我正在用这个命令手动创build一个桥: docker network create –driver bridge –internal –subnet=172.20.0.0/24 br0 然后我启动容器使用该桥参数–net=br0 –ip=172.20.0.x 问题是这些容器没有互联网接入,我甚至不能ping通外面。 真正的问题是与iptables有关。 当我重新启动服务器,iptables显示我一些规则,容器没有互联网接入。 但是,当我重新启动docker服务,然后iptables有不同的规则和容器有互联网接入。 我只会在这里粘贴规则集之间的区别。 当我重新启动服务器,此规则显示: *filter -A DOCKER-ISOLATION ! -s 172.20.0.0/24 -o br-aa4c507d3f06 -j DROP -A DOCKER-ISOLATION ! -d 172.20.0.0/24 -i br-aa4c507d3f06 -j DROP COMMIT 当我重新启动docker服务,这2条规则消失,我看到这个: *filter -A FORWARD -o br-aa4c507d3f06 -j DOCKER -A FORWARD -o br-aa4c507d3f06 -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT […]
我有一个serverloft.eu专用服务器,但由于一些networking安全,我不能在我的服务器上使用网桥。 所以我把所有的IP都设置到了eth0的主要地址,并且使用NAT将主要的eth0转发到内部networking。 但是我遇到了一个问题,我的虚拟服务器上的服务无法使用公共IP连接到自己,即。 telnet 192.168.122.3 80工作正常,但telnet pub.lic.ip.xx 80次。 (当用ip 192.168.122.3在virual机器上input时) 我的iptables脚本如下所示: #!bin/sh iptables -F iptables -t nat -F iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PORTS="22 25 110 143 587 993 995" for port in $PORTS; do iptables -t nat -A PREROUTING -p tcp -d xx.xx.xx.189 –dport $port -j […]
我正在研究一些iptables防火墙规则,并且看到了许多例子,这些例子说明阻止来自不可路由的IP地址空间的可能的stream量的重要性。 这将包括来自RFC 1918,RFC 1700,RFC 5735,RFC 3927,RFC 3068,RFC 2544,RFC 5737,RFC 3171和RFC 919的项目。一些示例包括以下内容: $ CURRENT_IP 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255 一些例子表明,如果它是stream量的来源,你只需要担心检查这个stream量。 例子: $IPT -A ANTISPOOF -s 0.0.0.0/8 -m limit –limit 5/min –limit-burst 5 -j LOG –log-prefix "Denied Spoofed Source IP Address: " $IPT -A ANTISPOOF -s 0.0.0.0/8 […]
在Linux上,我可以通过添加iptables -j REDIRECT命令来创build透明代理。 令我惊讶的是,我需要支持IPv6。 够简单吧? iptables6 -j REDIRECT 命令不支持!? 显然,Linux在IPv6上抛出了NAT(以及对它的透明代理支持)。 我不关心IPv6上的NAT。 那么人们如何获得一个在IPv6上工作的squid透明代理呢? 以Linux为主机。
是否丢弃所有FORWARD包? 他们用于什么? 我为什么要阻止他们或让他们打开? (我完全理解INPUT和OUTPUT)
服务器: Ubuntu服务器10.04 LTS 我有我的iptableslocking,所以只有ssh和http通信被允许在我试图隧道sql示例: ssh -L 3306:127.0.0.1:3306 [email protected]它工作正常,如果我将我的INPUT设置为允许,但作为你可以看到下面的设置,以便我的端口被阻塞。 我认为它只是我需要添加的一个规则,但我发现在谷歌上的一切都失败了。 想法? iptables.up.rules *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [57:4388] -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p tcp […]
我可以运行iptables的保存和转储输出到标准输出,但如果我redirect到一个文件 – 文件是空的: [root@nhd-vlx2 tmp]# iptables-save # Generated by iptables-save v1.4.7 on Sun Dec 18 15:11:42 2011 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [90971:17757587] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state –state NEW […]
我对Linux很陌生,使用iptables 。 这是我想要完成的: 我有一个ASP.net客户端与Linux上的Web逻辑托pipe的Web服务交谈。 通信是通过SSL。 我正在尝试使用iptables完成只是阻止回应客户端。 因此,客户端进行Web服务调用,Web服务处理请求并回复给客户端。 我希望Web服务接收请求,但阻止其回应给客户端。 我所做的testing目的是刷新iptables所有规则。 我在INPUT , OUTPUT和FORWARD链上为ACCEPT创build了默认策略。 接下来,我在OUTPUT链中添加了一条规则来DROP具有客户端源IP的任何东西。 iptables -A OUTPUT -s client_ip_address -j DROP 显然,这没有什么区别。 我可以从客户端调用Web服务,并仍然收到响应。 任何帮助表示赞赏?
我有一个Radius服务器在VLAN上执行Mac Auth。 如果MAC地址不在允许的表中,则将用户放入单独的VLAN中。 我想在这个单独的VLAN上做什么,是让我的Debian服务器通过DHCP服务器发出IP。 我需要帮助的是:如何使用iptables将客户端的所有访问redirect到我的网页? 我想为网页提供服务,以便他们可以注册他们的设备。 我有一个DHCP设置工作以及Apache,我似乎无法让iptablesredirect这个stream量。
我有一台服务器在端口50000上运行UDP服务器。此服务器接收来自客户端的更新,并将客户端每5秒钟ping回它们连接的套接字。 现在我想通过另一台服务器redirect到和来自这个UDP服务器的所有stream量。 基本上我想在这个服务器前面设置一个透明代理。 原因是我想能够轻松地控制哪个服务器处理UDP通信,而不需要更改DNS设置。 起初我试着用socat来创build这个代理: socat UDP-LISTEN:50000,fork UDP:myserver:50000 但是,这似乎适用于传入stream量,但是从我的服务器返回到客户端的stream量不能到达目的地。 此外,似乎socat为每个连接分配了另一个进程,所以当客户端断开/切换IP时,最终可能会有太多的进程和死进程。 我意识到,我可以使用iptables的NATfunction,但它似乎并没有为我工作。 我试过的configuration是: sudo iptables -t nat -A PREROUTING -p udp –dport 50000 -j DNAT –to-destination myserver:50000 但它似乎并没有工作 – 我甚至没有看到我的服务器上的连接。 我不确定是由于configuration错误还是由于其他问题。 一些问题: 我需要以某种方式重新启动iptables,一旦我添加natconfiguration? 我是否需要允许stream量到达端口或NAT设置是否足够? 更新:实际处理stream量的服务器是在一个不同的机器上,而我试图设置iptables。