我有一台服务器运行Debian 7,我想连接到一个VPN,让所有的stream量通过除了一些端口(SSH,托pipe的网站等)的VPN传递。 我已经在互联网上search了一段时间,但似乎没有预期的那样工作。 我不是一个iptables /networking专家,所以也许我错过了一些东西… 这是我的脚本: 在VPN脚本之前 这是在VPN之前启动的脚本,除了一些端口(SSH在这里)外,它用于阻止所有通过VPN传输的stream量。 如果我只开始这个脚本,那么他的工作就完成了。 我可以通过SSH连接到我的服务器,但所有其他端口被阻止,并且服务器无法进入Internet(因为VPN未启动)。 #!/bin/bash # Flush iptables iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # Default policy iptables -P INPUT DROP iptables -P […]
build立连接时只能写入日志条目吗? 我努力了: iptables -I OUTPUT -p tcp –dport 22 -j LOG –log-level notice –log-prefix "outgoing ssh connection" loggingSSH出口连接,但是这会logging每一个数据包,这是你可以想象的有点压倒性的监控目的。 我正在运行SLES 11 SP3。 所以,如果有人能指出一个办法,只有在build立合同时才写一个日志条目,我将不胜感激。
我在我的服务器上有3个非root用户,我想给他们每个人不同的IP地址(我在一个networking接口上有多个IP地址)。 例如,user1将具有192.168.1.2,user2 – 192.168.1.3等等。 或者,如果不可能,我怎样才能将特定的进程绑定到给定的IP地址(我build议,可以用iptables做,但怎么做?)。 谢谢。
我有两个问题。 问题1:我的debian机器的接口eth3的IP地址为192.168.57.28。 如果有人试图连接到192.168.57.28:1234如何将请求redirect到另一台机器:192.168.57.25:80? 问题2:如果我的debian机器有两个接口:eth3和192.168.57.28,ppp0和一些dynamicIP,有人试图通过端口1234上的ppp0连接,我该如何将请求redirect到192.168.57.25:80? 我试过这个: $ iptables -t nat -A PREROUTING -p tcp –dport 1234 -j DNAT –to-destination 192.168.57.25:80 $ echo 1 > /proc/sys/net/ipv4/ip_forward 但它不起作用。
我在networking世界相对新手,虽然我编写了很长一段时间的系统pipe理员背景。 在这里,我离目的地只有一步之遥。 整个情况是:在家里我使用一个LinkSys E3000作为网关(不知道这是否是它的名字),无线AP和其他路由/交换设备。 它提供1台个人电脑和1台带局域网的Mac,1台Mac Mini + 1台iPad + 2台带WIFI的智能手机。 我的目标是在E3000上使用openvpn客户端(使用番茄固件),并使我的iPad和智能手机的所有WiFistream量都通过它,其他设备路由保持相同的非openvpn路由。 到目前为止,我可以将E3000上的openvpn客户端连接到openvpn服务器,通过openvpn连接传输所有设备的所有stream量。 剩下的就是如何通过源IP(至less在我的猜测中)select性地路由到隧道,而不要打扰别人。 过去几天我学到了一些“iptables”和“路由”,但没有太多的运气,所以这里就是我的问题。 这里有一些信息可以帮助你获得结构。 ifconfig -a输出一些无用的线条,并且在web界面C0:C1:C0:1A:E0:28是WAN,C0:C1:C0:1A:E0:27是LAN,C0:C1:C0:1A :E0:29是2.4G wifi AP,C0:C1:C0:1A:E0:2A是5G wifi AP。 root @ router:/ tmp / home / root#ifconfig -a br0 Link encap:以太网HWaddr C0:C1:C0:1A:E0:27 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST运行组播MTU:1500公制:1 eth0 Link encap:以太网HWaddr C0:C1:C0:1A:E0:27 广播运行多播MTU:1500公制:1 eth1 Link encap:以太网HWaddr C0:C1:C0:1A:E0:29 广播运行ALLMULTI MULTICAST MTU:1500公制:1 eth2 Link […]
我正在使用CentOS 5.x试图绕过我的服务器上的以下iptables规则: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT 在另一台服务器上,我有: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s –limit-burst 3 -j ACCEPT 我知道这两个规则都是为了允许(并限制)入站ping请求而devise的,但limit-burst选项是什么呢? 这些津贴是按主持人的基础? 或者它们是否适用于任何/所有传入的ICMP连接?
