我在fail2ban中使用一个自定义filter来search自己的日志,并禁止从任何常规filter5禁令后的IP。 我使用iptables-allports作为此操作。 所有其他的filter都configuration了iptables-multiport 。 这是jail.conf的特定configuration [fail2ban] enabled = true filter = fail2ban action = iptables-allports[name=fail2ban] logpath = /var/log/fail2ban.log maxretry = 5 findtime = 604800 bantime = 2592000 我的filterfail2ban.conf看起来像这样(删除了多余的注释) [Definition] # Count all bans in the logfile failregex = fail2ban.actions: WARNING \[(.*)\] Ban <HOST> # Ignore our own bans, to keep our counts exact. ignoreregex = […]
我在OpenStack中运行KVM实例,并没有从DHCP服务器获取IP地址。 使用tcpdump,我可以在计算主机的vnet0上看到请求和回复数据包: # tcpdump -i vnet0 -n port 67 or port 68 tcpdump: WARNING: vnet0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vnet0, link-type EN10MB (Ethernet), capture size 65535 bytes 19:44:56.176727 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from fa:16:3e:46:f6:11, length 300 19:44:56.176785 IP 0.0.0.0.68 […]
如何configurationufw或iptables只允许从IPv6networking到Internet的出站stream量? 我有一个办公室networking与IPv4的传统NAT设置。 我想添加一台运行Ubuntu的PC作为利用Hurricane Electric隧道的IPv6路由器。 我有一切设置和运作正常。 我的内部计算机正在从Ubuntu中接收全局地址,并且能够ping ipv6.google.com并浏览ipv6test.google.com,而不会出现任何问题。 我不知道的是,如何configuration一个防火墙阻止来自Internet的未经请求的stream量到我的内部networking,但允许出站stream量到Internet(和相关的返回stream量)。 ufw命令或iptables规则的实际例子将不胜感激。 root@ipv6router:/home/corey# ifconfig eth0 Link encap:Ethernet HWaddr 00:08:a1:10:62:c0 inet addr:146.xy12 Bcast:146.xy15 Mask:255.255.255.240 inet6 addr: fe80::208:a1ff:fe10:62c0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:190487 errors:1 dropped:0 overruns:1 frame:1 TX packets:40982 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:80088076 (80.0 MB) TX bytes:6825762 (6.8 MB) eth1 Link encap:Ethernet […]
我们有一些奇怪的问题,当外部服务器试图连接到端口443(TCP),这是一个Apache2 +乘客和Rails应用程序的我们的网站。 这个问题很less发生。 我开始调查,通过启用iptableslogging使用iptables -I INPUT -m state –state NEW,INVALID -j LOG –log-prefix "iptables [INPUT]: " (这也为FORWARD(通常不使用)和OUTPUT)。 现在每个新的连接都被logging到syslog中。 现在我在这个系统日志上看到了正常的连接,并且经过了与Vhost的连接(正常工作请求),但是有时(在大约100个连接中),我只能看到iptables日志中的新连接,但连接似乎没有达到apache2或乘客实例)(没有apache日志条目,没有连接的结果)。 当用curl来做这件事时,我们会得到一个超时或一个空string。 我们刚刚发送了一个启用debugging的curl请求代码片段,用于增强日志loggingcurl错误的样子。 我们正在使用Debian Squeeze(稳定),在具有E1000网卡(虚拟化)的桥接以太网的VMWare ESXi环境中运行。 但是,当数据包到达VM-OS本身时,我不认为这会导致问题。 我也检查了有40到50个连接的ip_conntrack,挤压极限是65k,所以没问题。 另外,我们没有任何丢弃的网卡的本身。 内核版本 :Linux servername 2.6.32-5-amd64#1 SMP Sun Sep 23 10:07:46 UTC 2012 x86_64 GNU / Linux Apache2 :服务器版本:Apache / 2.2.16(Debian) – 服务器版本:Nov 30 2012 08:58:38 乘客 :Phusion Passenger版本3.0.12 Ruby […]
我试图在centOS中启用md5 checksum / signature for tcp数据包(主要用例是停止tcp RST攻击等)。 看来我可能能够使用netcat或通过iptables的个人端口。 启用这个选项的首选方法是什么?有没有比我列出的更好的方法? 谢谢
