Articles of iptables

我们拥有一个项目，我们必须访问通过IP防火墙访问限制的SOAP WS。 所以我们的每台机器都需要由客户的安全团队添加到防火墙规则中。 我们的客户平台运行在自己的DC中。 我们也试图在AWS EC2中设置一个自动缩放组，每个新铸造的机器都有自己的公有IP。 满足这两个要求的最佳策略是什么？

我的ISP路由器的内部有三个设备： ISP router 128.128.43.1 Firewall router 128.128.43.2 Server 128.128.43.3 防火墙路由器后面是使用192.168.100.n / 24的NATnetworking 这个问题是关于服务器上运行的iptables。 我想只允许从防火墙路由器后面的NAT客户端访问端口8080，所以我使用了这个规则 -A Firewall-1-INPUT -s 192.168.100.0/24 -m state –state NEW -m tcp -p tcp –dport 8080 -j ACCEPT 这工作，但意外的全球访问，导致我们的JBOSS服务器受到攻击。 我现在知道正确的规则是使用防火墙路由器的地址而不是内部networking，但任何人都可以解释为什么第一个规则允许全局访问？ 我会预料它会失败。 完整的configuration，大部分是从RedHat服务器上解除的： *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :Firewall-1-INPUT – [0:0] -A INPUT -j Firewall-1-INPUT -A FORWARD -j Firewall-1-INPUT […]

我有一个服务器，我configuration成一个路由器（Debian 7稳定）。 eth0连接到我的电缆调制解调器，eth1连接到一个24端口交换机。 DHCP，DNS，路由，通信都可以正常工作。 我似乎无法工作的唯一的事情就是端口转发。 我想转发端口65010到172.16.254.10，但超时。 以下是我写的脚本： #!/bin/bash # init ## Flush current configuration: iptables -F iptables -t nat -F iptables -t mangle -F ## Delete current chains: iptables -X iptables -t nat -X iptables -t mangle -X ## Set policy iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED […]

我有一个服务器与2个公共IP。 我configuration了接口别名来保存第二个IP： # ifconfig vmbr0 Link encap:Ethernet HWaddr 4c:72:b9:4f:18:5f inet addr:public.ip.number.1 Bcast:xxx255 Mask:255.255.255.0 vmbr0:0 Link encap:Ethernet HWaddr 4c:72:b9:4f:18:5f inet addr:public.ip.number.2 Bcast:xxx255 Mask:255.255.255.0 我想使用iptablesredirectvmbr0端口80上的stream量到10.0.0.100和stream量vmbr0：0端口80到10.0.0.101。 我试过的： # iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o vmbr0 -j SNAT –to public.ip.number.1 # iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o vmbr0:0 -j SNAT –to public.ip.number.2 # iptables -t […]

我有一个vps访客，其IP为192.168.1.20。 我将下面几行添加到iptables中， # iptables -A FORWARD -o eth0 -s 192.168.1.20 # iptables -A FORWARD -i eth0 -d 192.168.1.20 然后我运行这一行来监视使用情况 # iptables -L FORWARD -v -x | grep '192.168.1.20' 但是结果的值总是为0。

我在Ubuntu 12.04.2 LTS cat /proc/sys/net/ipv4/ip_forward 0 我用以下命令重置iptables： iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT 我想redirect去往端口80的stream量到1337.这些命令完成： iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 1337 iptables -t […]

我能够让我的服务器转发某个端口上的连接到一个不同的IP，但是当我添加-d来指定一个IP来源于，它不起作用。 这是我正在尝试， iptables -t nat -A PREROUTING -d 173.208.230.107 -p tcp –dport 80 iptables -t nat -nvL-j DNAT –to-destination 38.105.20.226:80 iptables -t nat -A PREROUTING -d 173.208.230.107 -p tcp –dport 80 iptables -t nat -nvL-j DNAT –to-destination 38.105.20.226:80 。 它工作正常，没有-d。 这是我的ifconfig转储： em1 Link encap:Ethernet HWaddr 00:A0:D1:ED:D0:54 inet addr:173.208.230.106 Bcast:173.208.230.111 Mask:255.255.255.248 inet6 addr: fe80::2a0:d1ff:feed:d054/64 Scope:Link UP […]

我正在使用iptables（1.1.1.1 => 2.2.2.2）使用以下命令进行NATstream量转发： iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT –to-destination 2.2.2.2 iptables -t nat -A POSTROUTING -d 2.2.2.2 -j SNAT –to 1.1.1.1 除了一件事情，它工作正常：如果我检查Apache日志，在服务器2.2.2.2做防火墙规则等，它看起来像所有的stream量来自1.1.1.1。 当然这有点道理，因为它是1.1.1.1将stream量转发到2.2.2.2，但我认为NAT会通过包中的原始IP“请求者”？ 有没有办法让stream量到2.2.2.2拥有“真正的”原生IP？ 目前，由于所有stream量似乎都来自1.1.1.1，无论原始stream量实际来自何方，因此设置良好的防火墙规则和其他安全措施非常困难。

尝试NAT使用iptables在不同的networking。 在桥br0上使用ip 10.10.11.36的KVM主机。 两个vms正在使用ip 192.168.11.60和192.168.11.57共享网桥br0。 想要将来自10.10.11.60的所有请求都转换为192.168.11.60。 这怎么能用SNAT完成。 试过这个： 在主机网桥上，br0创build了一个别名为br0：0的ip 192.168.11.36，并将guest虚拟机指定为网关。 NAT规则。 DNAT all — anywhere 10.10.11.60 to:192.168.11.60 当然，规则柜台并没有增加， 如何使NAT在这里工作？

我正在玩CentOS 6.4上的VLAN（虚拟LAN）configuration。 我有2个接口，eth0和eth1。 我configuration了两个VLAN接口eth0.20和eth0.30 #file: ifcfg-eth0.20 #————- VLAN=yes DEVICE=eth0.20 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=no BOOTPROTO=static IPADDR=192.168.20.1 GATEWAY=192.168.20.1 NETMASK=255.255.255.0 USERCTL=no #file: ifcfg-eth0.30 #————- VLAN=yes DEVICE=eth0.30 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=no BOOTPROTO=static IPADDR=192.168.30.1 GATEWAY=192.168.30.1 NETMASK=255.255.255.0 USERCTL=no 然后使用LAN电缆将桌面连接到接口eth0端口，并分配了192.168.30.2/24 IP。 当我尝试从192.168.30.2机器ping 192.168.30.1时，它显示目标主机不可达。 我也无法从192.168.30.1 ping 192.168.130.2。 但是ping -I eth0 192.168.30.2工作正常。 任何指针？