我在Smoothwall Express论坛上询问了这个问题,但他们不愿提供太多的帮助。 毕竟,他们真的想出售商业版本。 我需要提供一个L2TP / IPSEC VPN来远程支持我们即将推出的一些新机器(没有select那个部分)。 由于远程用户还需要通过Active Directory进行身份validation,因此我需要在Windows(2003)服务器上运行VPN,而不是直接在防火墙上运行。 由于Smoothwall Express没有提供从其正常pipe理界面转发协议的规定,因此需要通过编辑rc.firewall.up的iptables设置来完成。 这是我的问题。 我不知道iptables,并觉得即使我花时间来阅读它,我搞砸的风险是显着的。 以下部分目前存在于rc.firewall.up : # IPSEC /sbin/iptables -N secin /sbin/iptables -A secin -i ipsec0 -j ACCEPT /sbin/iptables -A INPUT -j secin /sbin/iptables -N secout /sbin/iptables -A secout -i ipsec0 -j ACCEPT /sbin/iptables -A FORWARD -j secout [这里有些无关的东西] # IPSEC /sbin/iptables -N ipsec /sbin/iptables -A […]
我有一个运行linux 2.6.38-rc8的Gentoo Linux系统。 我也有一台运行Ubuntu 2.6.35-27的机器。 我也有一台运行Debian Unstable的Linux 2.6.37-2虚拟机。 在Gentoo和Debian系统上,除了PREROUTING,OUTPUT和POSTROUTING之外,我还有一个INPUT链。 在Ubuntu上,我只有PREROUTING,OUTPUT和POSTROUTING。 我可以使用这个INPUT链来使用SNAT来修改发往本地机器的数据包的来源(假设模拟一个到本地应用程序的入侵欺骗IP或者只是testing一个虚拟主机configuration)。 在Gentoo和Debian上有两个防火墙规则是可能的,但在Ubuntu上似乎不是这样。 我四处张望find有关SNAT目标和nat表的INPUT链的更改的文档,我找不到任何东西。 有谁知道这是一个configuration问题,还是只是在更新的版本的Linux中添加的东西?
当我根据Centos 5部署指南执行“nmap -sT -O localhost”时,我得到: Not shown: 1677 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 8080/tcp open http-proxy 这是有道理的。 但是当我从另一台机器执行“sudo nmap -sT -O -Pn my.ip.address”时,我得到: Not shown: 917 filtered ports PORT STATE SERVICE 7/tcp open echo 21/tcp open ftp 22/tcp open ssh 70/tcp open gopher 83/tcp open mit-ml-dev 139/tcp closed netbios-ssn […]
我们有一个接受连接的websocket服务器。 不幸的是,有一个原因,我们还没有确定一些客户端stream氓和连接/断开/连接…在一个非常高的频率循环。 这是一个混乱处理和惩罚其他合法的客户。 我添加了IPTABLElogging,以放弃他们的stream量,但很快,另一个客户端开始搞砸了。 与此同时,一个曾经performance不好的客户可能会开始正常performance。 它不能很大程度地整天编辑IPTABLE。 有没有办法dynamic阻止来自这些客户谁试图连接太频繁的stream量? 我宁愿避免在websocket服务器上这样做,因为当然,这样做会使资源远离其他合法的客户端。
这是我的iptables-save命令的输出。 最后一条规则和默认策略是丢弃任何不匹配的数据包。 Generated by iptables-save v1.4.9 on Wed Aug 3 21:00:05 2011 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [76:6239] -A INPUT -p -m tcp –dport 8080 -j ACCEPT -A INPUT -p -m tcp –dport 2222 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j DROP 但令人惊讶的是,DHCP和所有其他stream量正在通过…请告知如何只允许端口8080和端口2222连接,并放弃其他一切。 iptables规则正在FedoraRouter机器上设置。 而这个FedoraRouter机器分别在端口8080和2222上运行Apache和SSH。 客户端FedoraClient和WinXP-Client需要访问这些服务。 我不能通过IP阻止他们,因为我将来会添加更多的计算机,除了HTTP和SSH通信之外,其他任何东西都需要被删除。 […]