从debian挤压到wheezy升级后,我有一个被动的FTP连接的问题。 我可以缩小它与iptables相关,因为我可以通过FTP连接到iptables ACCEPT规则后添加我的IP后无w / o问题。 在升级之前,我能够做到 modprobe nf_conntract_ftp ports=21332 并添加 iptables -A THRU -p tcp –dport 21332 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 现在..它不再帮助。 正如我在计数器中看到的,正在触发INPUT规则,但目录列表是最后一件事情。 设置被动端口范围是我想要做的最后一件事,我不喜欢开放的端口。 我也尝试过使用辅助mod的技巧, 在 21332的实际规则之前添加以下规则 iptables -A THRU -p tcp -i eth0 –dport 21332 -m state –state NEW -m helper –helper ftp-21332 -j ACCEPT 但没有帮助,甚至没有根据柜台触发。 下一行(w / o助手)的规则正在被触发 编辑1:这是尝试连接后的logentry: Jun 30 […]
我有一个Raspberry Pi(运行Raspbian)与三个networking接口(一个以太网和两个USB无线网卡)。 我想实现的是这样的:我有两个WAN连接到互联网(DSL + Cable),我想设置RasPi的方式是提供两个默认网关。 我想让我的本地networking中的特定客户端使用一个或另一个网关。 以下是我想要实现的概述: 通常情况下,你不可能有两个默认的网关,但是我发现,使用iproute2你可以做到这一点,并使用多个路由表(从而默认网关),这是由规则应用。 (请参阅下面的configuration的详细信息) 以太网接口(192.168.10.1)连接到连接本地networking(192.168.10.0/24)的交换机。 接口wlan0(192.168.178.199)连接到第一个WLAN路由器(DSL)(192.168.178.1)。 接口wlan1(192.168.0.199)连接到第二个路由器(电缆)(192.168.0.1)。 这是我的/etc/network/interfaces auto lo iface lo inet loopback iface eth0 inet static address 192.168.10.1 netmask 255.255.255.0 iface wlan0 inet static address 192.168.178.199 netmask 255.255.255.0 wpa-ssid "ALICE" wpa-psk "yyyyyyyy" iface wlan1 inet static address 192.168.0.199 netmask 255.255.255.0 wpa-ssid "BOB" wpa-psk "xxxxxxxx" 出于某种原因,为两个wlan接口设置auto并不是很好,大多数情况下,至less其中一个不会得到“提升”,所以现在我把它们放到rc.local中。 当我启动的时候,两个wlan接口都是up的,连接到他们的wlan,都可以ping他们的路由器(例如ping 192.168.178.1 -I […]
我本质上是一个路由问题,我不熟悉路由和iptables有效地排除故障,并设置我的networking需求。 什么工作 我有一个开放的VPNnetworkingbuild立和工作; 客户端可以通过互联网连接到局域网。 我想要发生什么 …当客户端连接到给定子网上的VPN时。 客户端应该可以从VPNnetworking访问 奖励积分如果规则可以做以下一项或多项: 客户端不应该能够发起到VPN的连接 客户端应该显示在我们的DNS 拓扑 我们的networking拓扑如下所示: ______ ____________________ / \ / \ | internet |—| client (10.8.8.0/24) | \________/ \____________________/ | ______ / \ | gateway | \________/ | —–LAN—— (10.10.10.0/24) | | | | L_____VPN Server `VPN1` 10.10.10.2 (fictional name/subnet) 当前的设置 我们的网关有以下路线定义: 10.8.8.0 255.255.255.0 10.10.10.2 LAN & WLAN […]
我必须设置哪些iptables-rules来允许客户端访问使用netbios的samba服务器(即,能够使用\ MyServer而不是\ 192.168.0.1从Windows访问服务器)? 我有一个小型的办公室服务器,在内部网和外部网之间进行NAT /伪装,并通过netbios服务器向内部网提供dns(转发),dhcp和samba服务。 我目前的iptablesconfiguration: # Loeschen aller vorhandener Regeln $IPT -F # Default Policy setzen $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # Loopback komplett freischalten $IPT -A INPUT -i $LO -j ACCEPT $IPT -A OUTPUT -o $LO -j ACCEPT # Bestehende Verbindungen auf allen Interfaces erlauben $IPT […]
一个服务器在不同的公共networking中有3个ifaces,2个内部(eth1 / 2),一个外部(eth0)。 有一个服务(openvpn)不能绑定到一些IP / ifaces,只有全部或一个,但我需要它只接受连接(UDP)的内部ifaces。 默认的gw是通过外部的。 我有一个工作的设置与服务的两个实例绑定到每个内部iface的IP和iproute2路由集( ip route add xxx table x , ip rule add from <IP> table x )。 是否有可能将第二个内部iface(eth2)上的传入连接DNAT到第一个内部iface(eth1)的IP并通过相同接口(eth2)进行响应? 在这种情况下,不需要运行服务的第二个实例,并保持2个相同的configuration,只需要监听IP的不同。 问题是,如果我(使用DNAT)将eth2上的传入连接的目标IP更改为eth1的IP,则基于from <IP>的IP规则将不起作用。 或者,更好地说,它将使服务通过eth1而不是eth2使用eth1的默认gw来回答。 是否有可能对DNATed“会话”(UDP)的所有传出数据包进行高效设置标记,所以我可以在ip规则中使用fwmark? 任何其他解决scheme的主要问题?