我有一些公共互联网IP地址如ABCx服务器。 我的一个主机( ABC10 )运行ntpd,我把它从europe.pool.ntp.org上同步。 现在我只想让我的子网 ( ABCx )的主机能够同步到ABC10 。 默认情况下,整个世界可以同步到我的NTP服务器。 我如何做到这一点? 我可以find的所有示例都假设我正在同步到特定的IP地址,但是我同步到DNS名称,并且据我所知,DNS名称x .europe.pool.ntp.org指向的IP地址是可变的。 所以我不能在防火墙中设置例外,也不能在ntp.conf中使用restrict选项,因为它也只接受IP地址 ,而不接受DNS名称 (哦!和restrict既适用于客户端,也适用于服务器,如防火墙规则!)
你好! :-)。 我需要关于我的iptables安装的(几个?)build议。 我对iptables相当陌生,这是我第一次用iptablesconfiguration服务器作为防火墙(我们没有钱也没有时间设置“真正的”防火墙)。 我想通过SSH连接到我的服务器只从specific.location.com。 因此,我在INPUT中设置了以下规则: target in out source destination ACCEPT lo any localhost anywhere ACCEPT any any specific.location.com myserver.local tcp dpt:ssh 我的默认策略是: INPUT DROP FORWARD DROP OUTPUT ACCEPT 有了这第一个configuration,我能够连接到我的服务器,但无法到达外部(如google.com),并且连接速度非常慢。 我了解到我的防火墙没有任何规则,包括来自数据包的状态“ESTABLISHED”。 的确,我想我的信息包能够出去,但是不允许回来。 所以我添加了这个规则: target in out source destination ACCEPT any any anywhere anywhere state ESTABLISHED 现在所有的工作都像一个魅力,我可以从服务器访问外部,连接速度非常快,我只能从specific.location.com访问我的SSH服务器! 我唯一的问题是,我需要你的build议,是一个干净的configuration? 我在网上找不到这样的例子,所以我很想知道… 还是我做了一个巨大的安全错误?! 感谢您的帮助:-)
在我目前的configuration下,即使来自localhost , iptables也会阻塞每个入站连接。 在某些情况下,我需要localhost连接到自己。 如果我创build了允许来自localhost所有入站连接的规则,这是否会损害我的服务器的安全性? 例如,攻击者可以以任何方式滥用此防火墙规则吗?
我有大约4个IP地址,随机打到我的networking上的一个端口,我想阻止。 所以我把这样的规则添加到我的OpenWRT路由器中: iptables -I INPUT -s FIRST_PUBLIC_IP -p tcp –dport 32400 -j DROP iptables -I INPUT -s SECOND_PUBLIC_IP -p tcp –dport 32400 -j DROP iptables -I INPUT -s THIRD_PUBLIC_IP -p tcp –dport 32400 -j DROP iptables -I INPUT -s FOURTH_PUBLIC_IP -p tcp –dport 32400 -j DROP 然后,我也有这个规则,只要有端口连接,就写入日志 iptables -I FORWARD -p tcp –dport 32400 -m […]
如何在Ubuntu上使用iptables设置出口规则?
我的OpenWRT路由器后面有多个工作站,我想阻止LogMeIn发出信标。 也就是说,我想渲染LogMeIn安装无用。 我意识到这不是一个非常有效的方法(并阻止用户从最初安装它可能是一个更好的方法),但我想这样做无论如何。 我怎样才能最简单地完成IPTables?
我想保护从我们的办公室静态IP以外的所有IP访问我们的实时Web服务器的SSH。 有些员工通过dynamicIP连接到这台实时服务器。 因此,只要员工的dynamicIP发生变化,我并不总是可以在活动服务器中更改iptables规则。 我试图把他们放在办公室的VPN,只允许从办公室的IP访问SSH,但办公室连接相比,我们的员工的私人互联网连接速度慢,此外,它增加了额外的开销,我们的办公室networking。 有什么办法可以解决这个问题吗?
好吧,这是一个奇怪的networking设置,但我试图从一个networking到另一个互联网。 headless server ((((( wireless router (other network)—–internet | | router (my network) ))))) wireless computers | | | wired computers 所以,基本上,我有一个无头的Linux机器,我想要设置为我的networking(eth0)和其他networking(wlan0)之间的路由器。 我应该能够configuration一切,但我不是非常有经验的iptables。 我之前在两个有线networking之间做了同样的事情,但我从来没有写下规则。
我正在确定在新的colo安装中要使用什么types的设备。 我们有configuration思科路由器的一些经验,但是我们的知识在Linux系统pipe理员方面更深入。 (签约一个CCNA是一个select,但是我担心他们是否能够在我们真正需要的时候使用。)因此,我不想使用Cisco / Juniper路由器,而是试图使用一个运行Shorewall的Linux机器。 这也将使我们能够利用我们现有的configurationpipe理和合规基础设施。 大部分将被安装将是相当简单的NAT。 没有BGP,OSFP,RIP或其他真实的路由协议。 这是想象中的设置: 电路上的最大吞吐量为100Mbit。 我们的标准峰值吞吐量更像10Mbit。 在这之后有20-30个主机 主要是HTTPSstream量。 一些HTTP,SMTP和SSH / 24 IP块 我主要关心的是易于实施和维护。 成本并不是主要的关注点,但我不希望超过2500美元购买新设备(我的运气不好,但运气不好)。 我们目前的networking设备将保持在原来的位置。 无论我们使用什么将是新的购买。 在思科方面,我正在寻找类似于2901的东西。如果我要使用Linux解决scheme,我会放弃什么? 一个现代的基于Xeon的Linux / Shorewall盒子可以处理100Mbit的NAT和300条规则吗? 思科设备是否可以更好地处理DDoS攻击?
我的网站有时会受到人们的攻击。 你可以在18:00看到这样的攻击,稍后在22:30看到更大的攻击。 基本上,服务器网卡被传入请求淹没。 我的机器是一个专用四核,12GB ddr3,4x SAS 15k RPM驱动器,采用CentOS5.6 64bit RAID10。 在这台服务器上,我运行Nginx作为我的networking服务器。 在攻击期间,我无法访问我的网站,因为整个networking似乎被淹没。 一旦停止,一切恢复正常,无需重启任何东西。 我已经加强了我的SYSCTL一点,请参阅设置在这里: http ://pastebin.com/eFfAcWkr我的IPTABLESconfiguration,其相当基本真的。 只需要端口80,443,21和我的SSH端口打开: http : //pastebin.com/MsHSka08 我的问题是:我还能做些什么来抵御这种攻击? 另外,有没有办法让我找出究竟是什么样的攻击? 绿线是input数据,蓝线是输出数据。