当我尝试使用地址\\ REPO ( REPO的 NETBIOS名称)连接到我的CentOS 6.2 x86_64服务器的samba共享时,超时并显示错误; 如果我通过IP直接这样做,它工作正常 。 此外,尽pipe我的samba设置正确,我的服务器仍然无法正常工作(参见下面的详细信息)。 如果我停止iptables服务,事情工作正常。 我使用这个页面作为使用哪个端口的参考: http : //www.samba.org/samba/docs/server_security.html 特别: UDP/137 – used by nmbd UDP/138 – used by nmbd TCP/139 – used by smbd TCP/445 – used by smbd 我真的很想保持下面的安全iptablesdevise,但只是解决这个问题。 smb.conf文件 [global] netbios name = REPO workgroup = AWESOME security = user encrypt passwords = yes # Use […]
我有一个简单的input规则为iptableslogging任何新的连接到日志文件。 –log-tcp-options和–log-ip-options标志都被设置,我得到相应的OPT输出。 我的日志的一行看起来像这样: 11月29日17:00:00 IN = venet0 OUT = MAC = SRC = xxxx DST = xxxx LEN = 64 TOS = 0x00 PREC = 0x00 TTL = 53 ID = 37898 DF PROTO = TCP SPT = 57755 DPT = 8888 WINDOW = 65535 RES = 0x00 SYN URGP = 0 OPT(0204057D010303010101080A3E521D4D0000000004020000) 我想了解如何解释OPTstring(粗体)。 是否有一些文件可用于它的实际意义? […]
现在我想为iptablesdynamic加载一个ip列表文件,ip列表文件是accept主机,默认是drop。 例, iptables -A INPUT -p tcp –dport 1111 -s 2.2.2.2 -j ACCEPT iptables -A INPUT -p tcp –dport 1111 -j DROP iptables -A INPUT -j ACCEPT 我的意思是打开一个端口,但IP列表是dynamic的,我是否可以像下面这样做, iptables -A INPUT -p tcp –dport 1111 -s ip-list-file -j ACCEPT iptables -A INPUT -p tcp –dport 1111 -j DROP iptables -A INPUT -j ACCEPT ip-list-file: 2.2.2.2 […]
我们有一个相当复杂的iptables / ipchainsconfiguration,由APF生成。 到端口80的stream量应该被阻止,但是我们的Apache日志显示有人能够探测网页: [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:) [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/phpMyAdmin [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/phpmyadmin 有没有办法在iptables中模拟源IP来debugging为什么50.57.125.169数据包没有被阻塞? -C | –check -C | –check选项似乎只报告是否存在明确匹配IP的规则,但是我想要做的是( 伪代码 ) myserver% iptables –test […]
我正在configuration我的iptables 。 OUTPUT的策略是ACCEPT 。 尽pipeINPUT是DROP 。 我想知道我需要在INPUT上打开什么,以便我可以接收外出stream量(自动或手动,即wget )的响应,而不会让我容易受到ddos攻击。 我在想些什么 iptables -A INPUT -p tcp –dport 80 –state ESTABLISHED -j ACCEPT 感谢您的任何意见!
我们目前有几台服务器都使用同一个局域网: Host1: eth0 10.0.0.1/24 Host2: eth0 10.0.0.2/24 Host3: eth0 10.0.0.3/24 Gateway: 10.0.0.254 我们想在这些服务器上运行一些虚拟机(VirtualBox)。 我们可以将它们设置为桥接到主机的eth0上,但是我们不能使用10.0.0.0/24范围内的地址,因为它们可能在将来被分配。 所以我们认为我们会使用一个不同的子网: Host1VM: eth0 192.168.0.1/24 (bridge to host eth0) Host2VM: eth0 192.168.0.2/24 (bridge to host eth0) Host3VM: eth0 192.168.0.3/24 (bridge to host eth0) 这很好,所有的虚拟机都可以互相通信,因为它们使用相同的物理接口在同一个子网上。 我们面临的问题是我们需要通过10.0.0.254网关让这些虚拟机访问互联网。 所以我们计算了为什么不select其中一个主机,并将其用作路由器/ NAT? Host1: eth0 10.0.0.1/24, eth0:0 192.168.0.254/24 现在我们可以给虚拟机一个192.168.0.254的网关。 然后我们看到的问题是,Host1似乎没有正确的NAT。 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o […]
是否有可能将cgroup限制到特定的networking接口? 所有来自cgroup的数据包只能通过VPN连接进行路由,而其他数据包使用默认路由。 使用unix用户可以使用iptables“-m owner –set-mark”,然后使用“ip rule”进行路由。 可以匹配一个cgroup吗? iptables似乎不支持这个。
我正在尝试使用Squid和iptables在RHEL Server 6.5上configuration代理服务器。 以下是我执行的命令和显示的错误消息: vzlptest01 root [root] > iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables: No chain/target/match by that name. 一些更多细节: vzlptest01 root [root] > cat /proc/net/ip_tables_matches limit state length ttl tcpmss multiport multiport tos tos dscp icmp udplite udp tcp vzlptest01 root [root] > cat /proc/net/ip_tables_targets DNAT SNAT LOG […]
我试图从我们的产品中删除路由器,并使用iptablesreplace所有function。 系统需要执行一般的stream量控制以及将数据转发到局域网后面的特定服务器。 当前设置是 – eth0 – 外部 eth1 – 内部 eth2 – 内部 eth3 – 内部 eth0通过DHCP获取IP。 eth1,eth2和eth3构成一个具有10.0.1.1静态地址的网桥(br0)的一部分。 有一个服务器坐在10.0.1.2谁需要服务器的HTTP和MySQLstream量。 无法保证将服务器插入(eth1 / 2/3)但IP是静态的。 我试图设置iptables规则,这似乎很容易跟随只有一个eth设备,但是当需要转发的时候,我被捆绑在一起。 这是我迄今为止所尝试的: # clear and flush everything iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -t raw -F iptables -t […]
环境:* CentOS 6.5 * Fail2Ban 0.8.14-1 *date输出正确的date 行为:Fail2ban成功启动,但在SSHlogin尝试失败后不会创buildiptables块。 我现在只关心SSH。 我试图重新安装使用本指南: https : //www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6 Fail2Ban曾经工作 – 但通过系统更新,似乎已停止工作。 如果我跑 sudo service fail2ban restart 我收到一封电子邮件,说监狱已经停了,另一封电子邮件说监狱已经开始了,所以看起来fail2ban正在运行并且function正常。 我的/etc/fail2ban/jail.local文件包含条目: [ssh-iptables] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"] logpath = /var/log/secure maxretry = 5 我的IP地址没有在ignoreip delcaration中列出。 我使用的是600的标准禁用时间,600的发现时间,以及3的最大时间。 当我看着/ var / log / secure时,我看到很多失败的尝试: Sep […]