我对所有那些在网站上运行的muieblackcat和类似的脚本感到无聊。 一旦访问example.com/muieblackcat ,我可以自动阻止一个IP地址(例如iptables )吗? 这是在Linux上,与Apache。
您好我正在运行的障碍破坏者版本的OpenWRT,我已经build立一个VPN根据: http ://wiki.openwrt.org/inbox/strongswan.howto我可以连接到我的iPhone或Mac的VPN(到10.10.1.0 / 24networking)。 我也可以从Windows 7连接。使用DHCP成功地将IP分配给客户端。 一旦连接,我无法访问networking上的任何东西。 /etc/firewall.user包含: # This file is interpreted as shell script. # Put your custom iptables rules here, they will # be executed with each firewall (re-)start. iptables -I INPUT -m policy –dir in –pol ipsec –proto esp -j ACCEPT iptables -I FORWARD -m policy –dir in –pol ipsec […]
亲爱的Serverfault社区, 我有以下问题:如果在数据包数据中遇到某个string,我需要立即重置(断开)两个networking端的tcp连接。 我没有控制双方的应用程序,只能使用Linux的iptables(或类似的工具)做连接中止。 我的第一个想法是使用下面的iptables规则来实现我正在寻找的东西: /usr/sbin/iptables -A INPUT -p tcp –dport 1234 -m string –algo bm –string 'BAD STRING' -j REJECT –reject-with tcp-reset 这在远程方面完美地工作,发送一个TCP RST数据包给客户端,因此会立即断开连接。 不幸的是,本地方不会被强制断开连接和服务器进程(连接)通知永远挂起。 我认为要求在一定条件下立即断开双方已经build立的连接(这种情况下,IP包中的string匹配)并不是非常不寻常的。 所以我做了一个谷歌search,但令我惊讶的是在合理的时间内找不到任何可用的东西。 有没有办法使用iptables实现networking两端的tcp断开连接? 如果没有,我可以使用哪些其他工具(请记住,我无法控制客户机/服务器应用程序)? 非常感谢您的宝贵答案! 最好的祝福, 延
编辑: 如何寻求解决scheme的冲动有时足以缓慢而稳定地引导人们寻求解决scheme,这是令人惊讶的。 而且,为了澄清这个问题,我越来越多地重读我的问题,我意识到这个“问题”超出了“简单”问题的范围,或者是让这个社区回答问题的想法。 随着我越来越了解iptables的操作概念,我将在接下来的几个小时内重新解释这个问题的结构。 理解的过程也产生了一些更具体的问题,我将很快提供给这个社区,并链接到这个问题。 简而言之,我的问题是要find一组正确的规则: 我自己的规则 的fail2ban 其他DNS黑名单一起工作,而“我的规则”也意味着要么我的国家列入白名单,因此阻止所有其他国家的SSH, 但允许所有国家/范围/ IP的DNS查询,除了一套列入黑名单。 数字: 为ssh:白名单50范围或黑名单约。 620.000个范围(通过ipdeny.com等组成) dns的黑名单条目:约。 140(一组u32规则 , 脚本 ) 25 +/-额外服务的规则(见下文) 歌词版本:我正在努力为我的需求实施解决scheme:scheme如下。 我有一个(现在假设DNS)服务器。 除了绑定ssh,sendmail,https和munin需要考虑到: 这一般很容易实现。 另外我fail2ban被安装,因为我面临来自世界各地的一些(四)DOS攻击。 我的主要目标是尽可能locking服务器。 我的想法是只将我国的一些IP地址列入白名单,这些地址匹配我可以访问的ISP的可能的dynamicDNS分配 – 即DSL和移动。 那样我就不会把自己锁在外面 我查了我的ISP的所有networking范围,导致我的下面的脚本/规则集: #ports: # 22: SSH (#4,#5) (ssh) # 25: SMTP (#20) (outgoing, sendmail for f2b report) # 53: DNS (!!#16!! see end of #16 […]
我有CentOS 7,Plesk 12,8GB内存VPS。 我在IPtables中有大约1000条规则来阻止滥用用户。 但重新加载IPtables时,需要15秒钟才能重新加载所有1000条规则。 首先,如果有1000条规则,在15秒内重新加载IPtables是否是预期的结果? 这对我来说有点慢。 公平的说,我的服务器空闲,其他任何事情都运行得非常快。 这是我的服务器configuration错误还是正常? 所以我想安装IPset,但它不适用于我的VPS,因为它使用OpenVZ。 IPset不可用于OpenVZ。 除IPset之外,还有什么其他替代方法可以减lessIPtables规则?
