我知道如何使用限制conntrack选项来允许DoS保护。 但是,我想添加一个保护来限制每个端口不超过50个连接。 我怎样才能做到这一点? 基本上,我想确保每个端口不能超过50个连接 ,而不是全局应用50个连接(这是我相信的第二个)? 我会做一些事情吗? iptables -A INPUT –dport 1:65535 -m limit –limit 50/minute –limit-burst 50 -j ACCEPT 要么 iptables -A INPUT -m limit –limit 50/minute –limit-burst 50 -j ACCEPT
我有两个亚洲人: Chain OUTPUT (policy ACCEPT 68688 packets, 12M bytes) pkts bytes target prot opt in out source destination 146 54635 MARK tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp spt:6532 MARK set 0xfffc 146 54635 MARK tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp spt:6532 MARK set 0x5 当我iptables -t mangle -m connmark –mark 0x5 -Z它将零和0xfffc和0x5的计数器,如何只重置0x5链的字节计数器?
我有一台运行Fedora 15的服务器。我的最终目标是能够通过随机端口号(通过iptables规则指定)转发任何协议。现在,我想暂时将端口12345转发到一个web服务器里面networking。 我们会说这个networking服务器是192.168.0.10:80。 添加规则到iptables打开端口如下所示: -Ainput-m状态 – 状态新-m tcp -p tcp –dport 12345 -j ACCEPT 我重新启动iptables,然后运行: nmap -p 12000-13000本地主机 nmap不显示该端口是打开/closures的。 然后我用如下的semanage定义端口: semanage port -a -t http_port_t -p tcp 12345 nmap仍然看不到端口。 如果我然后完全禁用selinux,nmap显示端口为“closures”。 我似乎无法find打开端口的方法。 我已经在网上search了好几天了,但是我一直无法解决这个问题。 我可以提供任何你想要的其他configuration数据。 有什么build议么? 编辑:添加iptables -L -n -v输出iptables -L -n -v : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt […]
我正在使用这个速度限制,它工作正常: /usr/sbin/iptables -A INPUT -p tcp –dport 80 -m recent –rcheck –seconds 60 –hitcount 2 –name WWW -j LOG –log-prefix "WWW " /usr/sbin/iptables -A INPUT -p tcp –dport 80 -m recent –update –seconds 60 –hitcount 2 –name WWW -j DROP /usr/sbin/iptables -A INPUT -p tcp –dport 80 -m state –state NEW -m recent –set –name […]
我有一个Linux服务器,并在另一台机器上有一个代理服务器。 我的Linux服务器需要连接到ip'y'端口'x' 是否有可能创buildiptables规则或另一种方式来:当我的linux服务器试图连接到端口'x'在ip'y'使用我的代理服务器在另一台机器上? 换句话说,当需要通过使用另一个代理服务器机器连接ip'y'上的端口'x'时,我需要对服务器的ip进行更改。 简单的问题:“需要一种方式来代理一个端口”
iptables -A FORWARD -p tcp -j LOG –log-level debug or iptables -A FORWARD -p tcp -j LOG –log-level info or iptables -A INPUT -p tcp -j LOG –log-prefix ' INPUT TCP ' –log-level 7 根本不loggingkern.log或syslog。 什么可能导致这种情况,以及如何解决这个问题 使用Ubuntu 10.04.4 LTS 这是/etc/rsyslog.d/50-default.conf的内容 # Default rules for rsyslog. # # For more information see rsyslog.conf(5) and /etc/rsyslog.conf # […]
在亚马逊VPC中,我有一个公有子网,有一个NAT网关,和一个有2个服务器的私有子网。 我启用了端口80和443的NAT(端口转发)到服务器内部,以访问在私有子网中的一个Web服务器上存在的网站。 现在,当我尝试wget任何url或运行百胜更新,我得到以下错误: M2Crypto.SSL.Checker.WrongHost:对等证书subjectAltName与主机不符,期望mirror.rightscale.com,得到DNS:www.crowdprep.com,DNS:crowdprep.com 当我从Prerouting表中删除iptables NAT规则时,我不会再有这个错误。 这个错误与iptable规则有什么关系? 可能是什么原因?
我有一个KVM主机桥接其eth0为br0。 我有一个使用桥接适配器(而不是NAT)的访客使用自己的公共IP。 如果我在主机上设置了基本的防火墙规则,它会突然开始花费很长时间在其IP上连接到ssh(或其他服务,如http)guest,无论本地(从主机)还是从另一个主机完全连接。 很长时间我的意思是20秒而不是1秒。 此外,其出站连接也需要很长时间才能打开(从访客连接到另一个主机)。 我只是简单地启用了所有转发; 没有这种说法,没有交通是来自或来自客人。 如果我冲洗所有这些规则,则连接恢复正常。 问题:1.什么给了? 2.如何排除故障 – 是否有办法logging所有拒绝? 这些是我的规则声明: *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m state […]
当我使用csf的时候应该禁用iptables吗? 任何帮助赞赏。
我试图设置iptableslogging连接尝试到服务器端口21,然后拒绝连接。 日志工作,但我不能让iptables实际上拒绝连接或丢弃数据包,无论我尝试。 logging规则: Chain INPUT (policy ACCEPT) num target prot opt source destination 1 LOG tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 LOG flags 0 level 7 prefix `FTP connection: ' 我已经尝试让iptables的DROP和REJECT端口21作为第二条规则,但它不工作,我仍然可以到达服务器21。 2 REJECT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 reject-with icmp-port-unreachable 是一个,这是行不通的。