我有一个关于OpenVPN和Linux NATing的问题。 OpenVPN服务器(10.0.0.1)< – >(10.0.0.9)OpenVPN客户端(192.168.0.1)< – >(192.168.0.0/24)内部LAN 我在客户端上build立了一个基本的iptables规则,这个规则是/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 。 有了这个,我可以从服务器ping到内部局域网。 但是,当我查看服务器端的tcpdump时,我看到了内部LAN IP。 我需要查看OpenVPN服务器的10.0.0.9 IP分类的原因,所以我知道它去了哪里。 有没有一种方法可以对返回stream量进行另一个NAT,所以当服务器看到ping响应时,它来自10.0.0.9 IP而不是192.168.0.X IP? 谢谢你的帮助。 编辑 – 我以为我可以做这样的事情,但似乎并没有工作。 /sbin/iptables -t nat -A POSTROUTING -o tun0 -j SNAT –to-source 10.0.0.9
我有一个Linux的盒子,有一个真正的(反对虚拟,又名别名)以太网接口,我可以使用(eth0用于其他目的 – 不能使用它,也不能添加更多的网卡)。 说这是eth1 我需要通过SNMP来控制一些对象/实体,所以我为每个对象设置了一个虚拟的以太网接口,以及相应的MAC地址。 我这样做(以vif1为例): ip -family inet link add link eth1 name vif1 address <the MAC addr> type macvlan ip link set vif1 up multicast on ip route del default dev vif1 table main /* enable the pings/TFTP going out! */ ip route add default via 192.168.1.1 table main proto static metric /* […]
我有一个运行在8100上的Apache服务器。当在浏览器中打开http:// localhost:8100时 ,我们将看到该站点正确运行。 现在我想指示所有的请求在80到8100,这样的网站可以访问没有端口号。 我不熟悉iptables,所以我在网上search解决scheme。 这是我尝试过的方法之一: user @ ubuntu:〜$ sudo iptables -A INPUT -p tcp –dport 80 -j ACCEPT user @ ubuntu:〜$ sudo iptables -A INPUT -p tcp –dport 8100 -j ACCEPT user @ ubuntu:〜$ sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8100 这不起作用。 该网站在8100上运行,但不在80上。如果使用“iptables -t nat -L -n […]
在定制的CentOS 6的kickstart安装过程中,我无法修改iptablesconfiguration。kickstart进程正在最小的ISO映像之上安装几个定制的RPM。 其中一个rpms尝试修改iptables规则,但在Anaconda完成安装之后,原始的默认规则仍在/ etc / sysconfig / iptables中设置。 我试过使用iptables(save | restore),但在安装过程中iptables模块不可用。 iptables -L返回错误“无法初始化iptables'filter:表不存在”,保存/恢复命令都无法运行。 打了一遍后,我意识到,包系统configuration防火墙基地安装,似乎是设置默认规则。 此外,我看到我的规则已被复制到/etc/sysconfig/iptables.old但我无法弄清楚是什么原因造成的。 我已经尝试在我的包中添加Requires: system-config-firewall-base ,希望在设置好之后,可以更改我的%post中的规则,但这种方式无效。 第一次启动后安装此软件包将正确设置规则。 任何关于如何在安装过程中正确configurationiptables的build议,或者如何configuration一些在第一次启动时自动实现的build议? 谢谢。
我已经能够通过PPTP与Ipredatorbuild立TomatoUSB固件,configuration如下: 但是,我不想为我的networking中的每台计算机使用Ipredator PPTP VPN,如何仅将PPTP VPN用于一个MAC / IP? 经过进一步调查,我有以下的iptables输出: root@unknown:/tmp/home/root# iptables -L Chain INPUT (policy DROP) target prot opt source destination DROP all — anywhere somehostname.vpn.ipredator.se DROP all — anywhere my.personal.isp.hostname.com DROP all — anywhere anywhere state INVALID ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED shlimit tcp — anywhere anywhere tcp dpt:ssh state NEW shlimit tcp […]