我想设置我的CentOS 6.5盒子来把连接转到本地主机(127.0.0.1)到远程机器上的同一个端口(例如10.0.3.10)。 我已经尝试了下面的iptables规则,但是当我尝试连接,它只是挂起: iptables -t nat -I OUTPUT –src 0/0 –dst 127.0.0.1 -p tcp –dport 8888 \ -j DNAT –to-destination=10.0.3.10:8888 在远程机器上运行tcpdump ,我可以看到没有传入的stream量。 我做了一些谷歌search,但没有发现任何特别有用的东西。 我也确认我的sysctl.conf文件包含net.ipv4.ip_forward = 1 。 编辑我已经添加了日志logging以回应下面的评论之一。 当我去127.0.0.1:8888时,它不产生输出,但是当去10.0.3.10时产生输出: # Generated by iptables-save v1.4.7 on Tue Jul 29 12:52:17 2014 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [11:1008] :OUTPUT ACCEPT [11:1008] :LOGGING – [0:0] -A OUTPUT […]
我尝试使用RRAS启动并运行Azure站点到站点VPN,但需要帮助configuration路由器的iptables,以便在不使用NAT的情况下将VPN端口和协议桥接到RRAS服务器,同时仍允许NAT用于其他所有通信。 我已经能够正确configurationAzure和虚拟机,并且可以通过链接传输数据(并在Azure门户中显示,与数据双向连接)来启动和运行连接。 然而,build立的连接是不可用的,我不能ping或似乎使Azure虚拟机和我的本地机器之间的任何forms的连接。 我相信这是由于Azure的站点到站点VPN需要本地VPN网关直接连接到互联网,而不需要经过NAT防火墙(因为这是我的家庭宽带,所以只有一个IP),所以虽然可以build立一个连接,我的路由器上的NAT以这种方式改变数据包,这意味着一旦到达RRAS服务器就无法正确路由数据包。 我已经尝试了备用的站点到站点VPN解决scheme(OpenVPN,SoftEther,RRAS本身),但没有一个能正常工作,所有的问题都出现在两个虚拟机的主机VPN连接能够连接到所有设备上,并且我的家庭networking服务器可以正确但是我相信无论是由于Azure虚拟机的限制(只有一个networking适配器,没有启用混杂模式的能力)或Azure虚拟networking本身,这意味着没有其他Azure虚拟机能够连接到我的家networking,尽pipe增加了静态路由去通过VPN服务器或添加它作为一个额外的网关。 我正在使用运行最新的Merlin版本的Asus RT-AC68U路由器,所以我希望能够通过以下方式更改它的iptables规则和networkingconfiguration来使用Azure站点到站点VPN: 现有的iptablesconfiguration大部分保持不变,因此NAT可以继续用于允许我的其他本地服务器和工作站继续连接到互联网,或者将端口转发给他们。 我的家庭networking上的RRAS虚拟机有两个networking适配器,一个使用私有IP,另一个使用私有IP,但根据微软的build议,这将被改为我的公有IP。 最后,我不知道如何完成的部分是将特定的VPN端口和协议(UDP 500,UDP 4500,UDP 1701和ESP(协议#50))从NAT中排除,并直接桥接到networking适配器在现在configuration的虚拟机上使用我的家庭networking的公共IP进行设置。 networking目前看起来像这样: Azure VM的 – 192.168.1.0/25,使用dynamic路由与公网IP的VPN网关。 家庭networking192.168.0.0/24: VDSL调制解调器< – PPPOE桥,所以路由器具有公共IP – >华硕路由器< – NAT – > 192.168.0.0.24 所以这就是我想要的,所以RRAS只有公共IP用于VPN目的: VDSL调制解调器< – PPPOE桥,所以路由器有公共IP – >华硕路由器 < – VPN端口和协议桥 – > RRAS虚拟机的公共适配器的MAC地址 < – 其他地方的NAT – > 192.168.0.0/24 如果有更简单的解决scheme,我愿意接受其他的build议来让站点到站点的VPN工作。 [更新1] 我正在考虑以下内容,我已经为RRAS Hyper-V VM提供了额外的networking适配器,并将其分配给VLAN 635,如果由于某种原因想要更改其MAC地址,则会启用混杂模式。 然后,我禁用了除两个链路层拓扑发现项目和IPv4以外的所有连接项目。 我已经将IPv4设置分配给公共IP地址,子网掩码为255.255.255.255,网关与路由器中的ppp0适配器的网关相同。 […]
