我最近接pipe了使用安装了CPanel的纯Tomcat 6服务器(即,没有组合Tomcat + Apache)的网站的pipe理,其仅在端口8088 (即,主页面URL是www.domain.com:8088 )上可访问。 我希望网站可以在www.domain.com上访问,即在80端口上。 按照这篇文章 ,我跑了: sudo /sbin/iptables -t nat -I PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8088 sudo /sbin/service iptables save 然后重新启动。 但是,与以前一样, www.domain.comredirect到www.domain.com/cgi-sys/defaultwebpage.cgi ,即CPanel的默认网页,位于/usr/local/cpanel/cgi-sys/defaultwebpage.cgi 。 访问www.domain.com任何其他页面时,出现404错误。 看来CPanel正在干扰使用80端口。 www.domain.com:8088仍然有效,但。 这里是/usr/local/tomcat/apache-tomcat-6.0.26/conf/server.xml的内容。 请注意,根据文章,我在port="8088" proxyPort="80"之后添加了proxyPort="80"所以它将“好像传入的请求被引导到端口80”一样。 <?xml version='1.0' encoding='utf-8'?> <Server port="8005" shutdown="SHUTDOWN"> <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> <Listener className="org.apache.catalina.core.JasperListener" /> <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" /> <Listener […]
是否有可能使用iptable表来限制一个ipset的速度? 我知道你可以使用ipset创build一个名为黑名单的块列表 即 ipset create blacklist hash:ip iptables -I INPUT -m set –match-set blacklist src -j DROP ipset add blacklist 1.2.3.4 ipset add blacklist 1.2.3.5 但是,你怎么能限制被称为黑名单的ipset? 就像是 ? iptables -I INPUT -m set –match-set blacklist src -p TCP –dport 80 -m hashlimit –hashlimit 50/sec –hashlimit-burst 10 –hashlimit-name blacklisthash -j DROP 是–hashlimit-mode srcip甚至需要? 谢谢
目前我有两台服务器运行Debian 7 HA主动/被动设置使用Pacemaker和Corosync如下: node1->IP->xx.xx.xx.1 node2->IP->xx.xx.xx.2 VIP(Floating IP) ->xx.xx.xx.3 它configuration了心跳以进行故障切换设置。 以上所有知识产权都是面向公众的。 当其他节点发生故障时,系统全部按照高可用性运行。当其中一个系统处于活动状态时,将有两个IP分配给一个服务器。 所以这是我的问题 – 我是否必须为不同的IP(VIP和静态公共IP)添加任何单独的iptable规则? 如何仅允许(监听)特定IP(VIP)上的stream量来为eg-DB服务器服务,而不是来自外部其他公共地址(xx.1)的stream量。 如果你有什么担心安全等问题的设置,请评论.. 谢谢
我有snort监听思科交换机的SPAN端口。 我希望能够在我的networking服务器上添加一个iptables DROP规则来针对特定的snort警报,但是很难find如何做到这一点。 我希望阻止实时发生,而不是通过cron启动脚本来周期性地拖动snort日志。 我在Seclists上find了一个例子 ,它使用syslog-ng来运行一个shell脚本,但是它必须是一个早期版本的syslog-ng,因为当我重新启动syslog-ng时,我得到了一个关于不赞成使用的语法的错误。 我对syslog-ngfilter知之甚less,所以我们会对此做更多的研究,因为它看起来很有希望,但是我认为如果有更好的方法,我会提出这个问题。 当Snort警报通过我的snort盒子的SPAN端口时,运行shell脚本的好方法是什么?
