我有openvpn服务器后面的三个段:DMZ( 192.168.1.x ),Dev( 192.168.2.x )和PROD( 192.168.3.x )。 有两个用户组:一个组可以连接到openvpn的所有段,而我想限制其他用户到Dev段。 这样做的最好方法是什么? Openvpn用户在10.10.11.xnetworking中分配IP地址。
我在端口5300上运行本地DNS服务器来开发一个软件。 我需要我的机器使用该DNS,但我不能告诉/etc/resolv.conf检查不同的端口。 我search了一下谷歌,我没有find一个解决scheme。 我在/etc/resolv.conf上设置了127.0.0.1作为域名服务器。 这是我的整个/etc/resolv.conf: nameserver 127.0.0.1 你能告诉我如何redirect端口53上的出站stream量到另一个端口? 我尝试了以下,但它没有工作: iptables -t nat -A PREROUTING -p tcp –dport 53 -j DNAT –to 127.0.0.1:5300 iptables -t nat -A PREROUTING -p udp –dport 53 -j DNAT –to 127.0.0.1:5300 以下是iptables -t nat -L -v -n (带build议的规则)的输出: Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt […]
我试图改善我的服务器的性能,通过调整iptables不跟踪TCP连接的状态。 我正在看这个指南: http : //cotdp.com/2011/07/nginix-on-a-256mb-vm-slice-24000-tps/ 但是,如果我做了以下任何事情,似乎所有传出连接都被切断: 删除这条规则: INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT添加这些: iptables -t raw -I OUTPUT -j NOTRACK iptables -t raw -I PREROUTING -j NOTRACK 立即做出任何更改后,使“ping google.com”返回一个关于不能find“google.com”(即DNS停止parsing)的错误。 以下是在启动时加载的规则,但其他规则则由fail2ban添加: *过滤 -Ainput-i lo -j接受 – input! -i lo -d 127.0.0.0/8 -j REJECT -Ainput-m状态 – 状态ESTABLISHED,相关-j接受 -A OUTPUT -j ACCEPT -Ainput-p icmp -j ACCEPT -Ainput-p […]
出于某种原因,我的Fedora没有保存对我的iptables所做的更改。 iptables -I INPUT -p tcp –dport 80 -j ACCEPT iptables -I INPUT -p tcp –dport 443 -j ACCEPT service iptables status service iptables restart Redirecting to /bin/systemctl status iptables.service 然后开始时,我的变化不再存在了。 还试过保存: [root@VTM01 ~]# service iptables save Redirecting to /bin/systemctl save iptables.service Unknown operation save
我只想允许来自CloudFlare的HTTP(S)stream量。 这样攻击者不能直接攻击服务器。 我知道CloudFlare不是主要的DDoS缓和器,但是我想尝试它。 我目前只能访问iptables(仅限ipv4),但会尽快安装ip6tables。 我只需要尽快修复。 (我们正在(D)DoSed atm。) 我在想这样的事情: iptables -I INPUT -s <CloudFlare IP> –dport 80 -j ACCEPT iptables -I INPUT -s <CloudFlare IP> –dport 443 -j ACCEPT iptables -I INPUT -p tcp –dport 80 -j DROP iptables -I INPUT -p tcp –dport 443 -j DROP 我知道CloudFlare有多个IP,但只是一个例子。 这是正确的吗?
我想减less在Linux系统上成功的ssh攻击的可能性。 唯一的端口是22(我使用端口转发的一切),当然,我确信ssh只接受基于密钥对的login(无密码)。 失败的sshlogin尝试的数量( last -f /var/log/btmp )是相当大的(因为任何开放22端口的人都应该这样做),所以在过去的2年中,我一直依靠变化af基于iptables的解决scheme经常提到阻止ssh攻击,例如, 数百个失败的sshlogin 。 这种scheme的一个令人讨厌的缺点是它限制了每个时间段从一个IP地址的新连接的数量,不pipe这个IP的先前连接是否成功以及它们是以同一个用户login还是不。 设想一个脚本,其中包含六十个来自国外的用来更新该服务器上各个区域的rsync命令:它通常会遇到“新的连接限制”,并在中间的某个地方出现故障。 如果路由器后面的几个用户(显示为相同的IP地址)同时连接到我的服务器上,情况也是如此。 所以,我想知道,如果不诉诸parsing/var/log文件 ,有可能实现以下策略与iptables : 接受build立的连接 允许以前成功连接的新连接 将IP连接失败的连接关进监狱一段时间 奖励积分: 同上,但允许/监禁特定的user@ip而不是所有人@ip 。 并试图遏制僵尸networking攻击: 在ssh尝试失败后,暂时把用户(无论他连接哪个IP)关进监狱。
build立: 位于路由器后面的Windows Server 2008计算机上的L2TP VPN服务器,位于调制解调器/路由器后面。 调制解调器/路由器(IP:192.168.2.1,子网:255.255.255.0,DHCP为路由器服务192.168.2.2) —- | _路由器(IP:192.168.2.2,子网:255.255.255.0,子局域网IP:192.168.0.1,子局域网子网:255.255.255.128,DHCP为计算机提供192.168.0。*) ———— | _ Windows Server 2008(IP:192.168.0.3,子网:255.255.255.128,从池中提供VPN IP地址… 192.168.0.130 – 192.168.0.140) 路由器将WS2008设置为主DNS,WS2008将查询转发给路由器以查找故障。 看到这个post的澄清。 我可以连接到VPN就好了,这是ipconfig的结果: PPP adapter Work VPN: Connection-specific DNS Suffix . : ss Description . . . . . . . . . . . : Work VPN Physical Address. . . . . . . […]
我在我的linuxembedded式系统上构build并安装了iptables。 如果我列出所有的规则,一切工作正常: #iptables –list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 但是,如果我添加一个新的规则来阻止icmp ping,我会得到follwing错误: iptables -A INPUT -i eth0 -p icmp –icmp-type any -s 0/0 -d 10.20.3.179 -m state –state NEW,ESTABLISHED,RELATED -j DROP iptables: No chain/target/match […]
我知道REJECT和DROP链是如何工作的。 但是,当我在这里读到REJECT vs DROP时 ,用户Dagelf表示服务器仍然回复TCP SYN/ACK 。 当防火墙使用DROP时,扫描器是否知道数据包被丢弃?
我试图让一个端口通过在centos 6上的防火墙。 我收到的错误是telnet: connect to address 80.xx.xx.xx: No route to host 我试图允许的端口是5666。 如果我禁用目标机器上的防火墙,我可以连接,所以我知道这是一个防火墙问题。 我已经添加了规则: iptables -N NRPE iptables -I INPUT -s 0/0 -p tcp –dport 5666 -j NRPE 那么当我做iptables -S我看到: 粘贴bin链接 当我做iptables -L 粘贴bin链接2 但我仍然无法连接。 我可以从我使用的服务器连接到此端口上的许多其他计算机,只有在启用防火墙时才能连接到的目标计算机。 帮助非常感谢。 如果我需要提供更多的信息,请让我知道。