我有一个Linux NAT防火墙服务于虚拟机基础架构。 现在所有的虚拟机都使用NAT,但是我想让他们中的一部分使用一个没有NAT的公共IP。 我有一个范围的IP:208.xx129-140,子网255.255.255.240。 这些IP现在位于防火墙的WAN接口上。 我想在防火墙后面移动几个IP。 我可以在这些IP的几个上改变路线吗? 我需要改变我的子网掩码吗?
由于前几天我收到我的服务器DDOS atacks。 我已经在Apache中安装mod_evasive,它的工作原理正确! 它写日志,并发送与IP地址的电子邮件。 但有一个问题:Apache不会在iptables中添加DROP规则(或者至less不会出现) 我在Plesk中使用apache,configuration文件是这样的: DOSHashTableSize 3097 DOSPageCount 1 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 600 DOSSystemCommand "sudo /sbin/iptables -A INPUT -s %s -j DROP" DOSEmailNotify "[email protected]" DOSLogDir "/var/log/evasive/" 这是我的“sudoers”文件: apache ALL=(ALL) NOPASSWD: /sbin/iptables -A INPUT -s [0-9.]* -j DROP 但是这并没有帮助。 提前致谢。
我有一台服务器“CentOS 5”,我想暂时封锁所有的外发邮件。 服务器正在使用sendmail。 如果适用,最好使用iptables。 如果可以同时完成,我仍然需要电子邮件进入机器。 谢谢
我有一个专用的服务器(我只使用实验室/testing环境)。 在服务器上,CentOS 5.6正在运行,并且作为KVM主机运行。 为了保护一些事情,我想做下面的事情,使用'iptables'来只允许来自特定IP地址(我自己的地址)的stream量。 我目前的iptablesconfiguration如下所示: [kvm]# iptables -L -v Chain INPUT (policy ACCEPT 4927K packets, 6424M bytes) pkts bytes target prot opt in out source destination 41 2744 ACCEPT udp — virbr0 any anywhere anywhere udp dpt:domain 0 0 ACCEPT tcp — virbr0 any anywhere anywhere tcp dpt:domain 66 21810 ACCEPT udp — virbr0 any […]
服务器: Ubuntu 10.04 LTS x64(机架上的云服务器) 试图更好地处理iptables。 除了SSH和HTTP之外,所有stream量都应该丢弃。 所有传出是安全的。 没有转发。 我下面的代码是基于我find的示例,但是我找不到任何文档来解释filter的范围,例如“:INPUT DROP [0:65536]”0:65536是什么设置的? 我猜测端口范围,所以我给了它的全部范围,但是然后传出它默认更高。 这是不同的,但改变它似乎没有任何影响。 它有什么作用? 其次,当stream量被阻止时,全连接的nmap扫描“-sT”仍然显示一些20-30个端口是打开的,但是用netcat抓取的横幅不显示任何内容。 这是正常的吗? 我的testing方法是(作为根)。 iptables -F iptables -L(检查其刷新) iptables-restore <iptables.test.rules iptables.test.rules *filter :INPUT DROP [0:65536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1628:151823] -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT […]
我有一个新安装的CentOS 5.6机器,可以通过elinks在本地访问httpd。 但是这不适用于其他IP。 我可以ping IP,但是如果我连接到端口80,我没有路由到主机。我假设一些防火墙规则阻止访问端口80,并检查iptables,它似乎很好。 Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all — 0.0.0.0/0 […]
我需要netfilter上的“新”ROUTE补丁。 这一个: http : //netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-4.html#ss4.5 所以,在xtables-addons中没有ROUTE。 我谷歌的ROUTE.patch,但没有… 也许这个: http : //www.netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-ROUTE但是在那里我找不到补丁文件。 我正在使用内核3.1的Archlinux。 所以,我需要帮助。
我在本地networking上运行一台服务器,作为networking中计算机的路由器。 我现在要实现的是,对某些IP地址的传出TCP请求通过SSH连接进行隧道传输,而不会让networking中的人员使用该SSH隧道连接到任意主机。 我到现在为止的想法是在本地主机上监听一个redsocks实例,并将所有传出的请求redirect到我想转移到该redsocks实例的IP地址。 我添加了下面的iptables规则: iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 -j DNAT –to-destination 127.0.0.1:12345 显然,Linux内核将数据包从非127.0.0.0 / 8地址转换为127.0.0.0/8地址为“Martian数据包”并丢弃它们。 然而,有效的做法是让redsocks监听eth0而不是lo,然后将iptables DNAT转发给eth0地址(或使用REDIRECT规则)。 这个问题是,那么我的networking上的每台计算机都可以使用redsocks实例连接到互联网上的每台主机,但是我只想限制它的使用情况为一组特定的IP地址。 有没有办法使iptables的DNAT数据包到127.0.0.1? 否则,有没有人有一个想法,我怎么能实现我的目标,而不是开放给每个人的隧道? 更新:我也试图改变数据包的来源,没有任何成功: iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 1.2.3.4 -j SNAT –to-source 127.0.0.1 iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 127.0.0.1 -j SNAT –to-source […]
我有一个服务器,有多个端口上的Apache监听。 有些端口用于configuration服务器,另一个用于下载大文件。 我的问题是,当我有大量的客户端下载文件,Web界面是不可接触的。 我想限制在“大文件”端口连接的客户端的数量,以便Apache总是有可用的连接来configuration服务器。 REJECT没问题,试图下载文件的客户端将会退出,然后重试。 每个客户端一次只有一个连接对服务器开放,因此IP限制将不起作用。 我知道我可以把东西放在apache前面来pipe理,但是我真的想在iptables中做,而不需要增加更多的软件。
我有一个iptables防火墙的Ubuntu 11.10系统。 固定的端口mountd,lockd和statd,然后在iptables中打开它们,我能够通过防火墙公开NFS共享,没有问题。 我遇到的问题是从另一个无法控制的NFS服务器上挂载一个共享。 如果我禁用防火墙, 我可以挂载共享。 我也可以挂载其他NFS共享而不禁用防火墙。 所以这引出了两个问题 : 为什么防火墙会阻止NFS客户端挂载某些服务器而不是其他服务器? 客户端可以指定用于NFS挂载的端口吗? 完整的configuration和错误信息: 根据nfsstat ,服务器是NFSv3。 当我坐山时: # mount -t nfs -v 192.168.80.48:/location /mnt/tmp mount.nfs: timeout set for Fri Mar 23 09:13:00 2012 mount.nfs: trying text-based options 'vers=4,addr=192.168.80.48,clientaddr=192.168.40.173' mount.nfs: mount(2): No such file or directory mount.nfs: trying text-based options 'addr=192.168.80.48' mount.nfs: prog 100003, trying vers=3, prot=6 mount.nfs: […]