我有一些问题的networking客户端发送数据太快。 我想慢下来,使用iptables,或者可能tc。 我见过的iptables解决scheme如: sudo iptables -A INPUT -m state –state RELATED,ESTABLISHED -m limit –limit 50/second –limit-burst 50 -j ACCEPT 但我认为限制适用于符合规则的所有内容,而不是每个客户的地址。 有没有办法使这个规则限制每个客户端地址的数据包?
我有一台Linux机器上运行的OpenVPN。 VPN服务器具有公共IP地址(xxxx),VPN客户端在10.8.0.0 \ 24的“tun”设备上分配地址。 我有一个IP地址规则NAT伪装10.8.0.0 \ 24公共IP地址。 为了让VPN服务器运行,我必须启用IP转发(所以我设置net.ipv4.conf.default.forwarding = 1)。 换句话说,这正是OpenVPN教程所要做的,没有花哨的技巧。 这一切工作,但我担心启用转发部分。 我认为机器现在将把数据包从任何IP地址转发到任何IP地址,这看起来不合适。 由于它具有可公开访问的IP,所以这一点尤其糟糕。 是否有任何防火墙规则build议来限制不需要的转发行为? 我想任何答案都是FORWARD链中的一个或多个IPTables规则,但这是我卡住的地方。 谢谢!
你如何阻止在X端口新的传入TCP连接? 需要用iptables来完成。 我实际上有一个iptables命令,但是即使ip_conntrack_max设置的很高,我们也总是到达ip_conntrack_max。 有没有办法做到不跟踪?
我们在Debian Lenny系统上使用iptables运行防火墙。 我只向你展示我们防火墙的相关条目。 Chain INPUT (policy DROP 0 packets, 0 bytes) target prot opt in out source destination ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW Chain OUTPUT (policy DROP 0 packets, 0 bytes) target prot […]
我在我们的iptablesconfiguration文件/ etc / sysconfig / iptables中有以下规则 -A INPUT -s 84.23.99.97 -j DROP 而当我做iptables – 列表我得到以下 Chain INPUT (policy ACCEPT) target prot opt source destination DROP all — 84.23.99.97 anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 但是,如果我做了一个tcpdump,我仍然可以看到这个ip的所有stream量,为什么? tcpdump -ttttn tcp port 1234 | grep […]
我有以下设置: NTP 10.21.3.169 | | 10.21.3.160 (eth1) Linux 10.0.0.67 (eth0) | | 10.0.0.65 (pcn1) OpenBSD 这个想法是允许OpenBSD盒子上的NTPD客户端(不是OpenNTP)通过使用OpenBSD盒子上的端口转发和Linux盒子上的iptables从NTP服务器获得时间。 我处于以下情况的阶段: OpenBSD盒子的pf.conf已经正确设置了,当我运行ntpd -d -s时,在Linux框上运行tcpdump udp显示了来自 OpenBSD盒子的正确stream量 Linux的iptablesconfiguration已经正确设置,在OpenBSD上运行ntpd -d -s ,在NTP服务器上使用tcpdump udp显示stream量 但是没有任何东西可以回来 – 在任何一台机器上都没有交通。 我在Linux机器上使用的iptables规则是: iptables -A PREROUTING -t nat -i eth0 -p udp –dport 123 -j DNAT –to-destination 10.21.3.169:123 iptables -A FORWARD -t filter -p udp -d 10.21.3.169 […]
即时尝试configuration防火墙。 它必须有networking接口eth0(lan)和eth1(wan)。 allow-hotplug eth1 auto eth1 iface eth1 inet static address 192.168.2.2 gateway 192.168.2.1 netmask 255.255.255.0 allow-hotplug eth0 auto eth0 iface eth0 inet static address 192.168.16.6 netmask 255.255.255.0 network 192.168.16.0 broadcast 192.168.0.255 在eth1后面是一个给我一个dynamicip的路由器。 我在同一台机器上,有一个networking代理。 实际上,局域网上的计算机只能使用代理访问networking。 现在,我需要局域网中的机器通过互联网访问SMTP和POP3服务器。 所以我需要NAT,但只是端口25和110.我不想nat其他端口。 你能帮我一步一步configurationiptables(即时通讯真的noob在iptables)? 问候
我有一个有两个网卡的服务器,我只想在eth1上打开那些正在使用的端口。 题 我如何让tcpdump告诉我在eth1上访问的端口号?
我们想阻止对SSH的所有访问,除了两个IP地址。 一个地址是dynamic的,它始于124.567.890.xxx,其中xxx一直在变化。 我读过,你可以通过更改/etc/hosts.allow来做到这一点? 我们应该怎么做?
我有一个只与美国访问者有关的网站,并希望阻止所有非美国访问者访问该网站。 如果我有一个美国IP块的CIDR列表,最好的办法是用iptables来做到这一点?