我正在致力于在Amazon EC2和我的内部部署之间获得IPSec VPN。 目标是能够安全地pipe理这些隧道上的东西,上传/下载数据等。 我已经得到了在使用弹性IP的Fedora 12实例和也是NAT的Cisco路由器之间的openswan隧道。 我认为ipsec部分是可以的,但我很难找出如何路由stream量, 有没有“ipsec0”virutal接口,因为在亚马逊你必须使用netkey而不是KLIPS的VPN。 我听说iptables可能是必需的,我是iptables noob。 在左边(亚马逊),我有一个10.networking。 方框1私下为10.254.110.A,公开IP 184.73.168.B. Netkey隧道已经启动 方框2公开为130.164.26.C,私下为130.164.0.D 我的.conf是: conn ni type= tunnel authby= secret left= 10.254.110.A leftid= 184.73.168.B leftnexthop= %defaultroute leftsubnet= 10.254.0.0/32 right= 130.164.26.C rightid= 130.164.0.D rightnexthop= %defaultroute rightsubnet= 130.164.0.0/18 keyexchange= ike pfs= no auto= start keyingtries= 3 disablearrivalcheck=no ikelifetime= 240m auth= esp compress= no keylife= 60m […]
我看到很多从ip 188.241.114.22到我的apache服务器build立的连接,最终导致apache挂起。 我重新启动服务后,一切工作正常。 我尝试在iptables中添加一个规则 -A INPUT -s 188.241.114.22 -j DROP 但尽pipe如此,我仍然看到来自IP的联系。 我使用centOS,我添加像thie规则: iptables -A INPUT -s 188.241.114.22 -j DROP 正确的,我保存它使用:服务iptables保存 这是iptables -L -v的输出 链接INPUT(策略ACCEPT 120K包,16M字节) pkts字节目标人选退出源目的地 0 0 DROP全部 – 任何任何lg01.mia02.pccwbtn.net任何地方 0 0 DROP all – 任何任何c-98-210-5-174.hsd1.ca.comcast.net任何地方 0 0 DROP all – 任何任何c-98-201-5-174.hsd1.tx.comcast.net任何地方 0 0 DROP全部 – 任何任何lg01.mia02.pccwbtn.net任何地方 0 0 DROP全部 – 任何任何地方任何www.dabacus2.com 0 0 […]
我使用csf,并注意到一个特定的pop3帐户的蛮力密码尝试了很多。 csf似乎不像其他进程那样阻塞IP地址。 有没有一个开关或configuration选项,有人可以指示我指示csf阻止所有失败的鸽舍login尝试?
我试图运行一个很长的PHP过程,并以500内部服务器错误结束。 它执行罚款约8分钟。 更改php设置后,我重新启动了机器。 PHPconfiguration: max_execution_time:3600 大约10分钟后ps ax | grep php: 19007? S 0:08 / usr / bin / php /home/gypsy/public_html/index.php 我已经将ignore_user_abort设置为true。 该过程卡在00:08(第8分钟),不会进一步执行。 Apache错误日志显示错误: 在返回标题之前脚本超时:index.php 似乎不知何故max_execution_time不起作用。 任何build议将是一个很大的帮助。 更新: 我已经能够检测到这个问题。 防火墙阻止了这个过程。 服务器使用iptables和configserver作为防火墙。 禁用防火墙工作正常。 但是我不确定要更改哪些设置以允许防火墙中的长时间运行的进程
我有一个很好的openvpn设置。 有大约50个客户连接,一切都方便丹迪。 我需要这些客户端之一通过vpn路由所有stream量。 我为该特定的客户端设置了一个ccd ,并添加了push "redirect-gateway def1" 。 路由表似乎在客户端更新。 我可以访问vpn中的所有主机,但不能访问vpn以外的其他任何东西。 当从客户端tracerouting,一切都进入VPN网关,但之后没有更进一步。 我相信罪魁祸首是在服务器上的iptablesconfiguration。 这是设置 我有一个openvpn使用子网10.170.xx与10.170.0.1的VPN网关(VPNGATEWAY) 我有不同的子网10.171.xx,通过ccdlogging(这是pipe理networking,有3个客户端) 我想通过VPN的所有stream量的客户端是10.171.0.1(客户端) 从10.171.0.1(CLIENT)我可以ping通10.170.0.1(VPNGATEWAY)。 事实上,我可以ping 10.170.xx和10.171.xx中的所有主机,但不能ping 8.8.8.8。 这是iptables conf 有一些规则,我拿出来使其更简单。 *filter :INPUT DROP [1000:900000] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT # here were some rules accepting certain ports […]
作为实验的一部分,我想从来自本地系统的数据包中生成IPFIX数据。 看来ULogd是一个很好的工具。 我能够捕获PCAP数据。 但是在ULogd2.x上关于IPFIX格式数据生成的文档非常less(在ulogd.conf中提供了很less的例子)。 你能给我提供任何描述如何使用ulogd2.x生成IPFIX数据的链接吗? 1)有什么select? 我看到有轮询间隔configuration。 但我不知道它是如何工作的? 2)如果我设置hash_enable = 0,取消注释polling_interval值,我得到一个exception作为NFCT插件需要散列表,尽pipe我已经指定hash_buckets和hash_max_entries。 你能帮忙吗? 3)一般来说,我想知道NFCT插件如何在ulogd2.x中工作。 我发邮件到ulogd邮件列表,但没有回复。 你能点亮一下吗?