我正在尝试使用本指南在TomatoUSB上启用多个IP。 我们的防火墙规则需要NAT,并允许1to1到两个服务器。 /usr/sbin/ip addr add 208.xx133/30 dev vlan1 /usr/sbin/ip addr add 208.xx132/30 dev vlan1 /usr/sbin/iptables -t nat -I PREROUTING -d 208.xx133 -j DNAT –to-destination 192.168.7.100 /usr/sbin/iptables -t nat -I PREROUTING -d 208.xx132 -j DNAT –to-destination 192.168.7.130 /usr/sbin/iptables -I FORWARD -p tcp -d 192.168.7.130 –dport 25 -j ACCEPT /usr/sbin/iptables -I FORWARD -p tcp -d 192.168.7.101 –dport […]
我一直在尝试使用CentOS 6.x创build一个LVS DNS HA: 食人鱼GUI来configurationDNS Pulse是CentOS LB的HA心脏 由于DNS使用TCP和UDP 53,IPTables在数据包上configuration标记 几天后,我发现我不知道如何使它工作 – 我希望有人有lvs.cf文件可用,以及所有必要的iptables规则。 或者,如果有人已经使用了一些其他的OpenSource&Free软件,允许做DNS LB(不是圆的DNS DNSlogging – 这不是这个练习的目的)。 如果有人成功地在LVS下使用了两台或更多的真实服务器在域名服务器上工作,我将不胜感激,如果可以发布configuration: lvs.cf iptables规则放置 我主要是寻找直接服务器返回或NAT – 任何解决scheme将为我工作。 先谢谢你。 吉姆。
我试图在具有两个网关的Linux路由器上负载均衡来自内部局域网的stream量。 最初我去iproute执行没有按预期平衡负载,原因是路由被caching。 现在我正在使用iptables来标记使用CONNMARK的每个新连接,然后添加规则以通过不同的网关路由这些标记的连接。 Eth0 – LAN,Eth1 – ISP1,Eth2 – ISP2 以下是我正在使用的脚本, #!/bin/bash echo 1 >| /proc/sys/net/ipv4/ip_forward echo 0 >| /proc/sys/net/ipv4/conf/all/rp_filter # flush all iptables entries iptables -t filter -F iptables -t filter -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -t filter -P INPUT ACCEPT […]
我有特定的iptables数据包丢弃启用日志logging。 我使用的规则只是IP /端口相关,这是我可以很容易地在日志中看到,但偶尔我也会loggingMAC地址信息。 喜欢: “…. OUT = eth1 IN = MAC = 00:26:a9:7b:c9:30:00:17:0f:ac:6a:80:08:00”… 这些mac地址相关的日志是零星的。 我注意到了什么: 这些丢失/ mac-logged通信总是入站 logging的源MAC地址是我的默认网关(服务提供商)之一,尽pipe源IP不同。 目的地mac(显而易见的是确认)是我的界面之一 我想了解的是: 什么是iptables的逻辑,当决定捕获日志“MAC地址+ IP /端口”,而不是“IP /端口”只。
我有一个服务器在以下configuration中运行多个docker容器: 其中一个容器是绑定到其他容器的暴露端口的反向代理。 这是在http端口80上唯一接受来自外部世界的连接的容器 所有其他容器都是运行tty shell的开发环境。 这些端口暴露在主机上,但由于主机上的EC2安全组configuration,这些端口不会暴露在外部。 所以与他们沟通的唯一方法是通过反向代理。 反向代理通过其暴露的端口与他们进行通信。 NB我不能在这里使用容器链接,因为我不想用每个新的开发容器重新启动反向代理容器。 | DEV Env Docker | / OUTSIDE WORLD <—–|——> REVERSE PROXY DOCKER – DEV Env Docker | \ | DEV Env Docker 这个想法是,用户可以通过反向代理访问开发容器,并在该容器内运行命令。 我想阻止用户运行命令连接到外部世界白名单,他们可以连接到域。 我已经安装了squid3,并通过在configuration文件中添加以下几行来设置一个白名单: acl whitelist dstdomain "/etc/squid3/whitelist.txt" http_access allow whitelist 我还设法使用以下iptables命令将stream量从docker容器redirect到squid iptables -t nat -A PREROUTING -i docker0 -p tcp -d 0/0 -j REDIRECT […]