对于初学者来说,这不是一个Web服务器。 我想允许或拒绝服务器本身的各种端口上的HTTP方法。 理想情况下,可以编写像UFW这样的规则,只扩展到包含HTTP方法 例如 ufw allow 80 -method GET -deny POST,PUT,DELETE 有没有什么轻量级的解决scheme呢? 谢谢。 服务器通常运行诸如elasticsearch,redis等产品。只允许来自特定IP的各个端口上的操作是非常好的。
我有一个客户端运行一个bind-address=0.0.0.0的MySQL服务器。 这是iptables输出 root@host:/var/www# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere 127.0.0.0/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh ACCEPT icmp — anywhere anywhere ACCEPT tcp — anywhere mysql tcp dpt:mysql LOG […]
我拥有1个公有子网和1个私有子网的AWS VPC。 我有我的Web服务器在私有子网中的端口80上运行。 我想这个networking服务器可以访问公共互联网 是的,VPC安全组具有正确的configuration,所以这不是问题。 不,我不想使用ELB或nginX / Haproxy。 让我们不要讨论这个问题。 我想通过IPtalbes实现这一点。 我想在公共子网中有一个公共IP地址的实例,它应该充当一个使用iptables的Linux路由器。 这些是我运行我的实例在公有子网,并有公共IP地址的命令。 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 10.0.1.132:80 哪里: 10.0.1.132是我的Web服务器坐在专用子网中的IP地址。 而eth0是我的实例的接口,它作为一个路由器,有一个私有的IP地址10.0.0.151 我有IP转发启用: # sysctl -p net.ipv4.ip_forward = 1 这里是我的iptables状态: # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp — […]
我有一个NAT路由器有2个IP地址,可以说222.222.222.222和222.222.222.222与接口eth0和eth0:1相关联。 我有两台通过tap0 (OpenVPN客户端)连接到此NAT网关的服务器,IP为10.0.0.1和10.0.0.2 。 我希望他们冒充每个NAT路由器的IP地址。 到目前为止,我做了以下的iptables规则: iptables -A PREROUTING -d 111.111.111.111/32 -i eth0 -j DNAT –to-dest 10.0.0.1 iptables -A PREROUTING -d 222.222.222.222/32 -i eth0 -j DNAT –to-dest 10.0.0.2 这是将所有传入连接路由到正确的服务器。 而且,传出连接仍然使用相同的IP地址访问网页。 如何创build一个规则来强制这些本地服务器的所有传出stream量使用其各自的外部IP地址,并实现我想要的模拟效果?
我在使用Iptables日志时遇到了麻烦,我无法从kern.log,syslog和消息文件中取出它们。 我在rsyslog.conf中添加了两条将我的消息redirect到“iptables.log”文件的规则,但日志也存在于kern日志中。 这是我的rsyslog.conf: ############### ####规则#### ############### #iptables :msg,包含“IPT IN / DP:” – / var / log / iptables.log :msg,包含“IPT6 IN / DP:” – / var / log / iptables.log &〜 # #首先是一些标准的日志文件。 按设施logging。 # auth,authpriv。* /var/log/auth.log *。*; auth,authpriv.none,cron.none – / var / log / syslog cron。* /var/log/cron.log 守护进程。* – / var / log / daemon.log […]
我是一个初级的系统pipe理员,在一个CentOS服务器系统上工作,用CentOS服务器伪装客户端机器的stream量。 与表的东西搞砸了,我的客户不再有互联网连接。 我试图让ping请求作为第一步工作,并且指出了stream量不通的地方,但是我不明白这个configuration足以知道下一步该做什么。 对于更有经验的系统pipe理员,快速浏览一下我的桌面是否显示出任何exception? Ping失败。 1.服务器。 IP=98.139.183.24 ; _ tcpdump -i any "dst host $IP or src host $IP" 2.客户。 » IP=98.139.183.24; ping $IP PING 98.139.183.24 (98.139.183.24) 56(84) bytes of data 3.服务器。 对于正常的操作,我应该看到响应,这让我怀疑主节点上的iptableconfiguration有问题。 注意: b6映射到/etc/hosts 10.0.2.6 。 » IP=98.139.183.24 ; _ tcpdump -i any "dst host $IP or src host $IP" tcpdump: verbose output suppressed, […]
我有一个OpenWRT安装,目前我正在强化。 我想阻止从LAN设备到路由器的所有networking访问,除了TCP 22,TCP 80和TCP 443。 我正在使用LuCI,以下是常规设置: 交通规则如下: 目前,除了远程TCP 22,TCP 80和TCP 443之外,来自WAN的所有传入通信都被拒绝。但是,似乎从LAN到路由器的所有通信都被接受。 除了TCP 22,80和443以外,如何(安全地)拒绝从LAN到路由器的所有通信?
我部署了Django + uwsgi + Nginx项目,但通过127.0.0.1访问nginx工作正常,如果通过IP访问则返回400 iptables显示 # iptables -L |grep 8181 ACCEPT tcp — anywhere anywhere tcp dpt:8181 而Nginx的configuration是 server { listen 8181 default; server_name _; 访问日志显示 192.168.1.131 – – [06/Dec/2013:09:55:16 +0800] "GET / HTTP/1.1" 400 127.0.0.1 – – [06/Dec/2013:10:08:08 +0800] "GET / HTTP/1.1" 200 什么原因可能导致这个问题?
我试图阻止所有的http / sstream量和白名单一小部分的网站。 iptables适用于将简单的网站列入白名单。 它在asynchronous客户端到其他连接上分崩离析。 谷歌做了很多。 Google的大部分应用程序最终都会要求客户与Google * .1e100.netbuild立asynchronous连接,该服务看起来像是一个拥有数百或数千个主机logging的云服务。 而iptables根本不适合这个模型。 不是像OpenDNS这样的解决scheme的巨大粉丝。 任何其他好的解决scheme让gmail工作? 我宁愿坚持iptables意识到它可能不是。
如果不可能,是否有任何解决方法,而不影响CPU性能? iptables -A INPUT -p tcp –dport 80 -j DROP