我试图在我们新安装的Ubuntu 11.10 64位服务器上设置一个pptpd vpn,但是没有成功让客户端通过iPhone连接到VPN。 请注意,没有客户端能够从networking外部连接到此VPN。 系统是最新的补丁。 这是/ var / log / syslog的输出。 请注意,222.153.xy是我的远程IP地址。 Mar 30 22:07:47 server pptpd[9546]: CTRL: Client 222.153.xy control connection started Mar 30 22:07:47 server pptpd[9546]: CTRL: Starting call (launching pppd, opening GRE) Mar 30 22:07:47 server pppd[9555]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded. Mar 30 22:07:47 server pppd[9555]: pppd 2.4.5 started by root, uid […]
我在一些Fedora 16系统上实现了ipset 。 由于ipset规则在内存中运行,并在重新启动时丢失,因此计划使用crontab @reboot脚本来重新加载规则并向pipe理员发送电子邮件,以确认规则集已被加载。 在这种方法或其他推荐的方式重新启动后重新加载ipset规则是否有任何问题?
我正在寻找一个相当于iptables在Windows中,最近我的服务器已经被DDoS击中,我知道如何使用iptables阻止它,但不是在Windows中。 我正在寻找像下面这样的东西,但在Windows中。 # Size of the udp packets: iptables -N LENGTH_1062 iptables -I FILTER -j LENGTH_1062 iptables -A LENGTH_1062 -p udp -m udp -m length –length 1062 -j DROP iptables -A LENGTH_1062 -j RETURN # TTL iptables -N TTL_244 iptables -I FILTER -j TTL_244 iptables -A TTL_244 -p udp -m udp -m ttl –ttl-eq 244 […]
我试图找出为什么更改我的默认iptables策略影响nmap扫描我的主机时看到的。 考虑下面的iptables设置: iptables -F iptables -A INPUT -p tcp -s 10.1.0.0/20 –dport 22 -j ACCEPT iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT 让我们使用nmap -p – 10.1.0.157 : Nmap scan report for 10.1.0.157 Host is […]
我目前有一个专用的服务器上的几个KVM访客与桥接networking(这工作),我可以ping通外部ips我分配通过ifconfig(在客人)。 但是,由于我只有5个公共IPV4 IP地址的事实,我想端口转发这样的服务: hostip:port – > kvm_guest:port UPDATE 我发现KVM有一个“默认”的NAT接口,所以将虚拟网卡添加到Guest virshconfiguration中,然后在Guest中configuration它,它的IP地址为: 192.168.122.112 我可以ping通192.168.122.112,并从KVM主机访问192.168.122.112上的所有端口,所以我试图像这样向前端口: iptables -t nat -I PREROUTING -p tcp –dport 5222 -j DNAT –to-destination 192.168.122.112:2521 iptables -I FORWARD -m state -d 192.168.122.0/24 –state NEW,RELATED,ESTABLISHED -j ACCEPT telnet KVM_HOST_IP 5222只是挂在“尝试” telnet 192.168.122.112 2521作品 [root@node1 ~]# tcpdump port 5222 tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: […]
我正在用XEN 4.1使用Debian wheezy。 我有两个网桥xenbr0和xenbr1。 xenbr0与真正的eth0-nic联系在一起,所以domU可以和外界沟通,这很好。 xenbr1被用作domU和dom0之间通信的内部networking桥梁。 问题是xenbr1,我不知道为什么。 domU与xenbr1成功连接,因为我可以在domU之间Ping。 所以这座桥在某种程度上是工作的,但是没有任何来自dom0的xenbr1的交通是可能的。 / etc / network / interfaces中的我的xenbr1设置: auto xenbr1 iface xenbr1 inet static pre-up brctl addbr $IFACE up ip link set $IFACE up post-down brctl delbr $IFACE down ip link set $IFACE down address 10.0.0.1 netmask 255.255.255.0 hwaddress ether MAC brctl显示: bridge name bridge id STP enabled […]
我在对iptables中的状态/连接跟踪进行了一些澄清之后。 这两条规则有什么区别? iptables -A FORWARD -m状态 – 状态ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m conntrack -ctstate ESTABLISHED,RELATED -j ACCEPT 当-m state或-m conntrack被指定时,两者似乎都加载了nf_conntrack模块。 这两个选项都打开状态或连接跟踪。 注意:我不是在问什么是conntrack,我只是问他们是否相同。 我已经知道conntrack模块有更多的function。 如果以上内容相同,在使用conntrackd时是否需要使用conntrack版本? 当数据包首次匹配包含-m状态 – 状态BLA,或始终对所有通信stream进行连接跟踪时,是否打开连接跟踪? 例如在FreeBSD PF下,你可以在规则上指定keepstate来跟踪状态。 netfilter也一样吗? 即一旦模块被加载,它是否对所有stream程都开启? 可以/应该连接跟踪用于像下面的快速匹配? 如果不是像下面那样使用,是不是意味着防火墙会再次遍历规则集,寻找匹配的数据包,而不是仅仅触及第一个ESTABLISHED规则? [许多例子似乎没有使用,如果是真的] 例如,假设这是某种路由器/防火墙(不是NAT)。 # Default DROP policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Drop […]
我有一个大的OpenVPNnetworking。 大部分地址都可以自由访问。 但是,less数IP只需要限制在其他几个IP上。 例如,只允许10.8.0.6与10.8.0.10通信。但是10.8.0.10和子网中的所有其他地址可以无限制地相互通信。 下面的iptables代码会完成这个吗? # allow communication between 10.8.0.6 and 10.8.0.10, deny any additional # access to 10.8.0.6 iptables -A FORWARD -s 10.180.0.6 -d 10.8.0.10 -j ACCEPT iptables -A FORWARD -s 10.180.0.10 -d 10.8.0.6 -j ACCEPT iptables -A FORWARD -s 10.180.0.6 -j DROP # Begin required lines for server operation iptables -A FORWARD -m […]
我有这样的iptables设置: # iptables -L -nv Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 13925 8291K ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 8153 2431K ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22,25,53,80,443 482 […]
我从镜像端口接收stream量,我想将其发送到NFQUEUE进行处理。 由于镜像端口,数据包目标MAC地址不是我的主机MAC地址。 所以stream量永远不会到达我的NFQUEUE。 (如果我采取一个数据包,我用Scapy手动replace目标MAC地址与我的主机MAC地址,它的工作原理) 即使在过滤pipe道中尽可能快地应用了iptable规则,它也不能与镜像端口一起工作: iptables -A PREROUTING -t raw -j NFQUEUE –queue-num 1 正如在其他一些线程中提到的,我尝试在我的界面上创build一个网桥,并使用以下命令过滤stream量。 tunctl -u root brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 brctl setfd br0 0 brctl stp br0 off ifconfig br0 up ifconfig eth0 up 0.0.0.0 ifconfig tap0 up 0.0.0.0 echo 0 > /sys/class/net/br0/bridge/ageing_time echo 1 > […]