我想阻止服务器上的一整套IP: iptables -A INPUT -s 77.0.0.0/8 -j DROP 虽然当我跑步 iptables -L 在那个logging上我得到一个奇怪的域而不是IP DROP tcp — x4d000000.dyn.telefonica.de/8 anywhere
closures没有服务运行的端口是否有优势? 在iptables级别终止连接,而不是下一步(我猜操作系统)有什么收获。
目前我有一个设置,由于需要永久修复的configuration,我有一个服务器只能通过ipv4访问。 但是,我也有一个可以通过ipv6访问的服务器。 我想知道是否可以使用iptables将某个端口上的ipv6stream量从一台服务器转发到另一台使用ipv4stream量的服务器。
在设置iptables的时候,你可以命名使用端口22的端口ssh。是否有所有命名端口的列表? 具体来说,我需要SSH,HTTP,HTTPS和MySQL。
我重启了我的服务器,一个奇怪的问题刚刚出来。 我在ArchLinux上运行,客户端是Ubuntu,Android和Mac。 问题是,通过客户端访问互联网是慢,约2ko / s,并缓慢停止。 但是直接从服务器上下载东西到客户端是全速的。 而且,显然,服务器的互联网正在全速(40mo / s)。 我不知道重启后发生了什么事,但是这个问题在所有的客户端都有,只和openvpn转发到互联网的stream量有关。 编辑:尝试与TCP,没有解决。 编辑:testing各种片段/ MTU设置,没有变化。 这里是我所有的confs: ╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇ ╰─➤ cat Alduin.conf ccd/Thunderaan local 212.83.129.104 port 1194 proto udp dev tun ca keys/ca.crt cert keys/Alduin.crt key keys/Alduin.key dh keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" client-to-client keepalive 5 60 ping-timer-rem comp-lzo persist-key persist-tun status openvpn-status.log verb […]
我在提供MySQL服务的服务器上有一个相当简单的iptables防火墙,但是iptables似乎给了我非常不一致的结果。 脚本的默认策略如下所示: iptables -P INPUT DROP 然后我可以使用以下规则公开MySQL: iptables -A INPUT -p tcp –dport 3306 -j ACCEPT 有了这个规则,我可以连接到MySQL从任何源IP到服务器上的任何目标IP没有问题。 但是,当我尝试通过用以下代替上面的行来限制对三个IP的访问时,我遇到了麻烦(xxx = masked octect): iptables -A INPUT -p tcp –dport 3306 -m state –state NEW -s 208.XXX.XXX.184 -j ACCEPT iptables -A INPUT -p tcp –dport 3306 -m state –state NEW -s 208.XXX.XXX.196 -j ACCEPT iptables -A INPUT -p […]
我有一个防火墙这些简单的规则: iptables -A INPUT -p tcp -s 127.0.0.1/32 –dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 –dport 6000 -j ACCEPT iptables -A INPUT -p tcp –dport 6000 -j REJECT 现在,假设我正在使用TCPDUMP : tcpdump port 6000 我有主机192.168.16.21试图连接到端口6000 。 请问/应该tcpdump输出一些来自192.168.16.21数据包?
你如何configurationIPTables,使其只允许SSH进入,并且不允许其他stream量进出 ? 任何人都可以推荐的安全防范措施? 我有一台服务器,我相信已经成功从GoDaddy迁移,我相信不再使用。 但是我想确定是因为……你永远不知道。 🙂 请注意,这是来自GoDaddy的虚拟专用服务器…这意味着没有备份,几乎不支持。
我们最近开始尝试使用IPv6,我们不得不面对的第一个问题是为这两个协议栈处理一套完全独立的防火墙(Linux iptables / ip6ables)规则。 我们的防火墙逻辑主要基于一些特定目的networking(例如,10.0.0.0/24是工作站工作站networking,10.1.0.0/24是数据库networking,10.2.0.0/24是Web服务器networking等),并且IPv6和IPv4的逻辑将基本相同,模数不同的networking前缀。 人们在做什么来处理这种情况? 理想情况下,我希望能够从同一个源文件生成iptables和ip6table规则集。 我已经用bash把一些东西扔在了一起,但是这并不一定很好,我怀疑有一个更好的解决scheme必须存在。 我会特别感兴趣的是一个基于Puppet的解决scheme,它很好地利用了Puppet自己的依赖机制来实现规则(或者规则组)的相对顺序。
好吧,可能是因为我很密集,或者找不到正确的来源,但我不明白为什么这些IPTABLES设置之一会比另一个更好。 这是我的设置: 我有一个作为一个透明的代理和路由器或sorting框。 它有两个接口,ETH0和ETH1,以及以下地址scheme: ETH0 = DHCP ETH1 = 192.168.5.1/24为192.168.5.0/24networking上的DHCP提供服务给LAN后面的客户端 我有privoxy安装和侦听端口8080作为透明代理。 我用这个设置完成的是能够把这个盒子放到一个现有的networking中,只需要最less的configuration,并把客户端连接到代理上。 这是我的原始IPTABLES文件 *nat -A PREROUTING -i eth1 -p tcp -m tcp –dport 80 -j REDIRECT –to-port 8080 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT *filter COMMIT 这种configuration工作正常,stream量来回stream畅,没有问题。 我在privoxy的日志文件中得到原始的客户IP地址,生活很好。 当我开始查看其他人的configuration,并看到他们使用的是DNAT而不是REDIRECT时,我的困惑就出现了,我正在试图理解一个人的真实愿望。 这里是一个示例configuration: *nat -A PREROUTING -i eth1 -p tcp -m tcp –dport 80 -j DNAT –to […]