我运行一个主要的媒体上传/下载网站,我注意到这些: 这是严重的或背景噪音,由于大的文件大小,是否有任何调整,我可以添加到/etc/sysctl.conf来改善和防止问题? [8822139.804040] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822140.944041] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822143.224052] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822147.776079] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822156.896049] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 (repaired) [8822175.136049] TCP: Peer 177.47.116.196:53829/80 unexpectedly shrunk window 2513116350:2513136117 […]
我已经search了很多个小时,为SSL(而不是Squid)设置透明代理的方法。 一般的答案是我不能,但我知道有一些方法 。 我的目的只是以下几点: 黑名单/白名单域名(不是IP号码)。 内容不会被过滤或修改。 强制用户通过这些列表。 如果我在网页浏览器中修改这些设置,他们可以撤消它。 下面的页面告诉我可以通过未经修改的stream量,但它没有说明: iptables https透明代理与privoxy? 下面的页面显示了一个443的iptables规则,我自己无法工作: http : //alien.slackbook.org/dokuwiki/doku.php?id=slackware : proxy 下面的页面告诉我们如何才能使它和squid一起工作: http : //www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https 编辑:一个人在这里说: 我如何使用IPTABLES创buildHTTPS(443)通过鱿鱼周围? “最好的办法是阻止对端口443的直接访问,并告诉用户如果他们想使用HTTPS,他们必须configuration他们的浏览器来使用代理。” 但是我只知道如何完全阻止443,而不是在代理下工作。
如果我把我的SSH端口从22改为23453,我就不能再ssh了。 更详细地说,我在Amazon Web Services上使用了一个红帽EC2实例。 这是我全新安装的第二个更改(首先更改是添加一个非root用户)。 我可以很好地使用Git Bash和本地.ssh / config文件ssh,编辑当前说/ etc / ssh / sshd_config中的行 #Port 23453 说 Port 23453 然后重新启动sshd sudo service sshd restart 然后我添加一行“端口23453”我的.ssh / config文件 Host foo Hostname my-ec2-public-DNS Port 23453 IdentityFile my ssl key 如果我打开另一个Git Bash shell(不closures我现有的连接),并尝试ssh到我的实例(使用ssh foo),我看到以下错误: ssh: connect to host my-ec2-public-DNS port 23453: Bad file number 连接到此实例的安全组有两个条目,都是TCP 22 (SSH) 0.0.0.0/0 […]
我目前使用一个Linux机箱来处理我的防火墙/ NAT使用iptables。 它有两个网卡,一个连接到局域网交换机,一个连接到我们的出口互联网提供商。 我正在考虑把这个盒子升级到两个盒子,用于冗余,并增加第二个互联网提供商到解决scheme。 这意味着我需要四个端口我相信(纠正我,如果我错了) 出口互联网链接#1 出口互联网链接#2 局域网端口 在两个盒子之间交换故障转移的目的 我读过鲤鱼+ pfsync是一个很好的解决scheme。 目前你们大多数人在使用什么? 在Linux有没有一个等效的解决scheme? 对于像上面那样的类似设置,现在对于热切换有一些build议,就像今天的configuration一样简单。
我试图用IPTables转发一个FTP服务器。 FTP服务器运行在Windows 2008盒子(Cerberus)上。 详细信息Win Box: IP:192.168.220.51 FTP端口:21 PASV端口:11000-13000 FTP服务器在局域网中工作良好。 路由器正在为其他客户端(服务NAT,DHCP,防火墙等)正常工作。 我需要将FTP服务转发到外部世界,但是我不能使用端口20-21(已经占用)。 我试过这个,但没有奏效: iptables -A PREROUTING -t nat -i eth0 -p tcp –dport 2121 -j DNAT –to 192.168.220.51:21 当前IPTablesconfiguration: [root@router ~]# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination […]
TL:DR 我改变了我的iptablesconfiguration,现在SSH拒绝所有的连接。 我可以解决这个问题,而不联系我的托pipe公司 长版本 好的,这很可能是100%我自己的错 在准备将网站移动到专用服务器时,我们得到了一台运行CentOS 5.6的新主机。 该机器iptables相当locking,只允许ssh(22)和http(80),但我们也需要它通过端口20 en 21接受FTP。 今天下午,我添加到我的iptables的线路,以接受到端口20和21的传入连接。起初,这是行不通的,因为有一个reject all线路我上面添加的ftp。 所以我把这条线移到底部,保存并重新启动iptables和ftp正在工作。 2小时后,当我尝试再次连接, port 22: Connection refused同样的http。 所以我无法通过SSH到服务器,有什么办法可以解决这个问题,而无需联系我的托pipe公司?
我试图从我们的服务器中删除一个阻止的IP。 405 35964 DROP all — !lo * IP ADDRESS 0.0.0.0/0 19 988 DROP all — * !lo 0.0.0.0/0 24.7.56.95 root@host01 [~]# iptables -D INPUT 35964 iptables: Index of deletion too big root@host01 [~]# iptables -D INPUT 405 iptables: Index of deletion too big root@host01 [~]# iptables -D INPUT -s IPADDRESS -j ACCEPT iptables: Bad […]
可能重复: 我为什么要防火墙服务器? 我有一个WEB + FTP的小型服务器。 我检查了端口,只有80 + 21被打开。 所以,现在的问题是,我真的需要iptables吗? 这两个港口必须向所有人开放,其他港口已经closures。 我不认为有人可以打开没有根控制的端口(从服务器外部)。 那么,iptables对我有用吗?
当你通过SSHconfigurationiptables或SSH,并且数据中心距离数千公里远(并且让某人插入KVM很困难时),有什么标准的做法可以防止自己locking?
我想设置一个阻止来自EC2的ssh请求的规则,因为我已经看到大量基于ssh的攻击,并且想知道是否有人知道他们的IP范围是什么。 编辑:谢谢你的答案,我继续执行iptables规则如下。 我暂时忽略所有的stream量。 logging它只是为了看看这些规则是否正常工作,以及EC2发送多less废话的统计信息;) #EC2 Blacklist $IPTBLS -A INPUT -s 67.202.0.0/18 -j LOG –log-prefix "<firewall> EC2 traffic " $IPTBLS -A INPUT -s 67.202.0.0/18 -j DROP $IPTBLS -A INPUT -s 72.44.32.0/19 -j LOG –log-prefix "<firewall> EC2 traffic " $IPTBLS -A INPUT -s 72.44.32.0/19 -j DROP $IPTBLS -A INPUT -s 75.101.128.0/17 -j LOG –log-prefix "<firewall> EC2 traffic […]