我目前正在设法弄清楚,如何使用iptables将stream量从我的专用服务器的辅助公共IP地址转发到我的networking的内部IP,以使例如web服务器等可从外部看到。 我的设置是一个专用服务器,其中包含三个形成“专用LAN”的虚拟机。 这些连接build立起来,虚拟机可以通过隔离的局域网和物理服务器之间的网桥连接到互联网。 允许传出stream量使用以下规则build立(LAN:192.168.xx,示例公共地址:8.8.8.8): iptables -t nat -A POSTROUTING -s 192.168.1.101 -j SNAT –to-source 8.8.8.8 这工作正常 – 如果我打开一个互联网浏览器,然后去whatismyip.com它现在不再显示服务器的主要IP地址,而是它将显示辅助IP只是它应该做的方式。 然而,现在我很乐意在其中一个虚拟机上安装一个Web服务器,并通过我的辅助IP提供给公众。 我正在寻找答案,并发现我应该添加一个PREROUTING规则来完成这个,因此我尝试了以下内容: iptables -t nat -A PREROUTING -d 8.8.8.8 -j DNAT –to-destination 192.168.1.101 但是,连接到公共IP的80端口将超时。 看来我还是错过了一些东西,或者我在做规则的时候有一个错误。 请注意:我不想只打开一个特定的端口,而是希望将所有传入的stream量都转发给虚拟机,并在那里处理安全性。 任何意见将不胜感激 – 也许我只是失去了一些小事。
我正在尝试在CentOS环境中部署Tomcat服务器,但没有收到请求。 执行startup.sh工作正常,日志显示tomcat正在运行 16-Dec-2016 13:36:58.440 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [http-nio-8080] 16-Dec-2016 13:36:58.444 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [ajp-nio-8009] 16-Dec-2016 13:36:58.445 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 14803 ms 运行netstat检查监听端口时,显示为监听 $netstat -atnp|grep LISTEN tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 3321/java 为了跳过防火墙,我在iptables中添加了一个自定义规则。 $iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — 0.0.0.0/0 […]
Linux上的我的Apachenetworking服务器正在被一个不存在的文件的大量请求所淹没。 直接的影响是访问和错误日志的快速增长。 我已经通过不logging这些请求(如果它匹配特定string)来照顾这一点。 我们正在讨论来自多个IP地址每秒40到50个请求(对于同一个文件)。 我最初认为它是一个僵尸networking,但我相信这是一个脚本小子欺骗源IP。 我正在服务器上运行iptables,我想知道,这些数据包如何绕过TCP / IP初始握手到达应用层(HTTP服务器)? 如果我有: –Default Policy for INPUT chain is to DROP <snip> iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT <…> <snip> iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT …不应该在我的服务器的SYN / ACK响应 – 初始连接请求后发送到欺骗性IP? 所以输了? 如果数据包是精心devise的,似乎是来自已build立的连接,netfilter的状态跟踪机制不应该通过上面的RELATED,ESTABLISHED行来处理它,并且将它们识别为不是已build立会话的一部分,因此删除它们(通过默认策略:DROP)? 在此先感谢,Craconia 这些请求来自有效的互联网地址。
我正在使用vsftpd与主动ftp。 我有模块“ip_conntrack_ftp”(在/ etc / sysconfig / iptables-config),端口21打开。 连接FTP工作,但FTPS不。 我可以login,但没有列出: 227 Entering Passive Mode LIST -a 当停止防火墙它的工作(我的意思是在FTP服务器本身的iptables)。 我在http://www.experts-exchange.com/Software/Server_Software/File_Servers/FTP/Q_22418222.html阅读,它是不可能与主动FTP使用FTPS。 这是真的? 我的iptablesconfiguration: *filter :INPUT DROP [15:2752] :FORWARD DROP [0:0] :OUTPUT ACCEPT [132:159725] -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/255.0.0.0 -i ! lo -j REJECT –reject-with icmp-port-unreachable -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A […]