定义 我已经安装了Proxmox 3.2,并试图将虚拟机configuration为通信服务器,处理所有stream量并将其转发给具有私有IP的节点。 我configuration了具有完全相同configuration的两个CentOS虚拟机的NATnetworking服务器。 我做的事 Proxmox wiki有一个非常有限和基本的natnetworking文档。 我在这里和proxmox论坛上发现了类似的问题( this , this )。 我试图了解Linux natnetworking的基础知识,所以我从头到尾完成这个非常容易理解的教程。 我读这篇文章为iptables NAT规则 问题 安装和configuration后,当我ping主机到虚拟机或从虚拟机到主机的输出是; root@testPrx:~# ping 10.0.4.2 PING 10.0.4.2 (10.0.4.2) 56(84) bytes of data. From 10.0.4.1 icmp_seq=2 Destination Host Unreachable 当我尝试一个telnet连接到通信服务器的公共ip从一个服务器在具有互联网连接的同一networking和(192.168.0.3)-bash-4.1#telnet 192.168.0.2 2701尝试192.168.0.2 … telnet:连接到地址192.168.0.2:没有路由到主机 当我尝试telnet连接到本地,192.168.0.2结果相同, root@testPrx:~# telnet localhost 2701 Trying 127.0.0.1… telnet: Unable to connect to remote host: Connection refused […]
警告:长。 很多信息在这里。 3年前有人问为什么iptables不能阻塞IP地址? 原因是因为服务器在CloudFlare的后面,这使得不可能按照他们想要的方式直接阻止IP地址,除非您以不同的方式使用它。 任何反向代理或负载平衡器都会导致同样的情况。 同样,我们已经build立了一个规则fail2ban来禁止任何试图暴力进入pipe理login或垃圾邮件xmlrpc的僵尸程序。 站点坐在负载平衡器后面,所以显然我们不能直接禁止IP地址,但是iptables应该接受与分组数据匹配的连接和模式以禁止特定的stream量。 这是fail2ban jail.confconfiguration: [wp-auth] enabled = true filter = wp-auth action = iptables-proxy[name = lb, port = http, protocol = tcp] sendmail-whois[name=LoginDetect, [email protected], [email protected], sendername="Fail2Ban"] logpath = /obfuscated/path/to/site/transfer_log bantime = 604800 maxretry = 4 findtime = 120 这是wp-login请求的简单模式匹配: [Definition] failregex = ^<HOST> .* "POST /wp-login.php ignoreip = # our […]
我有一个IPv6本地容器在端口8000上运行一个小的webapp。 在Docker主机上,我可以使用全局IP访问webservice,但是从另一个主机连接时却得到“连接被拒绝”。 但是,容器可以从其他主机ping通。 容器中的服务工作 # curl "http://[2a01:4f8:10a:2cc5:0:242:ac11:2]:8000" I'm b6032b33bc12 但是,从另一台主机运行: {2.1.5p273} curl "http://[2a01:4f8:10a:2cc5:0:242:ac11:2]:8000" curl: (7) Failed to connect to 2a01:4f8:10a:2cc5:0:242:ac11:2 port 8000: Connection refused 但是,ipv6地址是可以ping通的: {2.1.5p273} ping6 2a01:4f8:10a:2cc5:0:242:ac11:2 PING 2a01:4f8:10a:2cc5:0:242:ac11:2(2a01:4f8:10a:2cc5:0:242:ac11:2) 56 data bytes 64 bytes from 2a01:4f8:10a:2cc5:0:242:ac11:2: icmp_seq=1 ttl=60 time=0.385 ms 64 bytes from 2a01:4f8:10a:2cc5:0:242:ac11:2: icmp_seq=2 ttl=60 time=0.452 ms 我错过了什么? 关于我的环境的更多细节: # docker – Docker […]
我希望将进入eth0的数据包路由回eth0,而将进入eth1的数据包通过eth1回来。 我不在乎哪个网关用于传出连接。 如果我只在/ etc / network / interfaces中input两个网关,那么内核会在两个接口上发送数据包。 我记得它与路由表有关,但我不知道该怎么做/我可以在哪里读到更多的信息。
我如何设置iptables的方式,我知道什么包被哪个规则阻止? 我所知道的一个解决scheme是-j LOG – 日志前缀。 有没有其他的方法?
一直在我的iptables日志看,有数百个不同的IP试图访问端口45702,谷歌似乎并不知道太多。 他们总是以每个IP块的forms到达 Jun 3 00:59:49 76.108.181.238 32253 in 130.88.149.86 45702 UDP Jun 3 00:59:42 76.108.181.238 32253 in 130.88.149.86 45702 UDP Jun 3 00:59:39 76.108.181.238 32253 in 130.88.149.86 45702 UDP Jun 3 00:59:38 76.108.181.238 32253 in 130.88.149.86 45702 UDP Jun 3 00:54:35 76.108.181.238 32253 in 130.88.149.86 45702 UDP Jun 3 00:54:33 76.108.181.238 32253 in 130.88.149.86 45702 […]
我可以在Debian 6(iptables 1.4.8)中使用31个chars链接名称,但是在Ubuntu 11(iptables 1.4.10)中,我不能…让Ubuntu支持30个以上chars链接名称吗?
我正在传输2900字节的UDP数据包。 由于分片,数据包被分成2个IP分片。 我的tc u32filter(更多片段位和IP / PORT组合)仅匹配第一个片段,第二个片段不匹配。 我怎样才能匹配也使用filter的最后一个片段。 我很好用tc或iptablesfilterrul
我遵循这个指南: http : //aryo.info/labs/captive-portal-using-php-and-iptables.html 我正在使用iptables实施俘虏门户。 我已经在linux路由器上设置了web服务器和iptables,而且一切正常。 我可以让用户访问互联网 sudo iptables -I internet -t mangle -m mac –mac-source USER_MAC_ADDRESS -j RETURN 我可以删除访问 sudo iptables -D internet -t mangle -m mac –mac-source USER_MAC_ADDRESS -j RETURN 但是,在删除时,用户仍然可以打开上次查看的页面(如果他重新启动以太网适配器,将来的连接将被closures)。 在博客页面上,我find了一个脚本 /usr/sbin/conntrack -L \ |grep $1 \ |grep ESTAB \ |grep 'dport=80' \ |awk \ "{ system(\"conntrack -D –orig-src $1 –orig-dst \" […]
我configuration了8个IP的eth0也添加适当的虚拟主机在Apache为不同的IP和一切工作几乎没有问题。 当由apache2发起的脚本(如PHP,ruby)试图通过cURL进行传出连接时,它使用默认的eth0:0 IP,而不是与域(和传入请求)相关的IP。 我正在尝试使用类似的东西 iptables -t nat -A POSTROUTING -s 192.168.1.202 -o eth0 -j SNAT –to 99.99.99.244 iptables -t nat -A POSTROUTING -s 192.168.1.202 -o eth0 -j SNAT –to 99.99.99.245 iptables -t nat -A POSTROUTING -s 192.168.1.202 -o eth0 -j SNAT –to 99.99.99.247 iptables -t nat -A POSTROUTING -s 192.168.1.202 -o eth0 -j SNAT –to […]