我怎么能在我的Ubuntu服务器,在Iptables只允许一个特定端口上的IP地址? 谢谢
我怎样才能阻止除了1962,999,12020之外的所有端口? 一个用于SSH的端口和两个用于一种脚本的端口。 所以,有必要允许在这些端口上传出,对吧? 我的iptables: # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *mangle :PREROUTING ACCEPT [643521:136954367] :INPUT ACCEPT [643521:136954367] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [645723:99904505] :POSTROUTING ACCEPT [645723:99904505] COMMIT # Completed on Sat Feb 25 17:25:21 2012 # Generated by iptables-save v1.4.4 on Sat Feb 25 17:25:21 2012 *filter :INPUT ACCEPT [643490:136950781] […]
我设置了一个Debian框作为4个子网的路由器。 为此,我在LAN连接的NIC( eth1 )上定义了4个虚拟接口。 eth1 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.1.1 Bcast:10.1.1.255 Mask:255.255.255.0 inet6 addr: fe80::960c:6dff:fe82:d98/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6026521 errors:0 dropped:0 overruns:0 frame:0 TX packets:35331299 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:673201397 (642.0 MiB) TX bytes:177276932 (169.0 MiB) Interrupt:19 Base address:0x6000 eth1:0 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.2.1 […]
什么是从一个点来pipe理iptables的最好方法,并且能够在本地服务器上编辑某些东西。 我们需要添加一些集中在所有服务器上的规则,但是我们有特定的服务器,这些服务器应该有自己的一套规则。 我想到了与多个包括集中pipe理和包括在本地服务器上pipe理的包括bash脚本。 这是好的方法吗? 或者也许有更好的? 我们不能创buildyml2模板,因为特定主机之间的差别太大了。 请提供集中pipe理iptables的例子。
当我从我的笔记本电脑在www.google.com域上进行跟踪时,是使用icmp还是udp? 我认为这是icmptypes11,但在寻找别的东西时,我遇到了使用icmp type 30的规则,并且我看到了使用udp的规则。 有人可以向我解释这是如何工作的? 我正在为一个虚拟专用服务器的防火墙(iptables)工作。
基础架构:数据中心,操作系统中的服务器 – Debian Squeeze,Webserver – Apache 2.2.16 情况: 现场服务器每天都在使用我们的cusotmers,这使得不可能testing调整和改进。 因此,我们希望将实时服务器上的入站HTTPstream量实时复制到一个或多个远程服务器。 stream量必须传递到本地Web服务器(在本例中为Apache),并传递到远程服务器。 因此,我们可以调整configuration,并在远程服务器上使用不同的/更新的代码,以便与当前的现场服务器进行基准testing和比较。 目前,networking服务器正在收听约。 由于客户结构的原因,除了80和443之外还有60个附加端口。 问题:如何重复执行一个或多个远程服务器? 我们已经尝试过了: agnoster复制器 – 这将需要每个端口打开一个不适用的会话。 ( https://github.com/agnoster/duplicator ) kklis代理 – 只会将stream量转发到远程服务器,但不会将它传递给lcoal web服务器。 ( https://github.com/kklis/proxy ) iptables – DNAT只转发stream量,但不传递给本地networking服务器 iptables – TEE只复制到本地networking中的服务器 – >由于数据中心的结构,服务器不在同一个networking中 在stackoverflow( https://stackoverflow.com/questions/7247668/duplicate-tcp-traffic-with-a-proxy )上提供的“使用代理复制tcpstream量”提供的替代scheme是不成功的。 如上所述,TEE不能与本地networking以外的远程服务器一起工作。 teeproxy不再可用( https://github.com/chrislusf/tee-proxy ),我们无法在其他地方find它。 我们添加了第二个IP地址(在同一networking中),并将其分配给eth0:0(主IP地址分配给eth0)。 将这个新的IP或虚拟接口eth0:0与iptables TEE函数或路由相结合没有成功。 为“在debian挤压下重复传入的TCPstream量 ”( 在Debian Squeeze上重复传入的TCPstream量 )提供的build议替代scheme不成功。 在客户端的每个请求/连接之后,cat | tc […]
我有一个链条附加了许多规则,如: > :i_XXXXX_i – [0:0] > -A INPUT -s 282.202.203.83/32 -j i_XXXXX_i > -A INPUT -s 222.202.62.253/32 -j i_XXXXX_i > -A INPUT -s 222.202.60.62/32 -j i_XXXXX_i > -A INPUT -s 224.93.27.235/32 -j i_XXXXX_i > -A OUTPUT -d 282.202.203.83/32 -j i_XXXXX_i > -A OUTPUT -d 222.202.62.253/32 -j i_XXXXX_i > -A OUTPUT -d 222.202.60.62/32 -j i_XXXXX_i > […]
我在运行Docker容器的MySQL时遇到问题。 我的testing图像是从以下Dockerfile构build的: # See: https://index.docker.io/u/brice/mysql/ FROM ubuntu:12.10 MAINTAINER Joni Kahara <[email protected]> # Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024 RUN dpkg-divert –local –rename –add /sbin/initctl RUN ln -s /bin/true /sbin/initctl RUN apt-get update RUN apt-get upgrade -y RUN apt-get -y install mysql-server RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = 0.0.0.0/" /etc/mysql/my.cnf RUN /usr/bin/mysqld_safe & \ sleep 10s && \ […]
最新的fedora有firewalld作为新的防火墙应用程序。 我喜欢旧的iptables服务。 我想让他们回来,但不知道如何做到这一点。 我努力了 : systemctl disable firewalld.service systemctl stop firewalld.service systemctl enable iptables.service systemctl enable ip6tables.service systemctl start iptables.service systemctl start ip6tables.service 但它不工作! 没有find任何帮助维基或谷歌。 禁用firewalld工作好,但是当我试图启用iptables.service我得到: systemctl enable iptables.service Failed to issue method call: No such file or directory
我想在iptables中创build一个使用多个源IP地址的规则(如果可能的话)。 这可能吗?