我正在使用以下简单的iptables规则接受相关的数据包: -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT 我让ICMP 回声请求通过这个其他的规则: -A INPUT -p icmp –icmp-type echo-request -j ACCEPT 我是否应该明确地添加任何东西来接收“有用的”ICMP消息,如destination-unreachable , time-exceeded和parameter-problem ,或者RELATED子句已经接受它们了?
前言 就像Linux中的所有东西一样,我相信有很多方法可以通过iptables获得预期的结果。 我想限制以下类别的答案: 选项有什么区别? 哪个选项最好(或者他们是一样的)? 你为什么比另一个更喜欢? 请说清楚你正在说什么类别。 声明偏好是可以的 ,但不要暗示它是最好的 。 例如 我更喜欢把–jump作为第一个参数,因为我认为它首先具有意图并且我喜欢像多个命令的参数那样垂直alignment。 题 其中一个比另一个好吗? iptables -I INPUT –jump ACCEPT –in-interface lo iptables -I INPUT –jump ACCEPT –source localhost 其中一个比另一个好吗? iptables -A INPUT –jump REJECT iptables -P INPUT REJECT
我最近开始使用iptables,并且执行了iptables -F而不知道它会做什么。 突然间,我失去了与节点的连接。 我甚至不能ping通节点。 任何帮助将不胜感激!
我一直在研究使用端口敲击来隐藏/保护SSHD。 我知道knockd和其他的实现,但我想要一些便携和简单的东西。 所以我已经决定使用最近的模块是足够好的iptables。 我已经禁用基于密码的login,并要求公钥/私钥。 我只是希望它出现像SSHD不在服务器上,甚至到端口扫描仪。 我见过很多iptables规则的例子,我不清楚他们应该如何工作。 我想要敲一个晦涩的端口来打开端口22.同时,如果端口周围的端口被访问,我想要禁用端口敲一会儿。 所以,如果我的敲门口是123,敲这个端口将打开端口22 5秒只是门环。 但是,如果端口122或124被敲开,将会使端口敲击15分钟(所以即使敲击了123也不会在该时间帧内发生)。 什么iptables规则将实现这一目标? 编辑:我应该补充说我正在使用CentOS 5.5。 可以使用iptable模块。
我有一个情况,我想在我的VPS上禁止特定的IP地址。 要禁止IP,我使用以下代码的SSH访问: iptables -I INPUT -s my-ip-here -j DROP 我想要禁止的情况如下。 例如: 我有一个以下格式的IP地址84.252.55.106 ie前三个字节总是相同的84.252.55,只有最后一个八位字节每当我得到垃圾邮件发送者时都会改变。 我可以禁止84.252.55,它将如何反映在服务器上?
我正在使用phpMailer发送购买确认使用谷歌应用程序地址/ smtp。 整个事情在开发盒上工作的很好,但是现在它已经开始运行了,似乎我使用的端口(465)被阻塞了。 所以我编辑iptables: -A INPUT -p tcp -dport 465 -j ACCEPT -A INPUT -p tcp -sport 465 -j ACCEPT 我的理解是,这允许入站和出站连接465(纠正我,如果我错了)。 重新启动iptables后: iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp spt:465 但是,我仍然收到“无法连接到服务器:权限被拒绝”从phpMailerdebugging。 从我读到的,这通常表明,港口是封闭的, 显然是这样的。 任何提示如何进一步debugging? 任何帮助将不胜感激。 如果有帮助,这里的PHP: $mail = […]
从今天中午开始,有很多Linux CentOS服务器在我input退出或使用Control-Dclosures腻子窗口时会暂停。 有没有人遇到过这种奇怪的行为? 我已经检查了服务器上的别名列表,没有关于halt命令的别名。 服务器上线后,我已经检查了历史logging,并在那里看到一个“注销”命令,但没有任何与停止相关的命令。 起初,我认为这只发生在我的电脑上,但后来我意识到,这种情况发生在所有types的出口,注销或控制+ d。 2这些服务器是我们的主要iptables防火墙,所以它是超级重要的,你的援助是非常感谢。 它看起来像这样,它只发生在具有活动IPTables的服务器上: [root@srv1 bin]# ssh srv2 root@srv2's password: Last login: Sun Nov 11 17:19:41 2012 from 192.168.12.98 [root@srv2 ~]# vim /etc/crontab [root@srv2 ~]# exit logout Broadcast message from root (pts/1) (Tue Nov 13 10:44:04 2012): The system is going down for system halt NOW! Connection to srv2 closed. […]
我先用这个命令封锁了IP: route add -host xxxx reject 我仍然看到iftop的stream量。 我试图在iptables中添加这个规则: -I INPUT -s xxxx -j DROP 但是,当运行iftop它会显示在顶部。 有没有办法完全阻止它? 请注意,这是一个VPS,我无法configuration任何防火墙。
一个专门的CentOS盒子,使用lighttpd服务www.newdomain.com 。 但是,用于托pipe旧域名www.olddomain.com相同的IP。 该箱子仍然收到www.olddomain.com请求。 什么是阻止这些请求的最有效的方法? 通过一个iptables规则 通过lighttpd中的规则 添加一个hosts.deny 另一个select,没有想到 注意 :我无权访问www.olddomain.com的域名服务器或域名logging
我们有一个简单的路由器,它具有对称types的NAT,但是因为这个路由器没有给我们提供任何debugging接口,所以我们不能确定一个特定的数据包是否到达了NAT。 因此,我们要设置一台LINUX计算机,使其成为一个具有对称NAT的路由器,这样我们就可以捕获所有的数据包到这个“NAT”并获得我们想要的信息。 我们如何在Linux上做到这一点(Fedora系统,内核2.6.xx)?