您可以使用ec2-authorize指定允许您的ec2实例使用哪种types的stream量。 运行iptables还是个好主意,还是引入了不必要的复杂性?
我正在使用CentOS 6.5,并向我的iptables添加了以下命令,将端口8088上的所有传入stream量转发到4569: iptables -A PREROUTING -t nat -p udp –dport 8088 -i eth0 -j DNAT –to-destination 127.0.0.1:4569 iptables -I FORWARD 1 -d 127.0.0.1 -p udp –dport 4569 -j ACCEPT iptables –list显示以下输出: iptables –list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere […]
我在我的iptables中有这个规则: iptables -A INPUT -p tcp -m tcp –dport 9191 -j DROP 我真的需要“-m tcp”吗? 我已经在使用“-p tcp”了,所以我应该使用“-m tcp”来更安全吗?
我必须相当糟糕的谷歌search,因为这似乎是一个非常基本的问题,但我似乎无法find答案任何地方…和man iptables是一个很长的阅读! 我有两个网卡 – eth0和eth1 – 在一个Linux机器上,我想阻止所有出站stream量(所有端口上的TCP和UDP)从一个网卡,所以没有stream量返回到路由器。 这是什么命令? 我只看到特定端口的例子。 提前致谢。
我在开发服务器上安装了一个最小的CentOS 7版本,用kvm / qemu虚拟化了一些linux客户端。 要使用iptables而不是firewalld我安装iptables-service并执行: systemctl stop firewalld systemctl mask firewalld systemctl enable iptables systemctl start iptables 通过编辑/etc/sysconfig/selinux来禁用SELinux。 我的iptables规则如下: iptables -Z iptables -F iptables -X iptables -t nat -Z iptables -t nat -F iptables -t nat -X iptables -t nat -A POSTROUTING -o enp6s0 -j MASQUERADE iptables -A FORWARD -i enp6s0 -o virbr0 -j ACCEPT […]
在/proc我有两个条目nf_conntrack_max: 的/ proc / SYS /网/ netfilter的/ nf_conntrack_max 的/ proc / SYS /网/ nf_conntrack_max 似乎指向相同的价值作为改变一个也改变另一个。 将这两个设置在/etc/sysctl.conf : net.netfilter.nf_conntrack_max = 65528 net.ipv4.netfilter.ip_conntrack_max = 65535 重新启动后,该值仍为32764,因此更改无效。 有没有人遇到过这个? 我的猜测是,这些值是在相关的模块加载之前应用的,但希望也许有人已经知道解决scheme。
我configuration了fail2ban来监视我收到的某种恶意stream量模式,并禁止IP地址关联。 一切似乎都工作得很好 – 正则expression式正确地匹配模式,问题IP地址被添加到iptables。 但是,当我检查Apache日志时,我仍然从被禁止的IP地址获取命中。 就好像iptables没有运行一样。 所以让我分享一些细节,以确认一切正确configuration。 首先,我将清除并重新加载iptables规则: $ sudo iptables -F $ cat /etc/iptables.firewall.rules *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m state –state […]
我在Ubuntu服务器上使用iptables。 这是一个VPS上的Web服务器。 我想知道是否应该限制数据包。 如果是这样,我应该限制什么? 我应该这样做全球或每个IP地址? 参考 我看到有人提出这个build议: # Limit packet traffic on a TCP or UDP port: iptables -A INPUT -p $proto –destination-port $port –syn -m state –state NEW -m limit –limit $lim/s –limit-burst $lb -j ACCEPT # Limit established/related packet traffic: iptables -A INPUT -m state –state RELATED,ESTABLISHED -m limit –limit $lim/s –limit-burst $lb […]
我已经尝试添加一些规则到我的iptables,但他们似乎并没有保存。 为了保存它们,我试过运行iptables-save和service iptables save 。 每次运行这些命令时,都说已成功保存。 这是我想要插入的规则: iptables -A INPUT -j REJECT -p tcp –destination-port 3306 iptables -A INPUT -j REJECT -p tcp –destination-port 25 这些规则工作,并将保持在我input他们的地方,但是当我去重新启动系统,他们从运行iptables -L时,从列表中iptables -L和端口再次打开(使用nmap检查)。 在查看我的/ etc / sysconfig / iptables文件时,规则在那里(在底部),所有“已完成”时间戳都来自保存看起来正确的规则。 另外,在我的/ etc / sysconfig / iptables-config文件中,所有的设置都是默认的,似乎并没有改变任何东西,就像从不同位置或者其他地方加载iptable规则一样。
我试图在不重新启动Fail2Ban的情况下解锁IP地址,这样做的最好方法是什么? 或者你能指点我一个有用的指导方向吗? 正如你可以看到下面我试图删除的IP地址是:89.31.259.161 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp — 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp — 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 fail2ban-httpd tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 fail2ban-httpd tcp […]