我有一个从互联网上可见的Ubuntu服务器,我们称之为“跳线”。 而这个服务器有这个名字实际上是因为我需要当用户SSH这个服务器,它跳转(或转发或redirect)SSH连接到另一个服务器(这是不可见的互联网),所以SSH实际上是不可见的服务器。 此外,我需要完全用iptables来做到这一点。 我试过(跳线) iptables -t nat -A PREROUTING -d ${jumper_ip} -p tcp –dport 22 -j DNAT –to-destination ${invisibleserver_ip} iptables -t nat -A POSTROUTING -s ${invisibleserver_ip} -p tcp –sport 22 -j SNAT –to-source ${jumper_ip} iptables -A FORWARD -p tcp ${invisibleserver_ip} –dport 22 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 是的,在Kernel上启用IP转发。 问题 当我SSH跳线主机,没有任何反应。 “连接超时”出来。 任何想法? 谢谢大家的答案。
我有两个通过点对点隧道连接的NATnetworking,如下所示: | Machine A | | Machine B | | 1.2.3.4 |<-10.101.3.2——-tun——10.101.3.1-> | 4.5.6.7 | | 10.110.0.1 | | 10.100.1.1 | —–+——– ——–+—– | | [ 10.110.1.0/24 net ] [ 10.100.0.0/16 net] 机器A在eth0上有一个公共IP,在vmbr0上有一个私有IP 10.110.1.1 ,通过一个ptp VPN与机器B连接,机器B在en0上有一个公共IP,在en1上有一个私有IP其他专用networking) 在两个公用IP上使用NAT的两个局域网上都有客户端。 这工作正常。 (它使用机器A上的iptables和机器B上的pfSense完成) 路由设置使得机器A可以ping机器B的私有IP 10.100.1.1 并且可以访问networkingB 10.100.0.0/16上的所有主机。 同样,机器B(以及networkingB上的所有主机 )可以访问机器A以及networkingA 10.110.1.0/16上的所有主机 但是,networkingA上的主机无法与networkingB上的主机build立连接(EG 10.110.1.2无法ping通,也无法通过SSH连接到10.100.10.50 ) 我怀疑这与A上的iptables安装有关,因为从 10.100.10.50到10.110.1.2 SSH都能正常工作,但是我不能以相反的方向进行SSH安装。 这对我说,我的iptables FILTER规则RELATED,ESTABLISHED作品,但不知何故,我怀疑机器A试图NAT和使用eth0新的连接。 我添加了ACCEPT […]
我有一个运行DD-WRT固件和四个外部IP的Broadcom BCM5352路由器。 在我家里的networkingconfiguration中,我首先有一台路由器,然后是一台连接到路由器的交换机(为了避免整个公寓里有多条电缆。 一台服务器连接到交换机,如果可能的话,我想给这个服务器一个不同的外部IP(即告诉路由器将所有stream量路由到指定的外部IP到服务器,反之亦然)。 我没有静态IP,我的ISP只提供DHCP。 那么无论如何要configuration这个? 固件支持iptables,所以如果可以用iptables来完成,那么这是一个解决scheme。 可以用pf来做,其中的特征称为双向nat映射(1:1映射)。
我有一个运行CentOS 5.3的iptables v1.3.5的新服务器。 我不熟悉iptables,并试图在iptables中设置“Tarpit”技术,但到目前为止,这是我得到的: iptables -A INPUT -s xxxx -p tcp -j TARPIT 我真的不知道这个命令。 我是否需要修改命令的某些部分?
