我一直在configurationvsftpd有问题。 我已经设法得到积极的FTPS工作正常,但被动是固执的。 我认为问题在于iptables如何pipe理端口。 当我尝试在filezilla上使用被动ftps时,所有东西都连接起来,但是目录列表失败, EHOSTUNREACH带有EHOSTUNREACH 。 这里是客户端和服务器之间build立被动模式的交换 Command: PASV Response: 227 Entering Passive Mode (192,168,0,10,169,39). Command: LIST Error: The data connection could not be established: EHOSTUNREACH – No route to host 这里是我的vsftpd.conf的相关部分: pasv_enable=YES pasv_min_port=40000 pasv_max_port=50000 这是iptables -L的输出: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp […]
我很感兴趣,你如何在linux路由器上编写你的复杂包过滤规则集作为防火墙。 一个带有默认丢弃策略。 我通常会采取这种方式[只是一个假象]: iptables -F ; iptables -X; iptables -P FORWARD DROP iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -N FORWARD_machineA iptables -A FORWARD_machineA -d $machineA -p tcp –dport 80 -j ACCEPT iptables -A FORWARD_machineA -d $machineA -s $machineB -p tcp –dport 3306 -j ACCEPT iptables -A FORWARD_machineA -d $machineA -j DROP […]
我试图解决一个破碎的应用程序坚持连接到私人地址(从而无法访问)的服务器,而不是连接到公共地址(即使有关的端口是打开的)。 更改应用程序不是一个选项。 我试图在客户端上添加iptables规则来改变去往192.168.251.3的数据包的目的IP地址,而不是1.2.3.4。 DNAT不起作用,因为1.2.3.4不是我的任何客户端接口上的IP。 任何人都可以指向我的相关文件,使我可以使用MANGLE来更改目标IP地址?
我有一个运行libvirt / kvm和fail2ban (用于SSH攻击)的Ubuntu 9.04服务器。 libvirt和fail2ban都以不同的方式与iptables集成。 Libvirt使用(我认为)一些XMLconfiguration,并在启动(?)configuration转发到VM子网。 Fail2ban安装一个自定义链(可能在初始化时)并定期修改它以禁止/禁止可能的攻击者。 我还需要安装我自己的规则,将各种端口转发到运行在虚拟机和其他机器上的服务器,并设置基本的安全性(例如,除了我想打开的几个端口之外,放弃所有inputstream量),当然,我希望无需重新启动即可安全地添加/删除规则。 在我看来,iptables是一个强大的工具,缺乏某种标准化的方式来处理所有这些东西。 每个项目和每个系统pipe理员似乎都做了不同的事情! (而且我认为这里有很多“货物崇拜”pipe理员,人们会克隆粗暴的方法,比如“使用iptables – 像这样保存”。) 对于这些(和其他)工具如何操纵netfilter表,开发我自己的脚本或者只是手动执行iptables命令,我们没有办法弄清楚这两个工具(可能是其他的)究竟是什么样子的,这些其他工具? 任何新的标准或项目都是为了给这个领域带来理性? 即使我错过了一个有用的网页,可能至less包括这两个包在一起?
我是iptables的新手,我一直在试图把防火墙放在一起,目的是保护networking服务器。 下面的规则是我迄今为止所做的规定,我想听听规则是否合理 – 我是否遗漏了任何必要的规则? 除了端口80,我还需要为外部连接打开端口3306(mysql)和22(ssh)。 任何反馈是高度赞赏! #!/bin/sh # Clear all existing rules. iptables -F # ACCEPT connections for loopback network connection, 127.0.0.1. iptables -A INPUT -i lo -j ACCEPT # ALLOW established traffic iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # DROP packets that are NEW but does not have the SYN but […]
我注意到在我的服务器上快速增加了smtp连接,进一步调查我发现有一个僵尸networking锤击我的smtp服务器。 我试图通过在iptables添加规则来阻止它: -N SMTP-BLOCK -A SMTP-BLOCK -m限制 – 限制1 / m – 限制突发3 -j LOG – 日志级别通知 – 日志前缀“iptables SMTP-BLOCK”-A SMTP-BLOCK -m最近–name SMTPBLOCK –set -j DROP -Ainput-p tcp –dport 25 -m状态–state新-m最近–name SMTPBLOCK –rcheck –seconds 360 -j SMTP-BLOCK – 一个INPUT -p tcp –dport 25 -m状态–state新-m最近–name SMTP –set -A INPUT -p tcp –dport 25 -m状态–state新-m最近–name SMTP –rcheck […]
我试图设置iptables来允许SMTP连接,而且似乎没有工作。 这是iptables -L的输出: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT all — anywhere anywhere REJECT all — anywhere 127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:smtp ACCEPT tcp — anywhere anywhere tcp dpt:afs3-callback ACCEPT tcp — […]
我想自动处理NAT表(在本地生成)的OUTPUT链中的数据包,就像它们来自外部(通过PREROUTING)一样。 是否可以使用一个“转发所有PREROUTING”作为后备/最后一条规则在OUTPUT链? 例如,给定以下NAT转发: iptables -t nat -A PREROUTING -p TCP -d $EXT.IP.ADD.RESS \ –dport 80 -j DNAT –to-destination $INT.IP.ADD.RESS:80 我必须设置一个匹配的OUTPUT规则: iptables -t nat -A OUTPUT -p TCP -d $EXT.IP.ADD.RESS \ –dport 80 -j DNAT –to-destination $INT.IP.ADD.RESS:80 当logging这些数据包时(通过iptables -t nat -A OUTPUT -p TCP -d $EXT.IP.ADD.RESS -j LOG ),它们看起来像: IN= OUT=lo SRC=$EXT.IP.ADD.RESS DST=$EXT.IP.ADD.RESS LEN=60 \ TOS=0x00 […]
我正在使用iptables设置我的防火墙。 这是我第一次尝试过这样的事情。 到目前为止,我有以下规则: # Clear any previous entries –flush –delete-chain # Set the default policies for all three default chains -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT # Enable use of the loopback interface -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # Accept inbound TCP packets -A INPUT […]
花了很多时间和挖掘让我的IPTables工作得很好。 当前状态 :“有效”, 在SSH连接上有明显的可重现的( 几乎不可接受的 ) 延迟 。 ipTables被禁用后,这个延迟就会消失。 请帮忙,我怎样才能摆脱长长的潜在攻击名单 ,也让我的快速ssh回来? -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #DROP fragments (from a *different* tutorial, do I need this?) -A INPUT -f -j DROP #DROP NEW NOT SYN -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #DROP […]