myweb.com有外部IP。 我有一个运行BIND9的debian服务器,它包含一些客户端,我创build了区域myweb.com,我创build了一个logginglocalhost.it的确定,但我知道如果我可以指向Alogging到真实的外部IP,但路线客户端到localhost? 所以,当用户通过dns myweb.com访问时,他们将在我的服务器上,据说有原始的外部IP,而不是我的服务器的IP。 (我正在寻找一些iptables,主机,ferm或脚本,但很难find)
我们已经在虚拟化(OpenVZ)环境中成功地使用了CSF,并结合了venet和桥接接口,所以我们可以使用公有IP +本地寻址的虚拟系统。 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.100 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.24 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr10 0.0.0.0 xxx.xxx.xxx.254 0.0.0.0 UG 0 0 0 vmbr0 我们通过一个iptables规则来路由“本地”ips的stream量: […]
我在VPS上使用OpenVPN,我想通过iptables将来自外部IP 198.23.248.150的传入端口7999转发到内部IP 10.1.10.2。 我似乎无法得到正确的语法,我已经确保转发已启用: root@insanity:~# cat /proc/sys/net/ipv4/conf/venet0/forwarding 1 所以,如果有人能告诉我iptables命令我正在寻找使用,我会非常感激。 我正在想方设法弄清楚。
我有一个工作,写一个iptables规则来限制连接我的服务器的物理设备的数量,我已经尝试hashlimit,但似乎不行,下面是我的规则: iptables -I INPUT 1 -p tcp -m hashlimit –hashlimit 1000/s –hashlimit-mode srcip,srcport –hashlimit-name hosts –hashlimit-htable-size 1 -j ACCEPT iptables -I INPUT 2 -j REJECT 在第一行中,我限制了hashlimit的大小,它只是1,所以根据关于iptables的websit hashlimit的hashlimit的说明,它说: 这将设置要使用的最大可用存储区。 在这个例子中,这意味着最多500个端口可以同时打开和激活。 所以,我想如果我设置限制为1,它只是允许一个tcp连接保持,但是当我尝试与nc另一个TCP连接,我发现我仍然可以得到连接的工作,所以任何提示?
我有一个Xen服务器上有几台虚拟机,它坐在我局域网上的普通PC上。 虚拟机提供了访问网页的内容。 Httpd就是其中之一,所以让我们以此为例。 我想configurationiptables(或我的networking),如下所示: 允许回送 -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT 允许端口80从/到WAN(networking)的入站/出站连接。 允许端口foo进/出局域网上列入白名单的计算机的stream量,同时拒绝其余的局域网。 #allow one ip with port foo -A INPUT -i eth0 -p tcp -s 192.168.0.w –dport foo -m state –state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp –sport foo -m state –state ESTABLISHED -j ACCEPT […]
我有一个Ubuntu 12.04主机,它在端口8080上运行一个squid代理。我想通过使用iptables通过鱿鱼代理主机的所有networkingstream量。 是正确的方法: iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 –dport 80 -j REDIRECT –to-ports 8080 这不起作用。 当我浏览到一个页面时,即使代理被禁用,它也会正常显示。 任何build议感激。
我有一个带有2个NIC的网关机器:具有公共IP的eth0和具有私有IP的eth1 。 在eth0我有4个公有IP别名,我想NAT公共IP到私有IP,我用DNAT来做这个uisng iptables。 1.1.1.2 -> 10.10.10.2 1.1.1.3 -> 10.10.10.3 1.1.1.4 -> 10.10.10.4 规则 -A PREROUTING -d 1.1.1.2 -p tcp -j DNAT –to-destination 10.10.10.2 -A PREROUTING -d 1.1.1.3 -p tcp -j DNAT –to-destination 10.10.10.3 -A PREROUTING -d 1.1.1.4 -p tcp -j DNAT –to-destination 10.10.10.4 现在我可以使用DNAT访问内部IP,但无法通过此私有IP与外部networking连接。 我怎样才能做到这一点? SNAT能做多个IPS吗?
iptables -A INPUT -p tcp -m multiport –dports 80,443,8080,8181 -m state –state NEW -m limit –limit 50/minute –limit-burst 200 -j ACCEPT iptables -A INPUT -p tcp -m multiport –dports 80,443,8080,8181 -m state –state ESTABLISHED,RELATED -m limit –limit 50/second –limit-burst 50 -j ACCEPT iptables -A PREROUTING -t nat -p tcp –dport 80 -j DNAT –to-destination :8080 […]
我可以以某种方式重新加载防火墙规则使用iptables-save定义,而不清除当前的运行时版本计数器? 我想要一些方法来只添加和删除不同的规则,并保持原有的计数器完好无损。 iptables-restore -n不够聪明。 有没有人解决过这个问题? 我的监控被绑定到防火墙规则和计数器,清除它们会在rrdtool图表中产生很大的波动,因为rrdtool认为它是整数溢出,而不是防火墙更新。
我需要询问有关安装某些软件包的一般性问题,以及需要在centOS中进行iptable调整的问题。 当我安装了Apache包,并把一个简单的testing页面放在/ var / www / html,它不想拉起来,直到我真的去了IPTables,并添加一行来打开端口80.我现在有同样的问题设置ftp&vsftpd。 他们虽然更固执 我已经将端口20和21添加到了iptables,我仍然被拒绝。 我停止了iptables,并能够获得FileZilla连接。 我的一个同事告诉我,我甚至不需要这样做。 只是安装软件包应该照顾所有的configuration设置。 他是对的吗? centOS6.4还是如此新,它有缺陷? 我已经回顾了一些关于设置vsftpd的文档,但是它们有所不同。 帮助赞赏。 这是我从iptables的输出: Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp — any any anywhere anywhere tcp dpt:ftp 0 0 ACCEPT tcp — any any anywhere anywhere tcp […]