我有一个运行Debian的虚拟服务器。 它的主机操作系统使用的是Linux Vserver,由于缺乏对networking命名空间的支持,使用iptables来保护机器不是一个select。 我做了很多search寻找替代品,但到目前为止,我只是发现不同的前端来pipe理iptables本身。 那里还有其他的东西吗? 我希望将其绑定到我的OSSEC主动响应脚本中,以便在检测到恶意活动时启用实时阻止function。
我遇到了一个问题,即在Docker容器中运行在我们系统上的应用程序暴露的端口仍然对全世界开放,尽pipeiptablesconfiguration旨在限制访问。 在我看来,这个问题可能与docker守护进程在启动时向iptables添加规则有关。 我也意识到–icc=true|false , –ip-forward=true|false –icc=true|false –ip-forward=true|false和–iptables=true|false但我不确定这些标志的组合应该应用。 我试过–icc=false和–icc=false –ip-forward=false但都没有达到预期的效果。 我–iptables=false使用–iptables=false因为–iptables=false守护进程明确地添加了许多规则,如果仍然需要,我必须手动进行configuration。 这是docker守护进程启动之前的规则状态: Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all — lo any anywhere anywhere 0 0 REJECT all — !lo any anywhere loopback/8 reject-with icmp-port-unreachable 0 0 DROP tcp — any any […]
我在/ etc / network / interfaces中使用IPTABLES pre-up iptables-restore /etc/firewall.txt 我尝试在Ubuntu上search/etc/init.d/iptables这样的东西,但似乎并不存在。所以如果我必须暂时停止IPTABLE以便系统pipe理员工作,那么我该怎么做?
我正在构build一个基于iptables的防火墙configuration工具,并试图得到一个“在线”情况下工作。 给定一个在桥br0和第三个接口eth2使用eth0和eth1的设置: | | | eth0 eth1 eth2 | == br0== | | | | | | — linux node — 在这种情况下,假设我想让TCP端口80stream量被删除,如果它要连接到eth0的networking,但是允许它到eth1 。 因此,我试图可靠地匹配通过特定接口eth0发送的数据包。 如果我在filter表中添加下面的iptables规则: -A FORWARD -o br0 –physdev-out eth0 -j LOG 给定一个来自eth1 (桥的另一半)的数据包,那么规则匹配就好,logging: … IN=br0 OUT=br0 PHYSIN=eth2 PHYSOUT=eth1 … 但是,如果数据包来自eth2 ,则规则不再匹配。 我看来,路由algorithm无法确定select哪个桥接接口,所以数据包通过网桥中的两个接口发出。 如果我添加另一个更混杂的日志规则,那么我得到该数据包的以下日志输出: … IN=eth2 OUT=br0 … 我的猜测是,在第一种情况下,路由algorithm可以select桥上的另一个接口,因为这个数据包不应该出现问题。 在第二种情况下,它没有select一个特定的接口,然后你根本没有得到任何physdev信息! 但是,如果网桥已经学习了目标MAC地址(如brctl showmacs br0所示),那么它可以确定正确的接口,并再次得到physdev informatino。 […]
这似乎是一个非常简单的问题。 但是在networking上我没有看到太多的东西。 该命令来自RHEL文档本身,所以我希望它能正常工作,但是却失败了。 任何见解? 命令: /sbin/iptables -A INPUT -m state –state NEW -m tcp -p udp –dport 25150 -j ACCEPT 输出: iptables: Invalid argument. Run `dmesg' for more information. dmesg日志: [ 1719.334534] x_tables: ip_tables: tcp match: only valid for protocol 6
我想克隆传入的UDP数据包到不同的主机上,我发现了一种方法来做到这一点,但我不能在centos 5.3上构buildxtables-addons。 有没有其他的方式来开始更新数据包?
如何将端口80内部端口转发到端口8080? 我的目标是在端口8080上运行Web应用服务器(Glassfish),但是外部世界通常在80端口上访问它。这样做是为了不必以root身份运行Glassfish。 我试着将下面的规则添加到我的/ etc / sysconfig / iptables中: -A PREROUTING -t nat -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 8080 但是这会导致以下错误: Applying iptables firewall rules: iptables-restore v1.3.5: Line 21 seems to have a -t table option.
这个问题显然已经有很多不同的forms,但是我找不到具体的计划。 我们经营着一个受欢迎的欧洲商业交易网站,并且正在从那些甚至不能参与我们提供的交易的国家(并且许多零售商在西欧以外都不知道)获得大量的注册/stream量。 我已经确定问题区域阻止了很多这种stream量,但是(如预期的)有数千个IP范围需要。 我的问题现在(终于!)。 在testing服务器上,我创build了一个脚本来阻止iptables中的每个范围,但是添加规则花费的时间很长,然后iptables在此之后没有响应(尤其是在尝试iptables -L时)。 什么是阻止大量的IP范围最有效的方式: iptables的? 或者我可以有效地预装他们的插件? hosts.deny文件? .htaccess(讨厌,因为我会在每个负载平衡的Web服务器上运行在Apache)?
我必须testing一个自制的服务器,在一个端口上接受大量的传入TCPstream量。 协议也是自制软件。 为了testing的目的,我想发送这个stream量: – 到生产服务器(比如说,监听端口12345) – 到testing服务器(比如说,监听端口23456) 我的客户端应用程序是“愚蠢的”:他们从不读取数据,服务器永远不会回复,我的服务器只接受连接,并进行统计计算并存储/转发/处理原始数据和计算数据。 事实上,客户端应用程序和硬件是如此简单,我不能告诉客户端在两台服务器上发送它们的stream…而使用“假”客户端还不够好。 什么可能是最简单的解决scheme? 我当然可以写一个中间的应用程序,只是复制传入的数据,并将其发送回testing服务器,假装成客户端。 我有一台运行Squeeze的服务器,可以完全控制它。 提前感谢您的回复。
每隔几个星期我们都有一个问题,即一个IP地址可以同时打开大量的Apache进程。 似乎每次都连接到类似的页面,但是我们的Apache进程从正常的〜20-25个忙时隙到最大(256)。 这个IP地址然后无情地刷新了所有的请求,从而使我们的服务器负担加重,并大大减缓了网站的速度。 每种解决scheme都很简单, 我从Apache“服务器状态”中findIP,并使用IP表规则阻止IP。 不幸的是,IP地址每次都会改变(当我查找主机说“bt openworld”时,它总是相似的),我不能24/7提供login并添加IP表规则。 要清楚的是,我们处理来自谷歌和其他searchehgines没有问题的抓取,我不知道我们正在经历的是否是恶意的。 我怎样才能限制这种影响? 我们的设置是一个处理MySQL和Apache的单一服务器。 我被告知,负载平衡器是唯一的方法来限制从单个(但每个攻击更改)IP地址的连接数量。