作为系统强化的一部分,我正在尝试在CentOS 6.6 kickstart中configuration防火墙。 它确实在一种情况下工作,否则它不会。 Kickstart防火墙 firewall –enabled –service=ssh –service=http –service=https –port=53:udp,69:udp,25150:tcp,25151:tcp,3306:tcp 这告诉它启用防火墙,并打开一些特定的服务。 换行是为了可读性,而不是configuration的一部分。 我的软件包部分如下,请注意:如果我添加–nobase选项,iptables处于直通模式,没有configuration的跟踪。 只要我删除–nobase ,iptables设置正确,只有定义的一组开放端口。 Kickstart包: #%packages –nobase –excludedocs %packages –excludedocs @core yum wget openssh-server yum-downloadonly screen sysstat lsscsi ntpdate rudder-agent -nano -selinux-policy -selinux-policy-targeted 我做了很多重新安装来跟踪这个,并通过谷歌search,发现有相当多的人结合 – 无线和防火墙 – 启用 – 端口设置。 另外,fyi:将iptables添加到软件包列表并没有做出差异。 – 它是自动添加的。 如果您想知道,最终应用程序的SW供应商不允许启用SELinux。 防火墙输出1 这是基地被添加时的输出: [host]# iptables -L Chain INPUT (policy ACCEPT) […]
我一直在使用fail2ban一段时间没有任何问题。 有一天,我决定停止fail2ban从我的默认iptables删除一个规则。 当我启动fail2ban时,它开始OK(根据命令:service fail2ban start)。 但是,当我检查iptables,我没有看到添加fail2ban链。 我检查了fail2ban日志,我发现这样的几个错误: fail2ban.action [32091]:错误iptables -w -N f2b- iptables -w -I INPUT -p tcp -m多端口 – 端口0:65535 -j f2b- – stderr:“iptables v1.4.7:选项-w' requires an argument\nTry iptables -h'或'iptables –help'以获取更多信息。\ niptables v1.4.7:选项-w' requires an argument\nTry iptables -h'或'iptables –help'以获取更多信息。\ niptables v1.4.7:选项-w' requires an argument\nTry iptables -h'或'iptables –help'以获取更多信息。\ n“ 从这个日志看来,fail2ban正在尝试使用不存在的-w选项运行iptables。 我检查了所有的fail2banconfiguration文件,特别是在action.d目录下,并且没有一行-w选项。 这有多奇怪? 我不知道这里发生了什么,因此我无法使用fail2ban。 我感谢您的帮助。
我发现这篇文章已经过时了,而且似乎专注于Windows的消费者版本。 什么是Windows Server 2012 +相当于iptables?
有没有办法通过使用IPTABLES在MySQL 3306上评估连接限制? 我正在考虑允许2连接企图每隔5分钟端口3306。 谢谢
我最近安装了CSF防火墙,并已经成为一个新的服务器,接受约600req /秒。 它基本上是一个反向代理,我在pingdom和munin发现,在特定的时间,服务器的响应时间增加了3倍。 我看着日志,正好在那个时候,我发现像这样的条目: Feb 27 15:22:09 li235-57 dhclient: DHCPREQUEST of <My IP address> on eth0 to 207.192.68.72 port 67 Feb 27 15:22:09 li235-57 dhclient: send_packet: Operation not permitted 你能帮我理解什么地方出了问题,到底发生了什么? 有什么设置我应该改变CSF或任何指针进一步debugging?
寻找VPSconfiguration的帮助。 我是一个正在尝试configuration64位Ubuntu VPS的Web开发人员。 我将SSH端口更改为30000,添加了具有所有权限的用户,并使用以下脚本设置了IPtables *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic […]
我几乎绝望…我已经读了大约2天的iptables转发的例子,我不能做一个简单的端口转发。 我有两台机器在不同的networking上。 server1(S1的ip为195.21.2.41)在我家,server2(s2的ip为10.234.141.126)在Amazon EC2。 我需要转发到s2的所有stream量到s1。 我试过这个: 冲洗所有的规则,激活内核参数转发,添加一个前后处理规则 iptables -F -t nat iptables -F echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -d 195.21.2.41 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -d 10.234.141.126 -p tcp –dport 80 -j DNAT –to 195.21.2.41 可选我还补充说: iptables -A FORWARD -p tcp -i eth0 -d 195.21.2.41 –dport 80 […]
我有一个托pipe公司的VPS,所以我通过SSH远程访问它。 我试图刷新所有的iptables规则,并从头开始…问题是,当我input#iptables的input丢弃(因为我不想阻止所有传入和白名单),然后腻子脱落,我不能连接。 当我input该命令时,如何在不被CentOS引导的情况下执行此操作。 还是有另一种方式来做到这一点。 谢谢