我为某台电脑设定了一个配额: iptables -A FORWARD -d 192.168.1.10 -m quota –quota 500000000 -j ACCEPT iptables -A FORWARD -d 192.168.1.10 -j DROP 这按预期工作。 达到限制(500MB)时,此特定计算机的所有数据包都将被丢弃。 但是,如果我保存计数器(iptables-save -c> /home/iptables.counters),重新启动iptables,并恢复计数器(iptables-restore -c /home/iptables.counters),那么不pipe保存的计数器那台电脑仍然可以下载500 MB,所以总计数器的大小,在这台电脑失去互联网访问将是X + 500MB,其中X是保存的计数器大小。 我一定是做错了,因为这是保存/恢复计数器的重点:从字节计数恢复,直到达到限制。 任何types的提示将不胜感激…
在MacOS X中启用IP转发的正确方法是什么? 更具体地说,以下两个Linux命令的MacOS X命令行是相同的: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -j ACCEPT
将OUTPUT的策略设置为ACCEPT有没有安全风险? 有问题的机器是VPS托pipe几个网站,git仓库,jabber服务器和邮件。
对于使用tun设备的openvpn隧道,iptables规则允许封装的stream量通过,封装后什么规则控制数据包? 基本上,我想知道操作顺序如何与iptables和openvpn一起工作,以及这如何与链条相关。
我想要做下面的事情,但是我在CentOS中使用iptables很难: 我想只接受端口80,443,22,snmp,3306到我的服务器 我希望能够允许所有出站端口 我想所有其他入站连接被删除
我得到这个数据包与tcpdump捕获,但我不知道如何使用 – hexstring参数来匹配数据包。 有人可以告诉我怎么做吗? 11:18:26.614537 IP (tos 0x0, ttl 17, id 19245, offset 0, flags [DF], proto UDP (17), length 37) xx187.207.1234 > xx152.202.6543: [no cksum] UDP, length 9 0x0000: f46d 0425 b202 000a b853 22cc 0800 4500 .m.%…..S"…E. 0x0010: 0025 4b2d 4000 1111 0442 5ebe bbcf 6701 .%K-@….B^…g. 0x0020: 98ca 697d 6989 0011 0000 […]
我如何使用iptables拒绝所有stream量到localhost端口80,但允许从本地机器来的? 这是我目前的解决scheme,似乎并没有阻止stream量。 ip,本地机器的ip。 如果我没有放第二线,所有的交通是封锁,并启用它,所有的stream量被接受?! iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -p tcp –dport 80 -s 127.0.0.1 -j ACCEPT iptables -A INPUT -p tcp –dport 80 -s […]
新手在这里。 起初我无法连接到vsftpd,但我在iptables中添加了端口21(我在Centos 6上运行),并设法使其工作。 但现在,我无法通过Filezilla中的Command: LIST 这里是日志: Status: Connecting to 162.xxx.xx.xxx:21… Status: Connection established, waiting for welcome message… Response: 220 (vsFTPd 2.2.2) Command: USER cjflores Response: 331 Please specify the password. Command: PASS ****************** Response: 230 Login successful. Command: OPTS UTF8 ON Response: 200 Always in UTF8 mode. Status: Connected Status: Retrieving directory listing… Command: PWD […]
我们有2个不同的ISP连接。 我们以前的“IT人”就是这样设置我们的防火墙: 当启动时执行/etc/rc.local时,它执行了一系列ip rule add和ip route add命令,以便路由某些内部主机以使用某些ISP连接。 然后在/etc/rc.local的最后,他执行了防火墙生成Firewall Builder生成的iptables防火墙规则。 这些iptables规则同时设置了策略和NAT规则。 我不明白,为什么他使用iproute2来指定规则和路由,但也指定iptables NAT规则? 他为什么不把这两样东西全部用完呢? 他可以摆脱iproute2规则和路由,只是把所有这些相同的规则到iptables NAT设置?
我试图允许6to4,虽然我的ipv4防火墙在Debian 6(挤压),但没有太多的运气,似乎其他操作系统使用的大部分语法不支持在Debian的iptables。 我试过了:(我把这些放在DROP的所有INPUT / OUTPUT行之前) $IPT -A INPUT -p ipv6 -j ACCEPT $IPT -A OUTPUT -p ipv6 -j ACCEPT 与其他一些人一起,似乎没有任何工作。