我需要一个规则来匹配没有设置选项和/或特定窗口接收大小设置的数据包: IP(tos 0x0,tt166,id 9000,offset 0,flags [none],proto TCP(6),length 40)yyyy11111> xxxxhttp:标志[S],cksum 0xe425(正确),seq 1729214256,win 715,length 0 所以这个数据包赢了715,flags [none] – >我怎么能匹配这样的数据包?
我试图在我的CentOS 5 Apache 2.2.3服务器上打开端口8080。 当我去ip:8080 / mydirectory – 它超时。 到目前为止我已经运行了这些命令: $ iptables -A INPUT -p tcp –dport 8080 -j ACCEPT $ service iptables save $ iptables -A OUTPUT -p tcp –dport 8080 -j ACCEPT $ service iptables save $ iptables -A FORWARD -p tcp –dport 8080 -j ACCEPT $ service iptables save $ service iptables […]
我不知道发生了什么,但我已经设置了iptables和dhcpd服务器的网关debian框。 服务器正在向客户端发送IP地址,网关设置为debian框,dns设置为ISP DNS。 现在我不知道为什么networking不能在客户端计算机上工作。 该框configuration为eth0(192.168.0.1)是内部LAN,eth1是Internet的外部。 我也有ip_forwarding设置为1。 这是我从iptables-save命令的输出。 如果有人能帮忙,请告诉我! 更新1:我redid的规则是非常非常基本的,它仍然在发生… tracert超时在客户端上,不能ping客户端的谷歌,但可以ping网关和其他客户端…和NET工作正常路由器框 更新2:按照帕特里克的build议,提出接受,仍然有相同的问题。 # Generated by iptables-save v1.4.8 on Mon Mar 5 20:46:23 2012 *mangle :PREROUTING ACCEPT [8:608] :INPUT ACCEPT [8:608] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:528] :POSTROUTING ACCEPT [4:528] COMMIT # Completed on Mon Mar 5 20:46:23 2012 # Generated by iptables-save v1.4.8 on Mon Mar […]
我有apf安装在一个OpenVZ容器(proxmox 2.1)。 configuration是非常香草和事情正在工作。 我的外部服务,如ssh和http正在工作。 我的问题是,http / https上的所有出站stream量被阻止。 如何允许http / https的所有出站stream量。 如果我像这样将EGF更改为1,则所有入站和出站stream量都将被阻止 EGF="1" EG_TCP_CPORTS="21,25,80,443,43,53" EG_UDP_CPORTS="20,21,53" EG_ICMP_TYPES="all" 我用下面的方法打开了一个出站规则 # /usr/local/sbin/apf -a downloads.wordpress.org 如何在不阻止所有stream量的情况下允许http / https上的所有出站stream量? 为什么我会允许所有入站ssh / httpstream量并阻止所有出站stream量?
我试图让mod_evasive发射一个脚本来添加一个iptables规则来拒绝违规的主机。 我已经尝试了这两个答案的build议,但我仍然无法得到它的工作。 除了链接的post之外,我正在尝试运行本文所述的脚本。 我的Apacheconfiguration有这个 DOSSystemCommand "sudo -u root /root/scripts/ban_ip.sh %s" 脚本有这个 #!/bin/sh IP=$1 IPTABLES=/sbin/iptables $IPTABLES -A banned -s $IP -p TCP -j DROP echo "$IPTABLES -D banned -s $IP -p TCP -j DROP" | at now + 5 minutes 我创build了一个“禁止”链(我也试图把它添加到INPUT链无济于事) 我的/ etc / sudoers看起来像这样: apache ALL=(root) NOPASSWD: /root/scripts/ban_ip.sh * 我禁用了SELinux,以确保它不会阻碍。 我可以su apache –shell=/bin/bash并运行sudo /root/scripts/ban_ip.sh 10.10.10.10 […]
我已经启用logging与iptables。 现在,我需要了解一些缩写。 Feb 23 20:43:08 spiderman kernel [2905.992450]:IN = wlan0 OUT = MAC = ff:ff:ff:ff:ff:ff:00:06:25:09:6a:b5:08:00 SRC = 192.168 .1.100 DST = 192.168.1.255 LEN = 241 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 64564 DF PROTO = UDP SPT = 138 DPT = 138 以下各项是什么意思: [2905.992450] TOS = 0×00 PREC = 0×00 […]
如何在Linux中删除传入的负面DNS响应? (我想要一个超时代替)我想创build一个iptables规则: iptables -I INPUT -p udp –sport 53 -m u32 … 从wireshark: 000E start of IP Packet (fixed, at first, I wrote 0010) 0022 start of UDP Packet 002A start of DNS message 002C Flags …. …. …. 0000 = Reply code: No error (0) …. …. …. 0011 = Reply code: No such […]
我试图设置一个Linux的盒子作为路由器,我有点困惑以下规则将如何影响数据包。 例如在路由表中,我可以有 default via 10.10.1.1 dev eth0 src 192.168.1.1 将数据包的源IP地址改为192.168.1.1 而在iptables中,我可以拥有 -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth0 -j SNAT –to 192.168.1.1 这似乎也要求下一跳返回数据包应该去192.168.1.1 那有什么区别?
我有一个主要的服务器(Centos 6.2)作为路由器/防火墙和虚拟机。 虚拟机在networking10.0.0.0/8中,其他人(有DHCP服务器)在192.168.0.0/16。 我有两个面向互联网的接口,带有一个可变IP的ppp0和带有一个静态IP的ppp1。 我需要做的是将所有从10.0.0.0/8开始的传出stream量通过ppp1,这样虚拟机将被视为静态IP。 192.168.0.0/16中的机器必须能够直接与10.0.0.0/8中的机器通信。 …基本上,所有stream量都是上网,如果源自10.0.0.0/8,则通过ppp1。 保持不同networking的能力互相交stream。 我已经尝试了几个基于源代码的路由示例,但没有运气,最终没有从主服务器访问虚拟机。 iptables似乎也没有工作。 我的整个模式如下所示: Server: ppp0: facing internet variable ip ppp1: facing internet static ip vnet0: bridge with ips: 192.168.0.1, 10.0.0.1 eth1: facing the local network vnet1: interface to the first virtual server vnet2: interface to the second virtual server Virtual server 1: eth0: interface connected to main […]
我有以下设置: ++++++++++++++++++ + OpenVPN server +…….. . . . . (cat pictures) ++++++++++++++++++ | | __|__________________________________________Internet________________ | Local | DSL | ++++++++++++++++++ +++++++++++++++++++ + router1 + Ethernet + router2 + + DHCP serving +————-+ DHCP serving + + 192.168.1.1/24 + eth0 + 10.0.0.1/24 + ++++++++++++++++++ + OpenVPN client + . + hostapd/dnsmasq + . +++++++++++++++++++ […]