我正在运行最近的Ubuntu服务器,它被设置为一个NAT路由器。 我有一个在启动时运行的iptables脚本来设置NAT,端口转发等。 我试图诊断一个与盒子无关的问题,但是/ var / log / messages,/ var / log / syslog和/var/log/kern.log都被来自iptables的消息充斥着,如下所示: Oct 21 11:25:27 skip kernel: [39380.812663] INPUT packet died: IN=eth1 OUT= MAC=00:40:63:d9:7c:5b:00:03:fa:a9:d7:4a:08:00 SRC=24.207.21.237 DST=94.192.123.123 LEN=111 TOS=0x00 PREC=0x00 TTL=54 ID=16494 PROTO=UDP SPT=48865 DPT=20663 LEN=91 我找不到任何说明如何更改iptables日志输出方式的文档。 我最想要的是将iptables的东西放到上面的任何文件中,而不是写到/ var / log / iptables中。
我不小心做到了: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to 0.0.0.0 当0.0.0.0应该是服务器的IP地址,但我忘了更换它。 我怎样才能解决这个问题?
我正在处理传输层中的某些内容,在运行我们的自定义策略以保护策略之后,我无法从linux机器上执行traceroute 。 root@keystone-evm:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere 10.222.4.212 udp dpt:echo ACCEPT udp — anywhere 10.222.4.212 udp dpt:isakmp ACCEPT udp — anywhere 10.222.4.212 udp dpt:radius ACCEPT udp — anywhere 10.222.4.212 udp dpt:ntp ACCEPT icmp — anywhere 10.222.4.212 ACCEPT udp — anywhere 10.222.4.212 udp dpt:domain ACCEPT […]
这个日志文件/var/log/kern.log包含一些IP地址,我希望系统自动禁止/阻止。 基本上,一个数据包来自UDP协议,是一个短包,那么我希望IP数据包的主机通过Fail2Ban被禁止。 03-serv:~# cat /var/log/kern.log | grep ' UDP: short packet: From ' Dec 19 16:05:12 03-serv kernel: UDP: short packet: From 74.60.6.213:1900 311/299 to xxxx:27015 Dec 19 16:05:57 03-serv kernel: UDP: short packet: From 1.215.252.130:1900 11297/286 to xxxx:27015 Dec 19 16:08:17 03-serv kernel: UDP: short packet: From 184.0.249.136:1900 363/299 to xxxx:27015 Dec 19 16:09:54 […]
是否有任何DNS代表其他人转发请求的机制? 像XFF或HTTP的“X-Forwarded-For”一样。 详细: 我有如下的networking结构: (客户端)——>(路由器)—–>(调制解调器)—-> ISP 现在,我希望router将客户端的DNS请求redirect到局域网外的远程服务器,这非常简单。 但是我也希望远程服务器知道哪个客户端发出这个DNS请求。 是否有可能只使用iptables?
所以这应该是一个简单的问题,但无论如何我无法弄清楚。 这是我目前的规则: Chain INPUT (policy ACCEPT) target prot opt source destination block all — anywhere anywhere ACCEPT all — anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination block all — anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination block all — anywhere anywhere ACCEPT all — anywhere anywhere Chain […]
我使用带有库内核的Ubuntu服务器10.04作为NAT路由器。 我使用iptables和tc做基于端口的stream量优先级。 它工作正常。 我给了http更高的优先级。 所以我的networking被YouTube和更大的http下载所淹没。 我的问题是:是否有可能使iptables识别并标记属于youtubestream或更大的文件的数据包? 我的目标是使网页浏览更快。
我试图限制可能的SSH连接到我的服务器的数量,但似乎每次都locking我。 我对iptables不是很熟悉,但是我一直在阅读我需要应用的规则来限制连接,但没有成功。 这是我的iptablesconfiguration文件: :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [28130:3096101] :RH-Firewall-1-INPUT – [0:0] :WebServices – [0:0] -A INPUT -p tcp –dport 2020 -m state –state NEW -m recent –set –name SSH -A INPUT -p tcp –dport 2020 -m state –state NEW -m recent –update –seconds 120 –hitcount 8 –rttl –name SSH -j DROP […]
我想阻止我的两台DNS服务器上的所有传入请求APART从某些IP地址,例如1.2.3.4的IP将被允许发出请求,但NOBODY否则会。 你如何使用iptables做到这一点? 非常感谢。
虚拟专用服务器的防火墙。 我正在研究如何防止FIN扫描,并让我思考后果。 很多人都在使用这个规则: -p tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP 所以当有人给我发送一个FIN = 1的数据包时,我无法发回FIN / ACK。 这似乎不大可能,但这是否意味着我build立的联系不会被阻止? 这是如何运作的 ? 我的连接是否保持活跃?如果是这样,多久? 当有人closures浏览器时,这实际上是如何工作的? 它发送一个FIN到我的服务器,我的服务器回复FIN / ACK …但浏览器无法接收,对吧? 谁得到这个数据包,它到底在哪里? 而如果…一个远程机器发送我的服务器一个SYN,我的回复是SYN / ACK,假设我没有收到ACK,我的服务器等待多长时间呢? 有没有未完成的三方握手的名字? 谢谢。