当添加iptables规则时,我无法理解connmark和mark之间的区别是什么? 如果有人解释详细的解释,我将不胜感激。
桑巴3.5 Centos 6.3上 简介:我在我的linux主机上设置了Samba,但是我的Win机器都没有看到主机名。 我的主机名(WOLTEST)不会出现在任何Winnetworking列表(例如,净视图)中。 所以,WOLTEST \ share-name是空的 我可以ping Win机器上的Linux IP地址(192.168.44.140),但我无法与\\ 192.168.44.140 \ share-name共享。 在ServerFault上有一些类似的post,但没有任何帮助。 以下是我的smb.conf的相关部分: [global] workgroup = LANGROUP server string = Samba Server Version %v security = user passdb backend = tdbsam [web] path = /volume1/web writeable = yes browseable = yes valid users = michael guest ok = yes 我也试过“赢得支持=是”,但没有帮助。 局域网上没有wins服务器。 我跑smbpasswd […]
使用IP别名Linux的一个盒子已绑定来自同一个网卡上的同一子网的多个IP地址。 所以ifconfig用eth0:1和eth0:2来显示设备eth0。 Linux如何确定用于传出IPstream量的IP源地址? 有没有一种方法来定义某些传出stream量应使用的源IP地址?
如何获得特定端口(当前)build立的TCP连接的数量? 我已经设法得到stream量工作的计数器,即对于传出的RTMP。 iptables -N $CHAIN iptables -I OUTPUT -j $CHAIN iptables -A $CHAIN -p tcp –sport 1935 iptables-save 但是现在我需要每个协议的当前(不是计数器)连接的数量 我可以得到总数:netstat -ant | grep ESTABLISHED | wc -l 谁能帮忙? 我不是一个iptables大师。
我有一个Redhat服务器( Red Hat Enterprise Linux Server release 7.2 (Maipo) ),它可以在re / boot上重置iptable规则。 根据版本6文档 ,我执行: /sbin/service iptables save 它返回: The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. 如果我正确理解这个信息,我尝试了以下几点: sudo systemctl iptables save 它返回: Unknown operation 'iptables'. 我无法find特别保存ip表的版本7文档 ,但以前的版本支持相同的命令。 我应该运行什么命令来保存iptablesconfiguration? 以供参考: 防火墙: […]
我正在寻求阻止IP地址相对自动化的方式,如果他们希望从我们的网站“屏幕抓取”的内容。 在过去,这是通过一些巧妙的perl脚本和OpenBSD的pf实现的。 pf是非常好的,你可以提供很好的IP地址表,并且可以有效地处理基于它们的阻塞。 但由于各种原因(在我之前),他们决定转用CentOS。 iptables本身并不提供阻止大量地址的能力(我被告知阻塞5000+并不罕见),而且我还是把这么多规则添加到iptable中有点谨慎。 ipt_recent对于这样做是非常棒的,而且它提供了很大的灵活性,只是严重的减慢了访问速度,但是在CentOS内核中有一个阻止我使用它的bug(报告,但是等待修复)。 使用ipset将需要编译一个比CentOS自带的更新版本的iptables,尽pipe我完全有能力做到这一点,但我宁愿不从补丁,安全性和一致性的angular度来做。 除了这两个,它看起来像nfblock是一个合理的select。 有谁知道其他方式来实现这一目标? 我担心iptables中的几千个IP地址是个人规则吗?
你在设置iptables时做了什么:改变默认策略(例如iptables -P INPUT DROP ),或者在规则集( iptables -A INPUT DROP )的最后添加一个catch-all规则? 如果你特别喜欢一个,你的偏好背后的理由是什么? 对于这个论坛来说,这个问题可能太主观了,但也许有一些很好的理由要select一个我不知道的问题。 与我的政策方式不同,由于过于乐观的iptables -F ,locking服务器可能更容易。 对于我来说,删除全面的规则可能会更容易,而不会意识到这一点,从而有效地将服务器全部打开(过去我曾经遇到过这种情况)。 确实,你不应该依靠防火墙作为你唯一的防止互联网的保护(大多数情况下,你可以使内部networking服务只绑定到本地主机或内部networking,例如),但是有时候,公共服务到特定的源networking等 就我个人而言,如果从头开始编写一个规则集,我倾向于第一个,但如果更新现有规则集,则坚持已有的规则集。
我想知道如何增加IP地址或子范围,我想阻止ufw的可扩展性。 例如,每当我发现一个特别糟糕的机器人或服务器场时,我都会这样做。 随着我的列表增长,我不知道我在系统上有多less开销。 因为现在每个数据包必须根据这个列表进行检查。 有没有人有开始导致系统负载或networking变慢的一定大小的块列表的经验? 文档中有没有关于这个的地方? 现在我有约15条规则。 我应该留下一些规则吗?
我无法连接到我的Ruby on Rails开发服务器: 当我在不同的连接上input192.168.0.10:3000到网页浏览器时,只是超时。 我怀疑问题是我的防火墙configuration,但我试图打开一切,似乎并没有工作。 服务器在我的本地networking上,有一个静态的IP,并且configuration正确 – 我可以通过SSH进入,并可以连接到互联网进行更新。 它运行CentOS 6.3,并按照以下说明安装了rails: http : //itekblog.com/ruby-on-rails-on-centos-6-3-is-easy/ 服务器正在运行:我可以用wget localhost:3000下载“Welcome Aboard”页面 我认为它应该在所有接口上进行监听: [sandy@pops testproject4]$ rails server => Booting WEBrick => Rails 3.2.8 application starting in development on http://0.0.0.0:3000 => Call with -d to detach => Ctrl-C to shutdown server [2012-08-18 18:29:04] INFO WEBrick 1.3.1 [2012-08-18 18:29:04] INFO ruby 1.8.7 (2011-06-30) […]
在DDOS攻击期间,如果我们发现要阻塞的IP,我们会看到使用空路由而不是iptables的更好的性能? 空路由我们会做这样的事情: ip route add blackhole <ip or range> 在iptables中: /sbin/iptables -A INPUT -s <ip or range> -j DR 有没有区别? 我会怀疑route会更好,但我不确定。