第一个问题在这里,所以请容易: 我有一个debian Linux 5.0服务器与两个公共接口。 我想通过一个接口从应用程序的一个实例路由出站stream量,通过第二个接口路由第二个实例的出站stream量。 有一些挑战: 应用程序的两个实例都使用相同的协议 应用程序的两个实例都可以访问整个互联网(不能基于destnetworking路由) 我无法更改应用程序的代码 我不认为一种典型的负载均衡所有stream量的方法是行之有效的,因为在出站stream量中访问的目标服务器相对较less,所有的stream量确实需要在这些相对较less的服务器上相当均匀地分配。 我可以运行两个虚拟化的服务器,并绑定到不同的接口,但我正在寻找一个更简单的解决scheme,也许使用iproute或iptables? 任何想法对我? 在此先感谢 – 我很乐意回答任何问题。
我现在为我的vps设置了一些基本的iptable规则。 只是阻止一些默认端口,80,21,22,443。 我确实被强奸了很多。 我听说iptables是非常强大的,但我没有看到很多用例。 你可以给我一个(一些)规则的例子,你总是使用一个小例子为什么。 如果有任何我想要的链接,我不能在SF上find一个普遍的最佳做法。 如果这是重复的,我很抱歉,可以closures。
CentOS 5.4,停止IP表,我可以做到。 什么是我需要添加到IPtables,所以我可以保持它,并有远程(域)访问MySQL数据库? 我目前的表格: # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT -A […]
这与暴力攻击的其他post类似,但更具体一些: 我们通常能够执行体面的密码,并且用户名策略也避免了99.9%的FTP傀儡正在尝试的东西,但是我没有理由让数千次的尝试无休止地,有时他们可以使填充日志文件有很多的噪音,使其更难find更有针对性的东西。 那么,对于被动的FTP,在传入的TCP 21的iptables中有一些合理的速率限制,在切断大量失败的尝试而不会妨碍正常使用的情况下是合理有效的? 我认为这将通过从同一个IP到TCP 21的速率限制连接来完成。是正确的吗? 我有没有想到那里的问题? 接下来, 你会build议在堡垒防火墙/路由器上使用一个简单的iptables命令来防御最困难/最快的暴力攻击? 我的想法是在一分钟左右触发25个连接(原则上成功login到TCP 21的唯一连接),然后一个半小时。 这些数字看起来是否合理? (其他信息:这是一个debian防火墙/路由器,它可以保护混合操作系统的DMZ)
这里是“iptables-save”的输出: # Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010 *mangle :PREROUTING ACCEPT [921:116690] :INPUT ACCEPT [921:116690] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [856:343403] :POSTROUTING ACCEPT [856:343403] COMMIT # Completed on Sun Nov 21 11:28:56 2010 # Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010 *nat :PREROUTING ACCEPT [18:1076] :POSTROUTING ACCEPT [189:12510] […]
我想使用iptables将我的Debian Lenny服务器设置为我的家庭networking的路由器,但到目前为止一直没有成功。 以下是所需的networking架构图 INTERNET – (eth0) Debian server + router (eth1) — Netgear 5 port gigabit switch — Clients 我有一个DHCP服务器和DNS服务器运行的内部networking,但我有困难的设置iptables。 我需要从外部打开端口80和22(我可以添加打开其他人),并从内部完全访问服务器。 任何帮助将非常感激,谢谢,RayQuang
我有点困惑与互联网上丰富的tcpdump教程。 我有一些在虚拟化服务器上运行的虚拟机。在哪里我正在debugging一个问题。端口53是有问题的。 我有一个桥接设置,其中有问题的计算机上的4个局域网卡中的一个是活动的,它是xen-br0我想检查是否有任何请求通过局域网上的其他机器在服务器的端口53上传输。 我也想看看局域网或其他机器上的客户操作系统是否在端口53发送stream量。由于通过tcpdump生成了大量的消息,我发现很难在所需的端口上grep输出。 那么,如果有人能给出一个有用的例子,我该如何使用它。 提前致谢。
我想限制从同一个IP到服务器(本地)端口的并发打开TCPstream的数量。 假设4个并发连接。 这怎么能用ip表来完成? 最近的事情,我发现是: 在Apache中,有没有办法限制每秒/小时/天的新连接数量? iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –set iptables -A INPUT -p tcp –dport 80 -i eth0 -m state –state NEW -m recent –update –seconds 86400 –hitcount 100 -j REJECT 但是这个限制只是衡量一段时间内新连接的数量。 这可能对控制HTTPstream量很有帮助。 但这对我来说不是一个好的解决scheme,因为我的TCPstream通常有5分钟到2小时的使用期限 。 非常感谢您的回复:)
从Trustwave报告中,我们试图设置我们的服务器来阻止这种types的请求,但是在尝试了几个规则组合之后,我们仍然可以看到端口。 任何人都可以给我一个提示或一套必要的规则来阻止这个请求? 我正在使用nmap –scanflags SYN,FIN xxx.xxx.xxx.xxx来testingiptables是否阻塞。
这与我以前的问题有关 。 不需要阅读,但是我正在运行一个Fedora 15 web服务器,我一直在试图让Apache正常运行。 目前我的networking服务器configuration了一个错误的防火墙 – 它阻止了端口80上的入站请求。我发现这是iptables的一个问题,所以运行了一个命令来纠正它: /sbin/iptables -A INPUT -m state –state NEW -p tcp –dport 80 -j ACCEPT 那没有做任何事情。 在重新启动iptables服务之前和之后,我都没有得到服务器的响应。 我正在用来解决这个问题的页面上的下一个build议是将这些行追加到/ etc / system / iptables,所以我试过: -A RH-Firewall-1-INPUT -m state –state NEW -p tcp –dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state –state NEW -p tcp –dport 443 -j ACCEPT 但是,我添加这些行后,iptables甚至不会启动。 所以我改变了他们看起来更像我的configuration文件的其余部分。 […]