrack_ftp) Red Hat 7的工作示例configuration: 的/ etc / SYSCONFIG / iptables的-configuration IPTABLES_MODULES="nf_conntrack_ftp" iptables规则 -A OUTPUT -o lo […]
我正在努力确定是否根据Redhat 6.8中的防火墙打开特定的端口 我想打开2222端口。 我已经尝试了以下内容: system-config-firewall,以sudo的身份运行,并将端口2222描述为要打开的特定端口: 然而,港口并不公开。 我通过尝试通过SSH连接到2222端口来testing。目前SSH运行在22端口上,而且我可以正常连接,但是当我configurationSSH通过2222运行时,使用/ etc / ssh /中sshd_config中的Port 2222 ,连接超时。 我知道SSHD被configuration为侦听该端口,因为我可以使用netstat来testing。 我也尝试过对/ etc / sysconfig / iptables进行各种编辑,包括添加下列规则: -I INPUT 9 -m state –state NEW -m tcp -p tcp –dport 2222 -j ACCEPT 和 -A INPUT -m state –state NEW -m tcp -p tcp –dport 2222 -j ACCEPT 每一个这些变化后,我执行sudo service iptables restart ,我无法连接。 […]
是否有可能阻止只是networking聊天服务,仍然使用电子邮件服务使用iptables和鱿鱼或使用其中之一?
我必须为路由器编写bash脚本来控制给定用户在给定域名上的带宽限制。 为此,我使用iptables将从受限域传入的数据包标记为专用networking中的用户IP地址。 与每对夫妇user_ip / domain_ip我有一个关键,我可以标记数据包。 我将这些规则添加到mangle表中,如下所示: $iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j MARK –set-mark $id $iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j RETURN 我的NAT设置在NAT表(eth0是我的互联网接口,我使用Tap0的Lan接口)是 $iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 我的Lan用户的数据包应该与mangle表中的规则相匹配,但是没有被捕获。 例如:( PREROUTING CHAIN中的table mangle)例如,用于在Lannetworking中为用户192.168.0.2标记来自slashdot.org的数据包。 Chain PREROUTING (policy ACCEPT 14858 packets, […]
我使用的是一个基于SSL的VPN套件(它加载了一些build立VPN连接的Java Applet),这在Linux下非常有效。 当连接时,我看到一个tun0设备连接到我希望在VPNnetworking上看到的IP地址(我们称之为10.0.0.50)。 另外,我仍然在eth0上有我的局域网(内部)IP地址(我们称之为192.168.0.50)。 我可以使用这个configuration浏览到sites / ssh / 10.0.0.0子网中的系统。 然而,我真正喜欢的是能够共享这个连接,以便局域网上的其他机器(比如说192.168.0.60和192.168.0.70)都能以某种方式指向通过VPN隧道转发请求的Linux机器比通过我的ISP的网关路由请求。 我非常无知地说话 – 我已经玩了一点iptables但是大部分时间都是在黑暗中,甚至是这些事情的细节。 我不能改变的那一点(据我所知)是VPN客户端。 我见过很多如何使用其他VPN客户端来演示如何做类似事情的指南。 无论出于何种原因,我似乎无法获得任何其他VPN客户端的工作,我被告知,他们是“不支持”。