match = -m matchname [per-match-options] 但它让我困惑。 这是一个例子: iptables -A INPUT -p tcp -m multiport –dports 23,79 –tcp-flags ALL SYN -m recent –update –seconds 180 -m comment –comment "SYN" -j DROP 有人可以向我解释背后的理论,为什么我不必在-tcp-flags(也许我应该)之前使用-m,就像这样: iptables -A INPUT -p tcp -m multiport –dports 23,79 -m –tcp-flags ALL SYN -m recent –update –seconds 180 -m comment –comment "SYN" -j DROP […]
我试图禁用防火墙没有运气。 我努力了: 通过系统 – >pipe理 – >防火墙并在那里禁用。 运行“iptables -F”,然后运行/etc/init.d/iptables保存 我试过禁用SELinux 每当我重新启动,iptables规则仍然在那里。 如果我运行“/etc/init.d/iptables restore”,那么我得到一个空的列表,但是一旦我重新启动,所有的规则都回来了。 好像有一些其他的过程是启动iptables并用规则填充它
我有一个8080端口上运行的Web服务器。我想通过端口80访问它,所以我这样做: iptables -t nat -A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –to-port 8080 它工作,如果我从其他机器使用访问服务器 http://ipoftheserver/ 但是如果我使用同一台机器访问服务器,则不起作用 http://localhost/ 这是为什么? 提前致谢。
我尝试按照以下规则打开我的dns端口: iptables -A INPUT -p udp -m state –state NEW –dport 53 -j ACCEPT iptables -A INPUT -p tcp -m state –state NEW –dport 53 -j ACCEPT service iptables save service iptables restart 但它不起作用,然后我尝试从以下打开DNS: system-config-firewall-tui 它工作。 iptables和防火墙有什么关系?
好的,所以我一直在为这个困境而绞尽脑汁。 我有一个公共子网和私人子网的VPC设置。 NAT是当然的。 我可以从SSH连接到公有子网中的实例以及NAT。 我甚至可以连接到公共实例的私有实例。 我改变了私人实例SSHDconfiguration接受端口22和任意端口号1300.这工作正常。 但我需要设置它,以便我可以连接到私人实例直接使用1300端口号,即。 ssh -i keyfile.pem [email protected] -p 1300 和1.2.3.4应该将它路由到内部服务器10.10.10.10。 现在我听说iptables是这个工作,所以我继续研究,并用一些路由玩弄。 这些是我在公共实例(而不是NAT)上设置的规则。 我不想为此使用NAT,因为AWS在设置NAT时会自动预先configurationNAT实例,而且我听说使用iptables会搞砸了。 *filter :INPUT ACCEPT [129:12186] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [84:10472] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p tcp -m state –state NEW -m tcp –dport 1300 -j ACCEPT -A INPUT -d 10.10.10.10/32 -p tcp […]
作为一个testing,我创build了一个TorBrowser,获得了它的IP,并通过这个命令禁止了它在我的VPS上: sudo iptables -A INPUT -s <IP address> -j DROP 我仍然可以通过TorBrowser浏览由我的服务器托pipe的页面。 我甚至双重检查HTTP access.log,以确保IP是我禁止的,这是。 我错过了什么? 我的iptables文件在启动时读入(通过iptables-restore ) # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # IP bans -A INPUT -s 42.121.24.80 -j DROP -A INPUT […]
我有来自2个子网的数据包进入我的防火墙eth1: 10.111.12.0/24和10.10.100.0/24 我设置了这样的iptables规则: iptables -A INPUT -i eth1 ! -s 10.111.12.0/24 -j DROP iptables -A INPUT -i eth1 ! -s 10.10.100.0/24 -j DROP 但是 – 第一个规则不允许检查第二个,因为10.10.100.0/24不是10.111.12.0/24,它匹配第一个规则。 如何解决它?
是否有可能实现一个简单的代码locking与iptables连接端口触发? 因此,例如,访问者需要按此顺序连接端口1001,1009,1008,1004才能访问端口80.任何其他端口在1000-1009范围内命中的顺序都将重置锁。
简单地说,有没有任何快速的替代iptables -F命令(这只是“删除所有”)的nftables? 这样的东西没有太多的理论上的用途,但是它通常是pipe理错误/错误设置的救星。
文章Linux防火墙教程:IPTables表,链,规则基础定义了RETURN目标值如下: 返回 – 防火墙将停止执行此数据包的当前链中的下一组规则。 该控件将被返回到调用链 。 题 我正和一位同事讨论这样一个目标价值的影响是第一条链的第一条规则 。 由于没有调用链 , 包会发生什么? 会被拒绝还是被接受?