我希望有一些明显的我在这里错过了。 我有NAT规则设置转发几个不同的端口到内部机器。 当一个请求来自互联网,一切按计划进行。 但是,如果我使用同一端口从networking内部打我的外部IP,则请求会在防火墙机器上终止,而不是转发到正确的位置。 有什么显而易见的,我做错了吗? 生成的iptables规则如下。 # Generated by iptables-save v1.4.4 on Wed Sep 7 20:36:37 2011 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :Cid4488E49C.0 – [0:0] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 10.0.0.11/32 -p tcp -m tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT -A […]
我有一个服务器(serv05)在公共ip上工作,在两个不同的专用networking–192.168.122.0和192.168.100.0 – 分别托pipe两个KVM客人 – vtest1和vtest2 – 这样: [root@serv05 ~]# ip -o addr show | grep -w inet 1: lo inet 127.0.0.1/8 scope host lo 2: eth0 inet xxx.xxx.xx.197/24 brd xxx.xxx.xx.255 scope global eth0 4: virbr1 inet 192.168.100.1/24 brd 192.168.100.255 scope global virbr1 6: virbr0 inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0 # [root@serv05 ~]# route […]
我正在做一些IPtables的速度限制,我不知道如果我应该使用“最近”或“极限” 两者有什么区别? 如果他们都达到相同的结果,哪一个有更好的performance? 我想知道,无论有什么区别都是可以察觉的。 如果超出限制,我期待接受,如果超过,则拒绝。 我对带宽限制不感兴趣,我不想要一个队列。 我不需要任何语法示例,都有大量的在线使用示例。 我以前也用过Limit。 我很欣赏任何回应。
我有端口80上运行的nginx和端口8080上运行的apache 我想要将所有stream量asynchronous传输到nginx和apache,即一台服务器的性能不会依赖于其他服务器。 原因是nginx将服务我的网站和Apache将用于运行分析stream量。 我想镜像/复制两个端口上的stream量。 我不想转发… 我尝试了以下,但徒劳无功 sudo iptables -A PREROUTING -t mangle -p tcp ! -s 127.0.0.1/32 –dport 80 -j TEE –gateway 127.0.0.1 和 sudo iptables -A POSTROUTING -t nat -p tcp -s 127.0.0.1/32 –dport 8080 -j SNAT –to 127.0.0.1:8080 我哪里错了? 我在ubuntu 11.04上使用iptables v1.4.10
我在VB下设置一个http服务器(apache),并使用VB中的可用工具从主机转发端口。 我的VBnetworking是NAT连接到主机。 但是,当这样做时,http的访问日志只显示每个连接的相同的IP地址。 (从10.xxx这是主机的IP地址)。 有无论如何看到真正的IP地址? 我试图在主机上设置一个iptables日志,但它不显示数据(只有src,dest.ttl ..你知道..)
我们希望将所有httpstream量转发到Amazon EC2库存Linux机器上的另一个IP地址(基于CentOS)。 我知道如何用代理规则和Apache来做到这一点,但我认为iptables会是一个更快的解决scheme(可能不是!) 命令 sudo iptables -P INPUT ACCEPT sudo iptables -F sudo iptables -A PREROUTING -t nat -p tcp -i eth0 –dport 80 -j DNAT – 到208.68.208.81:80 sudo iptables -A FORWARD -p tcp -d 208.68.208.81 –dport 80 -j ACCEPT iptables -t nat -L -v -n 链PREROUTING(策略接受0包,0字节) pkts字节目标人选退出源目的地 0 0 DNAT tcp – eth0 * […]
直到今天,我用一个便宜的路由器,所以我可以分享我的互联网连接,并保持一个networking服务器,同时使用NAT。 用户IP($ _SERVER ['REMOTE_ADDR'])很好,我看到用户的A类IP。 但是随着stream量每天都在增长,我不得不安装Linux服务器(Debian)来共享我的Internet连接,因为我的旧路由器无法保持stream量。 我通过使用NAT的IPTABLES共享互联网,但是现在,在将端口80转发到我的networking服务器之后,现在我看不到我的网关IP(Linux内部IP)作为任何用户的IP地址。 如何解决这个问题? 我编辑了我的post,所以我可以粘贴我目前使用的规则。 #!/bin/sh #I made a script to set the rules #I flush everything here. iptables –flush iptables –table nat –flush iptables –delete-chain iptables –table nat –delete-chain iptables -F iptables -X # I drop everything as a general rule, but this is disabled under testing # iptables -P INPUT […]
我们有一台服务器,一直受到试图进入的人的打击。我们有DenyHosts和Fail2Ban在服务器上运行,但是它仍然得到很多不好的人的stream量。 我的老板终于厌倦了,他去了http://ipinfodb.com/ip_country_block.php,并创build了一个他希望从服务器阻止的IP范围列表。 事情是一个超过13,000 ips的清单。 什么是阻止这些ips的最好方法? 我可以编写一个脚本来遍历列表,并将它们添加到iptables,但这似乎是一个坏主意。 我可以将这个列表粘贴到DenyHosts中,但是我不确定这会对性能造成什么影响。 会不会有比这两者更好的select? 有没有人可以给我一些build议呢?
我想允许端口x上的连接在端口y上具有“已build立”状态的IP地址。 这是可以通过使用iptables吗?
我有一个IP地址为222.192.124.3的虚拟接口eth1:3 ,我已经build立了一个iptables规则来使用接口的IP(我知道iptables不关心虚拟接口标签)login到那个接口上的数据包,如下所示: iptables -A INPUT -d 222.192.124.3 -j LOG –log-level warning –log-prefix "VIP3-IN: " 当我运行tcpdump并从另一台机器发送这个IP上的数据包时,我看到它们,所以我认为它们是由内核正确接收和处理的,但iptables从不logging这些数据包,当我运行iptables -nvL ,该规则不会增加,就好像它们从来没有达到规则一样(或者如果iptables甚至没有看到数据包进入该接口)。 我首先想到了与数据包相匹配的另一个规则,并在处理LOG规则之前处理它,所以我删除了每个iptables规则,只添加了日志logging规则,但没有成功。 服务器运行在RHEL 6.2上,内核为2.6.32,在VMware ESX上虚拟化。 以下是iptables -nvL的完整输出: Chain INPUT (policy ACCEPT 40 packets, 2891 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all — * * 0.0.0.0/0 222.192.124.3 LOG flags 0 level 4 prefix […]