以下情况:我有一个Ubuntu 14.04LTS作为Docker 1.4主机的硬件盒我正在几个容器中运行一个ELK堆栈。 当然,logstash容器只公开514端口来收集系统日志input。 在某些情况下,重启容器后,系统日志stream量不再被转发到容器。 'iptables -nvL'表示在容器启动期间没有匹配应用于转发链的规则的stream量。 INPUT链的stream量计数器比FORWARD链要高得多。 我注意到在所有向全世界公开UDP端口的容器上的这种行为,具有基于TCP服务的容器按预期工作。 重新启动容器和docker服务没有成功。 我主要收集防火墙的stream量日志,所以系统日志的stream量是相当稳定的。 我每秒钟收集约1,5k个Syslog陷阱。 我的解决方法是停止所有到主机的stream量大约10秒(目前通过阻塞上游路由器的stream量) 在单个防火墙节点上停止syslog导出几秒钟后,来自此特定防火墙的stream量将按预期方式转发到容器。 但只能从这个单一的。 我认为这是iptables的一个问题。 看来,iptables正在caching转发infrmation几秒钟,并忽略任何新的应用规则,只要stream量存在。 我在这里没有做任何额外的iptablesconfiguration。 一切都由docker完成。 我没有ufw,conntrackd或任何安装。 任何build议如何解决这个问题? 最好的问候Andreas
晚上好, 我正在面对我的OpenVPN安装问题。 在这里已经3天了,但还是无法弄清楚我的生活有什么问题。 基本上问题是,我能连接到我的服务器(Ubuntu的14.04专用箱)从我的客户端(赢7电脑),但虽然我连接,我不能访问互联网和局域网(不能ping服务器在10.0 .0.1)。 我已经在服务器上设置了ip转发,并且尽我所知添加了iptable规则,以及在路由器上设置端口转发; 但仍然无法使其处于正常工作状态。 所有的帮助将不胜感激,因为我仍然是新的openvpn。 预先感谢您的宝贵时间。 请在下面find我的server.conf,client.conf和iptable规则的副本。 为server.conf dev tun proto udp port 1194 ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh1024.pem user nobody group nogroup server 10.8.0.0 255.255.255.0 persist-key persist-tun client-to-client push "route 192.168.0.0 255.255.255.0" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" log-append /var/log/openvpn plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn client-cert-not-required username-as-common-name management localhost […]
在过去的一周里,我一直试图通过利用从VPS到专用机器的GRE隧道来保护服务器免受DOS攻击,但没有取得太大的成功。 视觉: User –> VPS –> Dedicated Server 我遵循了几个指南BUYVM和我的世界 DDOS保护 ,并根据需要进行修改。 到目前为止我所做的是: 在这两台机器上加载以下内核模块 ip_gre ip_nat_pptp ip_conntrack_pptp 此外,两台机器都启用了ipv4端口转发function。 在专用机器上设置GRE: ip tunnel add veridian mode gre remote VPS_EXTERN_IP local DEDICATED_EXTERN_IP ttl 255 ip link set veridian up ip addr add 10.10.10.1/24 dev veridian 这产生了接口: veridian Link encap:UNSPEC HWaddr 3F-8D-F2-FA-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.10.1 PtP:10.10.10.1 Mask:255.255.255.0 inet6 addr: fe80::200:5efe:3f8d:f2fa/64 Scope:Link […]
我曾经看到很多人一起使用ESTABLISHED 和 RELATED标志来接受stream量,一旦连接被接受(见允许build立的会话 )。 假设我按照以下规则设置防火墙: -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp –dport 80 -d xxxx –syn -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp -s xxxx –dport 22 -d xxxx –syn -j ACCEPT -A INPUT -i eth0 -p tcp -m state –state ESTABLISHED,RELATED -m tcp […]
我正在尝试为SMTP设置两个不同的IP,每个IP都被路由到两个不同的IP集,两个集之间没有IP共享。 我正在尝试这样做,但它将两组IP混合在一起,以便到xxx.xxx.xxx.100和xxx.xxx.xxx.101的连接只是循环访问所有六个.20x目标IP。 iptables -t nat -A POSTROUTING -p tcp -s xxx.xxx.xxx.100 –dport 25 -m statistic –mode nth –every 3 –packet 0 -j SNAT –to xxx.xxx.xxx.201 iptables -t nat -A POSTROUTING -p tcp -s xxx.xxx.xxx.100 –dport 25 -m statistic –mode nth –every 3 –packet 0 -j SNAT –to xxx.xxx.xxx.202 iptables -t nat -A POSTROUTING -p tcp […]
networking拓扑结构: 互联网 | | (eth0)IP:202.xxx.xxx.xxx/255.255.255.0 答:Remote_Server(Debian) (tun0)IP:10.10.1.1/255.255.255.0 | | (utun0)IP:10.10.1.2/255.255.255.0 B:iOS_Device(iOS 9) 设备A: 一个TCP服务器,在7777上监听客户端(iOS设备)连接。 设备B: 带有WIFI的iOS设备接入互联网。 工作stream程: 服务器监听“0.0.0.0:7777” 客户端连接到“202.xxx.xxx.xxx:7777”(用户名等) 服务器检查客户端身份validation的客户端用户名 服务器向客户端发送隧道configuration信息(例如:10.10.1.2/24,dns:8.8.8.8) 客户端放置一个新的隧道连接到服务器 客户端通过隧道发送networking数据包(DNS查询,HTTPS请求,…)到服务器(并等待服务器的响应) 服务器端日志(在客户端通过隧道连接之后): $ sudo ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.1.1 PtP:10.10.1.1 Mask:255.255.255.0 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 […]