我想基本上丢弃所有的数据包,但仍然允许端口22,80和52533.目前,这个防火墙不允许ping,或者我使用yum update 。 我如何添加? 另外,有没有更简单的方法来打开端口80? 目前的规则似乎有点冗长。 #!/bin/sh # # Flush all current rules from iptables # iptables -F iptables -t nat -F # # Allow SSH connections on tcp port 22 # iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT # […]
我遇到了限制从唯一的IP地址连接到SSH的问题。 我尝试了以下规则来限制在100秒内超过3次login到SSH的IP地址,但它没有工作。 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A LOGDROP -m limit –limit 4/minute –limit-burst 3 -j LOG –log-prefix "LOGDROP: " –log-level info -A LOGDROP -j DROP -A INPUT -s 192.168.1.12/32 -p tcp –dport 22 -m state –state NEW -m recent –set -A INPUT -s 192.168.1.12/32 -p tcp –dport 22 -m […]
一直试图运行 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0:0 -j MASQUERADE 我不断收到上述错误信息。 尝试在我的服务器上设置openvpn。 有没有人有任何想法如何解决这个问题?
我已经被https://bugzilla.redhat.com/show_bug.cgi?id=493226 (重启iptables忽略了/etc/sysctl.conf中的值)的bug所击中。 这个bug在不久前已经被RH修复了。 自RH修复这个bug以来,服务器已经多次运行yum update。 最近一段时间,yum说一切都被更新了。 然而,显然不是这样,因为当我重新启动iptables时,net.ipv4.netfilter.ip_conntrack_tcp_be_liberal的值被设置为0,忽略了/etc/sysctl.conf中的内容 该错误的解决scheme是应用修补/etc/rc.d/init.d/iptables和/ etc / sysconfig / iptables-config的修补程序。 我已经尝试过这个补丁,它确实解决了这个问题 不过,我想让百胜解决这个问题,所以我恢复了有问题的文件。 我试过yum更新和yum安装iptables(该包提供了两个有问题的文件),但它不能解决问题。 我能做些什么来让yum从iptables包中安装正确的文件? 提前致谢。
我试图用Android示例ToyVpnServer在EC2(Ubuntu 12.04)上设置一个简单的VPN服务器。 其指示: // There are several ways to play with this program. Here we just give an // example for the simplest scenario. Let us say that a Linux box has a // public IPv4 address on eth0. Please try the following steps and adjust // the parameters when necessary. // // # Enable […]
我有一个主机( A )与lxc容器( B )。 A本地IP地址是10.0.3.1和公共IP,比如说1.2.3.4。 B的本地IP地址是10.0.3.21。 我需要1.2.3.4:7999被转发到10.0.3.1:7999,我创build了以下规则: iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 –dport 7999 -j DNAT –to 10.0.3.21:7999 iptables -A FORWARD -p tcp -d 10.0.3.21 –dport 7999 -j ACCEPT 当我从外界连接到A (1.2.3.4:7999)时,我连接成功。 但是当我尝试从A连接到B (连接超时)时,我正在下降。 我应该创build哪些规则以便能够从10.0.3.1连接到1.2.3.4:7999?
我有一台Ubuntu机器作为防火墙运行。 这台机器有我们在eth1上configuration的静态IP。 它通过eth0连接到我们的networking。 我有一台运行Server2012的新服务器安装了IIS。 这是一个共享点服务器。 我需要通过域名访问互联网和本地networking的Sharepoint服务器。 即“awesomebox.net” 什么是IPTables规则我需要做到这一点? 我在哪里: 我有一个规则在NAT表redirect传入的请求到我们的SharePoint服务器。 它在我们的build筑外面工作。 当我尝试从我们的大楼内部访问它时,我在本地防火墙上得到了apache服务器。 sudo iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to 10.100.XX.XX:80 sudo iptables -A FORWARD -i eth1 -p tcp –dport 80 -d 10.100.XX.XX -j ACCEPT sudo iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j […]
这是我的。 双归属FreePBX盒子。 一切都像一个冠军。 eth0是外部的。 eth1是内部的。 SIP提供程序在216.234.xx 我试图configurationiptables来允许从eth1和lo的一切。 但是只允许来自216.234.xx的stream量 这里是我添加的当前的iptables规则。 -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -s 216.234.xx/32 -j ACCEPT -A OUTPUT -j ACCEPT 只要我打开input… iptables -A INPUT -i eth0 – j DROP 入站audio停止工作。 然后,当我删除该规则,它再次运作。 我不知所措 谢谢,
我必须在Open DNS服务器上pipe理一台服务器。 最近,它被严重滥用ddos dns放大攻击未知的互联网攻击者。 这种DNS服务被某些本地主机程序和内部网客户端所使用,我并不完全明白,这就是为什么我怕任何重新configuration到DNS服务本身。 不过,我认为如果我拒绝来自外部互联网的所有DNS请求,它可能会解决我的问题。 我的问题是: 1)如何使用iptables拒绝来自外部networking的所有DNS请求,使localhost和intranet(IP:10.0.0.X和10.0.1.X)保持不变? 2)不会伤害内部networking的DNS服务的可用性吗? 3)它不会损害服务器上的其他互联网服务(网页+邮件+数据库)的可用性吗? 我们网站上目前使用的所有域名都由其他服务器上的其他公司pipe理,据我所知,外部互联网用户不需要访问我们的DNS服务。 谢谢。
我的问题是关于多播和iptables 。 我希望允许来自本地VLAN 192.168.1.0/24以及CentOS机器上的0.0.0.0 ICMP和IGMP组播,所以我在入站链上添加了以下规则: #ACCEPT – 来自当前VLAN的组播224.0.0.1以及0.0.0.0 # – ICMP iptables -A IP-INPUT -s 192.168.1.0/24 -d 224.0.0.1 -m pkttype -pkt-type multicast -protocol icmp -j ACCEPT iptables -A IP-INPUT -s 0.0.0.0 -d 224.0.0.1 -m pkttype -pkt-type multicast -protocol icmp -j ACCEPT # – IGMP iptables -A IP-INPUT -s 192.168.1.0/24 -d 224.0.0.1 -m pkttype -pkt-type multicast […]