我想使用iptables在我的系统中添加白名单。 所以我search了networking,发现这个: iptables -I INPUT -s 10.0.0.0/8 -j ACCEPT iptables -I INPUT -s 127.0.0.1/8 -j ACCEPT iptables -I INPUT -s 192.168.0.0/16 -j ACCEPT iptables -P INPUT DROP 它真的有用。 所以我消防iptable -F删除所有规则,然后我无法连接到此服务器了。 怎么了? 什么是删除所有规则的正确方法?
如何使用目标IP的[!]选项? 我正在尝试将出站WAN DNSstream量redirect到我的sinkhole,但我无法使-destination [!]选项正常工作。 例如: iptables -A OUTPUT -d ! 134.134.134.134 -j ACCEPT 收益: Bad argument `134.134.134.134' 我没有丝毫的线索,我的语法有什么问题。
在很多例子中,我看到以下两个连续的命令: iptables -F iptables -X 从手册页,我无法弄清楚刷新和删除之间的区别。 这两者有什么区别?
我有一个VPN,我的服务器频繁地发送数据到私人IP地址,通过VPN路由。 当OpenVPNbuild立或死亡,它启用/禁用路由。 我想通过主要的Internet接口(eth0)将这个私有IP地址范围设置为空路由。 有没有一种简单的方法来做到这一点,而不会干扰来自VPN软件的路由命令? iptables不会这样做。 我试过了 iptables -A OUTPUT -i eth0 -p tcp -d 192.168.0.0/16 -j REJECT 但是在输出链中指定接口时,iptables不起作用。 任何人都知道是否有一种方法可以将虚拟路由添加到特定的接口(eth0),而不会干扰可能使用该路由的其他接口? Ps-我知道192.168.0.0/16不是INTERNET可路由的,但是出于安全原因,要确保没有数据在罕见的机会中被其他本地服务器或networking设备开始监听私有子网。
我需要在一行中列出所有的192.168.1.X ips。 请问192.168.1。*工作吗? iptables -A INPUT -p tcp –dport 22 -s 192.168.0.*/24 -j ACCEPT 是我想知道的。 这不是一个路由器,而是一台电脑(Debian Jessie,x64)
我有一个运行pleks的web服务器,每天都受到很多攻击。 我configuration了一个防火墙,并且有一些预定义的服务,如www和ftp等。 我计划阻止除了www端口和PLESK端口以外的所有端口。 当我需要ftp或ssh访问时,例如我将打开PLESK中的端口,然后开始工作。 这是一件好事情,或者有这样做的一些缺点。 有一些端口我不确定,如SMTP,POP3,IMAP,DNS。 我可以closures这些端口吗?还是不需要这样做。
Google通过iptables / netfilter向我展示了PPTP / GRE NAT的一些回报,这将允许多个连接。 但是,我没有find使用这个允许这个pptp帮助器模块的例子。 任何人之前做过?
我试图使用SSH端口转发Windows机器本地端口3389到一个任意的端口(在非特权区域)的红帽服务器,我已经在防火墙后面保护,然后将红帽服务器上的非特权端口转发到用户的远程桌面。 本质上创build一个高度specalized VPN只处理一个任务:使用encryption的隧道让用户到他们的系统防火墙我有控制权。 我知道几年前这是可能的使用命令: iptables -A OUTPUT -t nat –dport ${LOCAL UNPRIV PORT} \ -j DNAT ${ANOTHER SYSTEM}:${REMOTE PORT} 但是从我所读的内容看来,这个能力已经被删除了,我在/ var / log / messages中得到了这个消息 kernel: NAT: no longer support implicit source local NAT 我发现从内核2.6.X – 2.6.10中提供的资源,有一种方法可以在内核中使用IP_NF_NAT_LOCAL来启用它,但显然在更新的内核中它已被删除。 我已经尝试转发所有本地stream量,所以它将进入PREROUTING链,并且成功有限,这只是一个坏主意,因为那么我必须打开服务器上的非特权端口,以便将其反馈回eth0接口。 我肯定有更多的时间我可以找出一些奇怪的kludge或解决方法,但我宁愿不破坏我的防火墙脚本那么多。 似乎必须有一个更简单的方法来做到这一点,我没有看到。 社区可以提供的任何帮助或指导将非常有帮助! 提前致谢
我已经在Ubuntu 10.04上安装了sendmail,专门用于使用php mail()函数。 这工作正常,除非iptables正在运行(我一直在使用sendmail [email protected]来testing这个)。 我认为我已经允许SMTP和DNS(我用来testingiptables规则的脚本如下,在我的版本是我的主机名称服务器的实际IP),但没有用! iptables –flush iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j ACCEPT iptables -A INPUT -p tcp –dport 443 -j ACCEPT # Postgres iptables -A INPUT -p tcp –dport 5432 -j ACCEPT # Webmin iptables -A INPUT -p tcp –dport 10000 […]
我必须限制访问8080端口,并只允许一些IP和特定的子网。 有没有可能,请你帮忙吗? 我启用了过滤IP,但我找不到如何接受子网? sudo /sbin/iptables -N CHN_PNTS sudo /sbin/iptables -A CHN_PNTS –src 182.10.10.109 -j ACCEPT sudo /sbin/iptables -A CHN_PNTS –src 182.20.35.110 -j ACCEPT sudo /sbin/iptables -A CHN_PNTS –src 182.20.55.15 -j ACCEPT sudo /sbin/iptables -A CHN_PNTS -j DROP sudo /sbin/iptables -I INPUT -m tcp -p tcp –dport 8080 -j CHN_PNTS 我想接受的子网; 182.24.137.0/24 182.24.138.0/23 谢谢 ERDAL