我已经从https://help.ubuntu.com/community/IptablesHowTo#More_detailed_Logging按照iptable日志的例子 sudo iptables -I INPUT 5 -m limit –limit 5/min -j LOG –log-prefix "iptables denied: " –log-level 7 我得到如下的日志条目 Oct 20 03:45:50 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xxxx DST=xxxx LEN=1059 TOS=0x00 PREC=0x00 TTL=115 ID=31368 DF PROTO=TCP SPT=17992 DPT=80 WINDOW=16477 RES=0x00 ACK PSH URGP=0 Oct 20 03:46:02 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx […]
我有一个Debian服务器,允许用户login。我不介意他们访问networking或下载文件,但我想否则限制他们从该机器的互联网访问。 我应该如何设置我的IPTABLES或其他防火墙来使这个工作轻松?
我通过iptables打开了端口443: pkts bytes target prot opt in out source destination 45 2428 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 6 1009 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 141 10788 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT […]
我确定我做错了什么。 我期待着我目前的“拒绝所有传入/传出”的规则来瘫痪任何与networking有关的事情,但事实并非如此。 首先,我做了: sudo ufw default deny incoming sudo ufw default deny outgoing 然后我检查了一下: sudo ufw status verbose Status: active Logging: on (low) Default: deny (incoming), deny (outgoing) New profiles: skip 看起来不错,然后我重新加载它: sudo ufw enable sudo ufw reload sudo service ufw restart 但是,我可以在网页上发布这一点,并做其他事情。
我正在运行两个在linux内核空间中服务的“服务”: Linux Netfilter防火墙(“iptables”) Linux虚拟服务器负载均衡器(“IPVS”,“LVS”) 现在我想(性能)监视我的“应用程序”就像我正在运行的任何其他软件。 那基本上会是什么? CPU时间和内存。 我如何从内核中获取这些内容? iptables的内存消耗可以通过连接跟踪表的大小来估计,与ipvs相同。 对我来说没关系,但任何提示都是值得欢迎的。 但是 – CPU处理路由,防火墙和负载均衡的时间呢? “系统”时间是否包括数据包转发和过滤处理? 那么ipvs处理呢?
我有一个Linux机器设置作为客户端和服务器之间的桥梁; brctl addbr0 brctl addif br0 eth1 brctl addif br0 eth2 ifconfig eth1 0.0.0.0 ifconfig eth2 0.0.0.0 ip link set br0 up 我也有一个应用程序在本机的端口8080上侦听。 是否有可能将目的地为80端口的stream量传递给我的应用程序? 我已经做了一些研究,看起来可以使用ebtables和iptables来完成。 这是我的其他设置: //set the ebtables to pass this traffic up to ip for processing; DROP on the broute table should do this ebtables -t broute -A BROUTING -p ipv4 –ip-proto tcp […]
我们的服务器只连接IPv6,一个应用程序在专用networking上监听8080端口,但在公共Internet上需要80端口。 为了testing目的,打开端口8080的防火墙时,访问IPv6:8080地址工作正常(没有永久的解决scheme,最后端口必须closures) 所以我们需要一种类似ip6tables TPROXY提供的端口转发给另一个本地端口。 但以下是不工作的: ip6tables -t mangle -A PREROUTING -i eth0 -p tcp –dport 80 -j TPROXY –on-port 8080 它根本不会返回任何数据。 (即使从ip6tables删除所有其他规则,只有这个可用)当用“ip6tables -t mangle -vL”查看包时,我看到在TPROXY规则的行上增长的包的数量。 当打开“conntrack -E”时,我看到只有一行显示标有[DESTROY]。 当看“netstat -anp –tcp”时,我看不到新的端口80,只有应用程序端口8080。 同样的问题,如果临时重新configuration应用程序到端口80,并使用“-j TPROXY – 在端口80”或“-j TPROXY – 在端口0”,所以基本上testing端口转发到同一端口 – 没有成功。 同样的问题,如果使用通过标题标记的高级路由: ip6tables -t mangle -R PREROUTING 1 -i eth0 -p tcp –dport 80 -j TPROXY –on-port […]
我正在研究通过SNMP (路由,接口, QoS策略等)读取大量数据的API。 最近,我经历了一个随机错误,指出: Operation not permitted 现在,我使用SNMP4J作为核心库,不能真正查明错误的根源。 一些Stackoverflow的问题已经表明操作系统无法打开足够数量的文件句柄,但增加这个参数没有多大帮助。 奇怪的是, 只有当iptables启动并运行时才会出现错误。 难道防火墙阻止了一些stream量? 我已经尝试编写JUnittesting,模仿应用程序的逻辑,但没有错误被解雇… 任何帮助,将不胜感激! 谢谢! IPTABLES *nat :PREROUTING ACCEPT [2:96] :POSTROUTING ACCEPT [68:4218] :OUTPUT ACCEPT [68:4218] # route redirect za SNMP Trap i syslog -A PREROUTING -i eth0 -p udp -m udp –dport 514 -j REDIRECT –to-ports 33514 -A PREROUTING -i eth0 -p udp -m […]
我想了解iptables和NFQ如何与snort一起工作。 我问这个问题的原因是因为据我所知, snort可以通过NFQ设置为IPS,但是如果你拥有iptables那么防火墙规则基本上就是我的问题,因为我正在试图做的就是丢弃符合下面规则的数据包拆分为可读性): drop tcp any any -> $HOME_NET 80 (flags:S; msg:"Possible TCP Dos Be Careful !!"; flow:stateless; detection_filter: track by_dst, count 70, seconds 10; sid:10001;rev:1;) 需要注意的是, iptables似乎也可以根据规则丢弃数据包,所以如果这是真的,那么我所要问的就是如何在运行snort的configuration方面一起工作见下文)? vim /usr/local/snort/etc/snort.conf config daq: nfq config daq_mode: inline config daq_var: queue=0 iptables –append FORWARD –jump NFQUEUE –queue-num 0 /usr/local/snort/bin/snort -m 027 -d -l /var/log/snort \ -u snort […]
要求: 每个组中有任意数量的用户。 任何特定组的带宽是1000kbps。 组中每个用户的带宽为70 kbps。 任何时候,用户都不应该占用超过70kbps的带宽。 我正在使用tc&iptables&ipset。 ipset -L slowips Name: slowips Type: hash:ip Revision: 1 Header: family inet hashsize 1024 maxelem 65536 Size in memory: 240 References: 3 Members: 172.16.79.3 172.16.79.4 IPTABLES: iptables -t mangle -I POSTROUTING -m set –match-set slowips dst -j CLASSIFY –set-class 1:12 我的TC脚本: #!/bin/bash tc qdisc del dev eth0 root […]