我正在使用Open vSwitch创buildvirtualBox来宾机之间的交换networking,我希望主机操作系统(Ubuntu 12.04)join此networking并将其configuration为此虚拟networking的网关: 首先,我创build了一个vswitch,并且添加了端口以便点击设备(该虚拟机将它们用作桥接接口): ovs-vsctl add-br sw0 ovs-vsctl add-port sw0 tap0 之后,我静态设置了Lubuntu 12.04虚拟机的ip: ifconfig eth0 192.168.1.3/24 up route add -net 0.0.0.0/0 gw 192.168.1.1 在主机的操作系统方面,我也设置了IP地址: ifconfig sw0 192.168.1.1/24 up 在这个时候,我可以从Lubunut到Ubunutu。 我想现在,在主机使用IP伪装来转发来自networking192.168.1.0/24的stream量到我的物理接口(连接到互联网): sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE 所以从Lubuntu(虚拟机),我可以ping Ubuntu eth1接口,但我无法到达真正的networking(例如:真正的局域网上的网关),我已经试过: nslookup google.com dig @8.8.8.8 yahoo.com dig @192.168.30.1 google.com […]
我一直试图禁止在047开始的iptables中的IP地址,但它会改变为039。 iptables -v -w -I INPUT 1 -s 047.75.162.122 -j DROP 但IP地址将被禁止为39.75.162.122! 你为什么认为这是发生?
在Ubuntu 14.04服务器上运行。 所以我有fail2ban正确configuration为SSHlogin尝试处理/var/log/auth.log 。 在3次失败尝试中,我在fail2ban日志中看到了这一点: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L显示这个链: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all — BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all — anywhere anywhere 然而,从这个IP,我仍然可以通过SSHlogin没有任何问题。 同样的故事也适用于我所有的失败监狱。 Apache例如,我可以看到fail2ban正确地检测到日志并声称它禁止一个IP。 IP最终在iptables链中,但IP实际上并未被拒绝。 我在这种情况下有一种感觉,因为SSH不在标准端口上。 它在不同的港口。 所以,如果我强制ssh jail规则使用新的端口: [ssh] enabled = true port = 32323 filter = sshd logpath = […]
我的端口有点问题 NAT似乎工作正常,一个端口转发似乎工作(udp端口7887到机器192.168.1.100)。 但不是其他人。 我怀疑这个问题,但是eth1和eth2位于双端口网卡上。 WAN互联网访问提供了dhcp,所以如果可能的话,解决scheme应该是WAN_IP独立的。 /opt/firewall.sh #!/bin/sh WAN="eth1" LAN="eth2" #ifconfig $LAN up #ifconfig $LAN 192.168.1.1 netmask 255.255.255.0 echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT […]
我误以为限制模块是每个源IP,但它似乎是基于所有请求: 577 36987 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 3/sec burst 5 46 3478 LOG icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG flags 0 level 4 prefix `INET-PING-DROP:' 46 3478 DROP icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 … 0 0 ACCEPT icmp — […]
UFW对我来说工作得非常好,除非在没有…的情况下 我想能够手动添加另一个规则将被应用在启动? 我应该把这个规则放在哪里? 我应该如何让它在开机启动? 我如何使它与UFW打好?
我有这个iptable规则: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport –dports 22 -j fail2ban-ssh -A INPUT -p tcp -m multiport –dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j […]
我经常在日志中看到以下内容: 内核:ip_conntrack:表满,丢包。 目前,我有ip_conntrack_max设置为65536(默认,RHEL5)。 记住内存使用情况,我可以安全地增加这个值多less? 我在这个盒子上有4GB的RAM。 这台机器的function之一是作为一个静态内容服务器,这可能解释了高连接计数,也意味着我想保留尽可能多的用于caching的操作系统内存。 另外,以下两者有什么区别? / proc / sys / net / ipv4 / netfilter / ip_conntrack_max / proc / sys / net / ipv4 / ip_conntrack_max 我应该编辑哪一个? 谢谢!
用Puppetpipe理我们的iptables规则的想法已经提出来了。 我看到augeas有一个iptables镜头,但它目前是实验性的。 有没有人有如何处理这个问题的build议? 理想情况下,我想构build基于服务器类的链。
昨天我在这里发了一个问题,但是我觉得还不够清楚。 顺便说一句,这个问题不是重复的。 我有AWS VPC安装如下。 目标/问题 :从互联网SSH到服务器A. 它不工作。 服务器A是在私人子网,因此我想启用在我的NAT实例上的iptables NATing,以便我可以ssh到SErver A直接从互联网 我正在关注这个和这个 我在NAT实例上运行下面的命令: NAT# iptables -t nat -A PREROUTING -p tcp –dport 2222 -j DNAT –to-destination 10.0.1.243:22 在NAT实例上启用IP转发: NAT# sysctl -p net.ipv4.ip_forward = 1 MASQUERADE正在NAT实例上运行: NAT# iptables -t nat -vnL POSTROUTING Chain POSTROUTING (policy ACCEPT 6 packets, 312 bytes) pkts bytes target prot opt in out […]