我正在尝试使用iptables旋转传出IP。 我想要一个接一个地在三个IP之间旋转传出连接。 这是我正在做的iptables: root@server:~# iptables -t nat -I POSTROUTING -m state –state NEW -p tcp –dport 80 -o eth0 -m statistic –mode nth –every 3 –packet 0 -j SNAT –to-source XXX.XXX.XXX.133 root@server:~# iptables -t nat -I POSTROUTING -m state –state NEW -p tcp –dport 80 -o eth0 -m statistic –mode nth –every 3 –packet 0 […]
我已经买了一个512MB的VPS DigitalOcean。 目前,我使用Firewalld来允许/拒绝访问某些端口(可能22,80,443是开放的)。 它使用大约25-30MB的内存。 编辑:不要忘记,我只有489MB的可用内存,其中50MB已被使用。 所以如果我改用其他轻量级的select,我可能会节省15-20MB。 那么,真的有必要使用Firewalld吗? 或者我可以使用类似iptables的东西(我从来没有使用它之前顺便说一句)。 两者有什么大的区别? 如何configurationiptablesclosures端口22,80,443以外的所有端口? 我问,因为我甚至不得不考虑服务器的安全性。 因为不能牺牲服务器安全性来节省less量的MB。 我读过这个线程 ,它说 如果可能的话,你应该使用新的firewalld系统
什么是阻止访问8-10k IP地址的最有效的方法是什么? 我的服务器在Debian上运行EngineX。 如果可能的话,我想显示所有的地址内部服务器错误(500)。 IP是分散的,不属于任何特定的子集。
在这个问题中,我看到一个这样的行,可以让我说“允许这些IP地址连接” iptables -A INPUT -m iprange –src-range 10.50.10.20-80 -j ACCEPT 现在,我想进一步确保这个规则只适用于特定的端口。 我一直在使用像这样的命令我的常规端口: iptables -A INPUT -p tcp –dport 80 -j ACCEPT 我可以把这两个结合起来,使一个特定的端口只允许一个范围,就像这样 iptables -A INPUT -m iprange –src-range 10.50.10.20-80 –dport 12345 -j ACCEPT 显然,我很犹豫,只是使iptables的电话。 :) 谢谢!
可能重复: 不明白[0:0] iptable语法 iptable-save命令给出如下输出的内容 *filter :INPUT DROP [45:2658] :FORWARD DROP [0:0] :OUTPUT ACCEPT [78:4056] :ufw-after-forward – [0:0] 数字范围在方括号中的含义是什么? 像[45:2658]
我将我的默认iptables OUTPUT链设置为DROP数据包。 然后,我创build了一个防火墙规则,只允许ntp用户发送ntp数据包: iptables -A OUTPUT -m owner –uid-owner ntp -p udp –dport 123 -j ACCEPT 但是,每隔10-20分钟我就会看到: ntpd[27769]: sendto(<snip>) (fd=22): Operation not permitted 然后,我删除规则的-m owner –uid-owner ntp部分,并在其之前添加了一条日志规则: iptables -A OUTPUT -p udp –dport 123 -j LOG –log-level debug \ –log-prefix "Spotted a NTP packet: " –log-uid ntpd再次开始工作,并在内核环缓冲区,我看到: Spotted a NTP packet: <snip> PROTO=UDP SPT=123 DPT=123 […]
这两者之间有什么不同?或者它们本质上是一回事? iptables -t filter -A FORWARD -s $EXTERNALNET -d $INTERNALNET -p tcp –dport 22 -j ACCEPT iptables -t filter -A FORWARD -s $INTERNALNET -d $EXTERNALNET -p tcp –sport 22 -j ACCEPT
我写了我的第一个IPtables规则文件,试图保护我的服务器除了SSH和Web所需的端口之外的所有端口。 这是我所想到的: i=/sbin/iptables # Flush all rules $i -F $i -X # Setup default filter policy $i -P INPUT DROP $i -P OUTPUT DROP $i -P FORWARD DROP # Allow unlimited traffic on loopback $i -A INPUT -i lo -j ACCEPT $i -A OUTPUT -o lo -j ACCEPT # Open up ports for nginx $i […]
RHEL7 / CentOS7提供了一个新的firewalld服务,取代了iptables service (两者都使用iptables工具与内核的Netfilter进行交互)。 firewalld可以很容易地调整,以阻止传入的stream量,但正如1, 5年前的Thomas Woerner所指出的那样,“目前以简单的方式限制输出stream量在Firewalld中是不可能的”。 而且据我所知,从那以后情况一直没有改变。 还是有呢? 有没有办法阻止外出stream量与firewalld ? 如果没有,除了通过iptables工具手动添加规则外,还有其他“标准”方式(在RHEL7发行版上)阻止传出stream量?
我对iptables相当iptables 。 下面的图片显示了根据我目前的理解评估链条的顺序。 如果这种印象是错误的,请让我知道。 我的问题是,在我添加这样的一个自定义链放置在以下diagramm在哪里? sudo iptables -N MYCHAIN 我知道该命令在filter表中创build了一个新链,但我不确定这是什么意思。 在其他连锁店的规则之前或之后是否对MYCHAIN规则进行评估?