在Linux系统上,除非通过Tornetworking,否则有阻止所有进出stream量的方法。 这包括任何forms的IP通信,而不仅仅是TCP连接。 例如,我想让UDP完全被阻塞,因为它不能通过Tor。 我想这个系统的互联网使用是完全匿名的,我不希望任何应用程序泄漏。 我意识到这可能是复杂的,因为Tor本身需要以某种方式与中继节点通信。
我目前的情况涉及到允许各种规则,但我需要从任何地方访问的FTP。 操作系统是分5,我正在使用VSFTPD。 我似乎无法得到正确的语法。 所有其他规则正常工作。 ## Filter all previous rules *filter ## Loopback address -A INPUT -i lo -j ACCEPT ## Established inbound rule -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## Management ports -A INPUT -s xxxx/24 -p icmp -m icmp –icmp-type any -j ACCEPT -A INPUT -s xxxx/23 -p icmp -m icmp –icmp-type […]
我目前正在使用ufw来执行一些基本的防火墙规则。 也可以使用ufw做端口转发吗? 特别是即时通讯要转发传入的stream量到我的服务器(同一台机器运行ufw)在端口80到端口8080.(HTTPstream量转发到tomcat) 钍
我有一台机器,可以根据需要configuration多个接口,例如: eth1:192.168.1.1 eth2:192.168.2.2 我想转发所有通过其他接口发送到这些本地地址之一的stream量。 例如,所有对192.168.1.1的iperf,ftp,http服务器的请求都不应该只是在内部路由,而是通过eth2转发(外部networking将负责将数据包重新路由到eth1)。 我试着看了几个命令,如iptables,ip route等…但没有任何工作。 我能得到的最接近的行为是: ip route change to 192.168.1.1/24 dev eth2 在eth2上发送所有192.168.1.x,除了192.168.1.1仍然在内部路由。 可能我可以做NAT转发的所有stream量在eth1上伪造192.168.1.2,重新路由到192.168.1.1内部? 实际上我正在用iptables挣扎,但对我来说太困难了。 这个设置的目标是在不使用两台PC的情况下进行接口驱动程序testing。 我正在使用Linux,但是如果您知道如何使用Windows,我会购买它! 编辑: 外部networking只是eth1和eth2之间的交叉电缆。 假设我在我的机器上有一个http服务器。 现在我想从同一台机器上访问这个服务器,但是我想强制TCP / IP通信通过这个eth1 / eth2电缆。 我应该如何configuration我的界面呢?
我对我正在使用的HTB结构有一些怀疑。 我的目标是限制本地networking用户的下载和上传速度。 networking的每个用户都有一个个域名列表,其域名速度不可超越。 这意味着user1在slashdot.org上的访问权限限制在8KB下载和3KB上载,而user2可以在slashdot.org上限制访问4KB和1KB。 现在我设置了一个很好的iptables / tc,但是规模很小,同时使用了2个或3个虚拟主机(不幸的是,我不能进行真正的大小testing)。 这里是我目前的结构(我只会在局域网的出口上显示一个,上传的只是这个的一个副本) 在接口上附加一个HTB qdisc(句柄2 :),默认stream量类是FFFF类。 直接在HTB qdisc之下的根级别2:1具有对DOWNLINK容量的速率和上限。 默认的类2:FFFF作为2:1的孩子,速率为1kbsp,下载容量为ceil。 然后,当某个域对用户有一个新的限制时,还会有其他类dynamic添加,新增一个tc类来控制域中的下载速度。 现在,这是我做的: 创build一个具有唯一标识(从数据库中获取,而不是点)的新的tc类,作为父类2:1,速率值为1bps,ceil值设置为有限的下载速度。 这里是tc命令: ————– BEGIN SCRIPT ————– DOWNLINK=800 ## Setting up the static tc qdisc and class $tc qdisc add dev $LAN_IFACE root handle 2: htb default 0xFFFF # Main class so the default class can borrow bandwith from the […]
服务器上防火墙的一部分: iptables -A INPUT -p tcp –dport 22 -m state NEW –state -m recent –set iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 100 –hitcount 10 -j DROP 当我在网上search时,我总是看到新的规则,但我很难理解为什么ESTABLISHED和RELATED没有被使用。 喜欢这个 : iptables -A INPUT -p tcp –dport 22 -m state NEW,ESTABLISHED,RELATED –state -m recent –set iptables -A INPUT […]
快速的问题,但Gooling没有透露答案。 当我做iptables -L ,它似乎滞后显示项目在我已经限制源内部ips 192.168.0.0/24 整个列表需要大约30秒的时间来显示。 我只是想知道:这是否会影响到我的传入连接的速度,或者这只是我的iptables规则中的所有这些范围的副作用? 谢谢!
你添加一个这样的规则: ufw allow 22/tcp 该规则已保存,即使在重新启动后也会应用。 但是它不是写在/etc/ufw任何地方。 它保存在哪里? (Ubuntu,使用ufw作为预装。)
我注意到,每个发布的端口都有docker-proxy进程。 这个过程的目的是什么? 为什么需要这个用户空间的tcp代理? $ ps -Af | grep proxy root 4776 1987 0 01:25 ? 00:00:00 docker-proxy -proto tcp -host-ip 127.0.0.1 -host-port 22222 -container-ip 172.17.0.2 -container-port 22 root 4829 1987 0 01:25 ? 00:00:00 docker-proxy -proto tcp -host-ip 127.0.0.1 -host-port 5555 -container-ip 172.17.0.3 -container-port 5555 以及由docker创build的一些相关的iptable规则: $ sudo iptables -t nat -L -n -v Chain […]
目前有这个片段: iptables -F // flush all chains iptables -t nat -F iptables -t mangle -F iptables -X // delete all chains 运行后有没有可能存在一些不透明的规则? 这个想法是有一个完全干净的iptablesconfiguration,可以很容易地被新的规则集(nevermind routes / ifconfig的参数)取代。