服务器 Gind.cn

Articles of iptables

linux:不允许远程服务器使用traceroute发送操作

当我尝试traceroute到远程ip,我得到send: Operation not permitted当我停止iptables,traceroute工作正常。 所以,我假设我需要一些ip规则发送。 这条规则是什么? 我在这里find了一个解决schemehttp://forums.fedoraforum.org/showthread.php?t=112516 ,我把它添加到我的iptables中,重新启动它,但是过了一会儿,CSF好像又阻塞了。 有些东西会覆盖该规则。

Linux:阻止某些应用程序/主机名称的IPv6

问题和目标 我们没有从ISP获得IPv6,因此我有一个IPv6隧道,工作正常,但当然不是很快。 并不是很可靠。 我喜欢有“IPv6以防万一”,但我希望某些主机(域)只能与IPv4连接。 默认协议 在我看来,所有的应用程序都首先尝试IPv6。 这可能是一个glibc设置。 如果这个默认值将被颠倒(对于所有的应用程序),我会好起来的。 Netfilter的 使用Netfilter可以阻止IPv6地址/networking,但有两个问题: 这是否会导致延迟,因为应用程序在尝试IPv4之前等待IPv6超时? 一些领域似乎混杂,看起来像混乱。 将google.com和youtube.com分开看起来像是你不想做的事情,如果你能避免的话。 我只是注意到ip route的手册页说路由typesunreachable : 本地发件人收到EHOSTUNREACH错误。 Netfilter DROPs或REJECTs是否也发生同样的情况? 这样的错误不应该造成相关的延误。 DNS过滤 另一个解决scheme(如果可能的话,相当容易)将过滤某些域的AAAAlogging。 如果这不是(很容易):是否有可能连接DNS服务器和Netfilter,以便我知道“IP地址X属于域Y”,以便我可以将它添加到Netfilter? 比logging所有内容更精美并且logging日志? 要走的路? 哪些(其他)的可能性在那里,什么是最简单的?

什么时候清除iptables字节计数器?

什么时候iptables字节计数器重置? 在重新启动或其他轮换?

fail2ban不能在Ubuntu 14.04新鲜安装,为什么?

在安装和configurationfail2ban之后,我尝试用一​​个错误的密码通过sshlogin到我的服务器。 经过几次尝试,我试着用正确的密码成功。 所以,fail2ban没有禁止用户ip允许他login。 不pipe我设定的规则,maxretry = 1等 我的iptables -L输出: Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-SSH tcp — anywhere anywhere tcp dpt:ssh Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-SSH (1 references) target prot opt source destination RETURN all — anywhere […]

这两个iptables规则有什么区别?

尝试允许端口22上的传入sshstream量。默认行为是删除所有传入的stream量。 我遇到了两篇关于如何通行的文章。 但是,他们是不同的。 ## open port ssh tcp port 22 ## iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -m state –state NEW -p tcp –dport 22 -j ACCEPT VS # Allow all incoming SSH iptables -A INPUT -i eth0 -p tcp –dport […]

为什么我的linuxstream量整形脚本的结果有限?

我正在尝试将一些stream量规则引入到我的Linux passthrough服务器中,以便为以下内容提供更好的QoS: 1)低端口stream量开箱(networkingstream量和邮件等)。 2)端口stream量低 – 特别是端口webpipe理(80)和SSH(22)。 3)最后放置文件共享优先级。 即所有其他stream量。 我已经调整了一个shell脚本来使用tc和htb来设置一些基本的规则: #!/bin/bash UPLINK=7000 DOWNLINK=500 tc qdisc del dev eth0 root 2> /dev/null > /dev/null tc qdisc del dev eth1 root 2> /dev/null > /dev/null ip link set dev eth0 qlen 30 2> /dev/null > /dev/null ip link set dev eth0 mtu 576 2> /dev/null > /dev/null # […]

黑客绕过iptables

(从SO移动) 我有保护SIP服务器的iptables。 它阻止除了我专门打开的IP以外的所有IP,而且似乎几乎适用于所有人。 我已经从很多不是白名单的IP地址进行testing,他们都应该放弃。 但是,我拿起了一个似乎能够绕过iptables规则的“黑客”。 他的调查邀请通过,我不知道如何,甚至可能。 在十年之内,我还没有见过这个。 我想这一定是我所做的,但是我看不见。 这样创build的iptables(在顶部定义了MYIP – redacted): iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -d $MYIP –dport 22 […]

如何转发FTP请求到另一个IP?