不幸的是,我们有一个客户端硬编码设备指向一个特定的IP和端口。 我们希望将stream量从他们的IPredirect到负载均衡器,负载均衡器会将HTTP POST发送到能够处理该请求的服务器池。 我希望所有其他IP的现有stream量不受影响。 我相信iptables是完成这个最好的方法,我认为这个命令应该工作: / sbin / iptables -t nat -A PREROUTING -s $ CUSTIP -j DNAT -p tcp –dport 8080 -d $ CURR_SERVER_IP – 到目标$ NEW_SERVER_IP:8080 不幸的是,它没有按预期工作。 我不确定是否需要添加另一个规则,可能在POSTROUTING链中? 下面我用上面的variablesreplace了真实的IP地址,并试图在testing环境中以增量的步骤复制布局。 $ CURR_SERVER_IP = 192.168.2.11 $ NEW_SERVER_IP = 192.168.2.12 $ CUST_IP = 192.168.0.50 端口转发在同一个IP上 / sbin / iptables -t nat -A PREROUTING -p tcp -d […]
stream量离开不同的界面时,处理DNAT的正确方法是什么? 当发生这种情况时,似乎答复没有自动replace源地址,因为如果它出去的是同一个接口的话。 编辑 – SNAT不为我工作: Chain PREROUTING (policy ACCEPT 386 packets, 23372 bytes) pkts bytes target prot opt in out source destination 0 0 DNAT all — * * 0.0.0.0/0 12.12.12.5 to:10.7.0.5 Chain POSTROUTING (policy ACCEPT 288 packets, 18672 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all — * […]
我试图为家中的一些局域网计算机设置Wake-on-Lan,似乎我需要打开一个UDP端口(最常见的是7或9),并将所有请求转发给广播IP我的情况是192.168.1.255。 问题是我的路由器不允许我转发任何东西到广播IP。 我可以通过telnet连接到我的路由器,似乎这个路由器使用IPTABLES,但我不知道多less或如何是。 有人可以帮助我与正确的iptables命令做我想要的? 而且,如果它不起作用,把所有东西放回去的命令也会很好。 最后一件事,重新启动路由器将保持那些手动添加iptables条目或我需要每次运行它们?
我正尝试在运行CentOS 5.5的OpenVZ容器上设置一个简单的端口转发。 当我运行一个命令时,我得到错误。 iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080 iptables v1.3.5: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 相同的命令在硬件节点或任何其他物理服务器上正常工作。 我知道我可以在硬件节点上为特定容器设置端口转发,但那不是解决scheme。
我在CentOS 5.5中安装了Apache,在search了Web上的configuration提示之后,我做了以下操作来启用从外部连接HTTP服务器: 在/etc/httpd/conf/httpd.conf中,我将Listen值更改为0.0.0.8011 我检查了netstat -anp ,我确实看到Apache正在监听这个端口 将httpdconfiguration为服务: chkconfig –levels 235 httpd on 使用semanage端口启用端口-a -t http_port_t -p tcp 8011 在iptables中,我设置了iptables -A INPUT -d 10.1.15.1 -p tcp –dport 8011 -j ACCEPT /etc/init.d/iptables保存活动 重新启动服务器 但是我仍然无法从外部连接,甚至不能使用telnet连接 。 顺便说一下,FTP和SSH在这个IP地址上工作得很好,我可以ping到VMware服务器。 好,我一直在编辑我的问题:现在当我停止防火墙(iptables),我可以连接就好,所以我想我的问题是如何正确地configurationiptables接受端口8011上的http连接?
我有一个Ubuntu的10台机器,我试图用NAT来设置。 eth0是使用DHCP的WAN接口。 eth1,eth2,eth3是LAN接口。 它们分别连接到192.168.0.50,.51,.52。 通过eth1的NAT工作很好。 在eth2 / 3上,我什么都没有 – 在ping上“没有路由到主机”。 这是我的iptablesconfiguration。 有什么明显的错误? # Generated by iptables-save v1.4.4 on Mon Jan 31 09:40:55 2011 *nat :PREROUTING ACCEPT [1799:327587] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [23:2190] -A POSTROUTING -j MASQUERADE COMMIT # Completed on Mon Jan 31 09:40:55 2011 # Generated by iptables-save v1.4.4 on Mon Jan 31 […]