我在configuration我自己的服务器时遇到问题。 它具有Linux Ubuntu Server Edition 10.04 LTS作为操作系统,两个网卡(eth0和eth1)并使用OpenVPN。 eth0连接到一个连接到3G路由器的交换机(静态IP:192.168.0.254),eth1有时连接到一个(之前的)未知LAN,并使用DHCP获取IP地址。 这些接口中只有一个接口有时间上网,即如果在eth1中插入了电缆,则需要closures3G路由器*。 最终,我希望所有的stream量都通过连接到互联网的接口通过VPN,而且所有的stream量都通过特定的IP地址和端口(比如192.168.45.1:8443)来使用eth1,无论如何。 在build立的过程中,我首先集中在3G部分,将eth1拔出,并设法使用VPN通过eth0与VPN中的其他服务器进行通信。 / etc / network / interfaces看起来像这样: auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.100 netmask 255.255.255.0 gateway 192.168.0.254 auto eth1 iface eth1 inet dhcp 然后,我在eth1中插入一根以太网电缆,禁用VPN并closures3G路由器。 eth1所连接的局域网有一个DHCP服务器(192.168.0.254),恰好与连接到eth0(192.168.0.x)的机器具有相同的ip范围。 我绝对不能保证这两个子网在未来会有所不同。 服务器从DHCP服务器获得一个IP(192.168.0.45),但是我也不能ping通它,也看不到DHCP服务器接口上连接的设备列表中的服务器。 在注释掉/ etc / network / […]
我想在我的iptables中打开FTP端口。 以下是我的iptablesconfiguration: #!/bin/sh IPT="/sbin/iptables" # Flush old rules, old custom tables $IPT –flush $IPT –delete-chain # Set default policies for all three default chains $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP # Enable free use of loopback interfaces $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo […]
我有一个OpenVPN的Ubuntu 12.04盒子。 VPN工作正常 – 客户端可以连接,浏览网页等。在tun0上的OpenVPN服务器IP是10.8.0.1。 在同一个盒子上,我可以使用sshuttle通过另一个networking访问10.10.0.9上的Web服务器。 sshuttle使用下面的iptables命令来实现它的魔力: iptables -t nat -N sshuttle-12300 iptables -t nat -F sshuttle-12300 iptables -t nat -I OUTPUT 1 -j sshuttle-12300 iptables -t nat -I PREROUTING 1 -j sshuttle-12300 iptables -t nat -A sshuttle-12300 -j REDIRECT –dest 10.10.0.0/24 -p tcp –to-ports 12300 -m ttl ! –ttl 42 iptables -t nat -A […]
这是我的场景: build立 有3台机器: A :在互联网上:有ip( aaaa ),有端口pa打开 B :我的服务器/网关:有ip( bbbb ),有端口pb打开 C :在网上:有ip( cccc ),有端口pc打开 约束 机器A的所有者通过端口pa提供必须通过端口pc在机器C上访问的服务。 问题是, A的所有者只能允许直接连接到我的服务器,端口pb上的机器B 请注意, A和C都在互联网上 ,所以实际上,我必须充当互联网上两台机器之间的网关(我在大多数防火墙文档中发现的文献都充当互联网和本地之间的网关networking)。 附加function 机器B正在运行OpenSuse 11.4 要求 我的任务是确保我通过服务器B为机器C提供由A提供的服务,使得来自A:pastream量以C:pc结束,而来自C:pcstream量以A:pa结束。 那么,如何使用iptables或其他Linux / Unix工具来实现呢? 这甚至有可能吗? 假设解决scheme: 这是我想到的一个想法,但我不确定它是合法的还是合理的: iptables -t nat -A PREROUTING -p tcp –source aaaa –source-port pa \ –destination bbbb –destination-port pb -j DNAT –to-destination cccc:pc 和 iptables […]