我有一个VMware: 10.10.10.1 , linux in VMware (Guest): 10.10.10.128一个linux in VMware (Guest): 10.10.10.128 , honeypot on Guest: 10.10.10.15和我的Windows (Host): 192.168.1.11 honeypot on Guest: 10.10.10.15一个honeypot on Guest: 10.10.10.15 。 我可以直接从我的Host发送FTP请求到honeypot ,连接build立。 现在我想发送FTP请求到Guest ,这些转发到我的honeypot 。 我把这些规则放在Guest iptables中: iptables -t nat -A PREROUTING -p tcp –dport 21 -j DNAT –to-destination 10.10.10.15:21 iptables -t nat -A POSTROUTING -p tcp -s […]

iptables LOG规则在一个networking命名空间内

我正在尝试为Docker容器设置iptables规则。 我使用nsenter在容器的networking命名空间内执行iptables命令: # log access to port 8080 PID=$(docker inspect –format "{{.State.Pid}}" $ID) /home/ubuntu/nsenter -n -t $PID iptables -A OUTPUT -o eth0 -p tcp -m tcp –dport 8080 -j LOG 除了LOG规则以外,这种方法可以很好地工作 那些似乎没有login任何地方。 请注意,应用于主机系统的相同规则工作并logging到/var/log/kern.log 。 我在哪里可以find这些日志规则的输出? 这是networking命名空间的已知问题/限制吗?

PPTP VPN iptables防火墙问题csf

我有一个iptables和一个PPTP VPN的问题,我已经阅读了有关听到和网上的相关话题,但仍然无法得到它的工作! 我试图在本地networking上的ubuntu服务器上设置PPTP,强制客户端通过VPNlogin以获取Internet访问权限。 Ubuntu的服务器直接连接到互联网。 在我的rc.local我有以下转发和接受gre # PPTP IP forwarding sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sudo iptables -A INPUT -p gre -j ACCEPT sudo iptables -A OUTPUT -p gre -j ACCEPT 这显示在我的iptables列表中,所以我知道它在那里。 我使用服务器上的CSF作为我的防火墙,如果这是禁用的,我可以连接到VPN,并通过它浏览互联网,如果CSF启用我要么“断开通信设备”,或者我可以连接,但没有互联网接入通过VPN。 这也有一个奇怪的问题,它不时似乎通过防火墙工作! 我打开了以下端口: TCP_IN = …47,53,80,92,110,143,443,465,587,993,995,1723,7777.. TCP_OUT = …47,53,80,92,110,113,443,1723,25565,7777… UDP_IN = 20,21,47,53,1723,27015,27025 UDP_OUT = 20,21,47,53,113,123,1723,27015, 27025 你有什么build议如何解决这个问题? 你需要更多的信息吗? 非常感谢您的时间, […]
Intereting Posts
使用Ansible安装rpm包 从iPhone访问IIS 将批量邮件从Publicaster迁移到O365? 跨片状连接的大型文件复制工具 我是否可以强制AWS每天至less重新初始化我的自动实例? 数据库迁移从MySQL切换 NS更改后的DNS问题 用于OpenVPN和pfSense的Mac OSX粘度客户端的出站VPN问题 带有生成树的VLAN 1上的服务器的间歇性连接问题 没有用户远程连接时重新启动服务器的脚本 Procmail食谱接受主题的数字 Crontab不发送带有输出的电子邮件 如何从SIP网关外部呼叫Freeswitch时传递/处理分机号码? Apache mod_ext_filter和mod_deflate响应问题 如何configurationADFS 3.0以便包含NetBIOS名称的声明?