我有一个Linuxnetworking,它被设置为networking的防火墙/网关。 只是想知道为什么SS和其他iproute2工具显示比iptables conntrackless得多。 是否因为路由器function只在内核中发生? ss -na 只显示两个已build立的连接 conntrack -L -n 显示18build立连接。
抱歉的标题,但即时通讯服务器configuration这样的新手。 我有一个问题(当然),我会尽我所能解释给你: 我有一个基于apache2的vps,debian,在这里我有两个configuration了虚拟主机的域。 第一个域被用作Web服务器(RUBY)的别名,并且与端口8080一起工作 第二个是网站,所以它应该用80端口,用apache2 + mysql 我的问题是,networking服务器需要redirect连接从端口80到8080,所以我的ruby开发人员(不是我,我吸入ruby)做了一个redirect iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080 作为一个前因,我的网站当然不在80港口工作。 我的问题:是否有办法告诉iptablesredirect端口80只有连接有关的ruby服务器(所以,第一个域?)我不能改变服务器的端口,所以你如何build议我为了使用80的网站? 对于愚蠢的问题抱歉,但我完全吮吸在这。 我忘了提及,我不再与ruby开发者联系,所以这使得事情对我来说更为戏剧化:) 提前致谢
我只能得到以下结果: ntpq -p localhost or ntpq -p 127.0.0.1 如果从同一台服务器,我尝试作为外部IP地址或域名,然后超时没有响应。 ntpq -p files.tickzoom.com or ntpq -p 50.57.65.92 那些都从同一台机器出来。 我禁用iptables 。 所以iptables -L显示: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 目标实际上是从其他机器访问ntpd。 但即使防火墙closures,他们也无法访问该IP或DNS。 起初,我在禁用iptables之前一直在使用iptables规则,并意识到即使防火墙closures,我也无法做到这一点。 请告诉我发生了什么事情。
我想复制每个传出的数据包到其他广域网接口,但我的iptables(v1.2.7)没有TEE目标的支持。 我想知道是否有另一种方法(可能使用iproute2或ebtables)将每个传出数据包复制到选定的接口。 我更喜欢其他方式获得xtables插件,因为我正在使用embedded式设备(一个UClinux发行版),我宁愿避免iptables的新版本(我不知道版本中的语法是否保持不变),交叉编译问题或改变Makefile文件。
我正在build立一个站点到站点的OpenVPN, 目前: 客户端的用户可以访问服务器端的子网。 访问VPN客户端机器[其在客户端子网上的IP]工作正常。 但是我无法访问同一客户端子网上的其他计算机。 我已经在服务器configuration中使用这个选项:因为这些是私人子网我将他们添加它们: route 172.20.56.0 255.255.255.0 client-config-dir ccd 并创build与客户端名称相同的文件,其内容如下: iroute 172.20.56.0 255.255.255.0 客户端机器有本地IP 172.20.56.1,我可以从服务器端访问。 问题是,我无法访问客户端上的任何其他机器。 有什么build议么….
我有一个Web服务器,我已经安装了Postfix只发送电子邮件。 所有传入的邮件将由谷歌应用程序处理,而不是我的networking服务器。 使用iptables规则,我已阻止所有传入的端口(包括端口25),并只打开ssh和http端口。 所有出站stream量都已打开。 从testing中我可以看到,即使端口25被阻塞,postfix也能够发送电子邮件,所以这不是问题。 我的理解是25端口只需要打开,如果我在该服务器上收到电子邮件。 但是我在编码恐怖网站上读到这个让我困惑了一下: Port25提供了一个非常漂亮的公共服务 – 您可以发送电子邮件至[email protected],它会以广泛的诊断回复from:address! 所以我的问题是,一些邮件服务器ping我的端口25检查我的服务器来源的真实性,当Postfix发送邮件给他们? 如果Postfix只用于发送电子邮件,我是否还需要打开端口25,以便其他邮件服务器可以validation我的服务器信息? 我担心,如果我阻止端口25,是否有一些电子邮件客户端将我的邮件标记为垃圾邮件的另一个原因,因为他们无法通过ping到端口25获取我的服务器上的信息? 我无法find这方面的信息。 如果有人能澄清这个PLZ,我将不得不承担责任。
我有这个定义文件: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :Firewall-INPUT – [0:0] -A INPUT -j Firewall-INPUT -A FORWARD -j Firewall-INPUT -A Firewall-INPUT -i lo -j ACCEPT -A Firewall-INPUT -p icmp –icmp-type echo-reply -j ACCEPT -A Firewall-INPUT -p icmp –icmp-type destination-unreachable -j ACCEPT -A Firewall-INPUT -p icmp –icmp-type time-exceeded -j ACCEPT # Ping -A […]
我使用iptables为端口80设置端口转发: iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 10080 此外,我有IP转发启用来路由不同子网的连接。 我在同一台机器上的端口10080上运行我自己的标准套接字服务器,当我收到一个到端口80的传入连接时,它会按照预期转发到我的服务器。 我的问题是,当我打印出使用getsockname和getpeername的套接字信息时,源地址始终是服务器的。 如果我通过一个不受iptables规则影响的端口直接连接到服务器,我会看到预期的客户端地址。 为什么端口转发影响源地址?
我的iptables DNAT规则不能工作,直到重新启动。 如果我重新启动我的服务器,所有的规则工作。 架构描述: 数十个主机(发送者)发送一些UDP数据包(单向的特定端口9999)到我的Linux路由器。 这个Linux路由器使用iptables将这些数据包转发给几台主机(接收器)。 senderX 10.0.0.X ====>使用iptables的Linux路由器====> receiverY 10.0.1.Y Linux路由器有两个网卡eth1 10.0.0.1/24(发送方)和eth0 10.0.1.1/24(接收方)。 iptables设置: ip_forwarding被激活 所有的默认策略都设置为ACCEPT 一个iptables规则存在每个发件人,这里是一个例子: iptables -t nat -A PREROUTING -s 10.0.0.2 -i eth1 -j DNAT – 到目的地10.0.1.123 networking设置 : ip addr show : 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo […]
将单个端口DNATing到内部networking上不同端口的标准方式是这样的: ip(6)tables -t nat -A PREROUTING -i wan0 -p tcp –dport 80 –to-destination 10.0.0.1:8080 如果你需要一个端口范围,你可以使用-m multiport和–dports这样的-m multiport : ip(6)tables -t nat -A PREROUTING -i wan0 -p tcp -m multiport –dports 1000:2000 –to-destination 10.0.0.1 现在我想知道,如果你可以结合这两种技术来映射一个端口范围(例如1000-2000)不同的大小相同(例如12000-13000)。 这是可能的,使用内核不晚于Linux 4.1的内核?