我做一个IP地址作为源地址的TCP SYN洪水攻击,我测量服务器的响应时间。 然后我做随机IP地址作为源地址(DDOS)的TCP SYN洪水攻击,我也测量服务器的响应时间。 我想两个响应时间应该是相同的,但是我看到,从不同的ips发起攻击的响应时间变得非常高,然后下降(虽然攻击不成功,但是在一段时间内响应时间非常高),但是当发生攻击从一个IP地址的响应时间永远不会变高,这是非常低的。 我真的很惊讶,我不希望这种行为,因为赞成synproxy 的行为,它应该对两个行为相同。 你能告诉我为什么发生这种情况吗? 谢谢
我一直在使用CentOS 6,最近没有使用主机名的传出连接。 这可能是由于iptables阻止了所有的DNS查询,因为一旦防火墙被禁用,没有问题。 # Generated by iptables-save v1.4.7 on Thu Jul 20 17:40:16 2017 *mangle :PREROUTING ACCEPT [672953:127627705] :INPUT ACCEPT [6652:691635] :FORWARD ACCEPT [661443:126705426] :OUTPUT ACCEPT [7875:3320683] :POSTROUTING ACCEPT [598139:125758733] COMMIT # Completed on Thu Jul 20 17:40:16 2017 # Generated by iptables-save v1.4.7 on Thu Jul 20 17:40:16 2017 上述规则可能是这个问题的原因吗? iptables -L -n -v输出iptables […]
我得到了Iptables的日志,我无法理解less数复杂的操作。 为什么数据包标记的值与IPtables中设置的值不同(我是新手) -A nm_mdmprxy_pkt_marker -p udp -m udp –sport 4500 –dport 32012 -m u32 –u32“0x0 >> 0x16&0x3c @ 0x8 = 0x0”-j MARK –set-xmark 0x9 / 0xffffffff (想知道右移和操作正在做什么) -A nm_mdmprxy_pkt_marker -p udp -m udp –sport 4500 -m mark! – 标记0x9 -j ACCEPT(我想在这里接受没有标记0x9的数据包) -A nm_mdmprxy_pkt_marker -j CONNMARK –restore-mark –nfmask 0xffffffff –ctmask 0xffffffff(我不确定再次在这里) -A nm_mdmprxy_mark_prov_chain -p tcp -m […]
我遇到了iptables snat和isc dhcp这个问题。 情况是这样的: 我在我的网卡上configuration了2个IP。 小学和中学 操作系统:Ubuntu 16.04 2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:0c:29:40:7a:08 brd ff:ff:ff:ff:ff:ff inet **10.232.208.228**/29 brd 10.232.208.231 scope global ens32 valid_lft forever preferred_lft forever inet **10.232.208.229**/29 brd 10.232.208.231 scope global secondary ens32 当DHCP请求到达第二个IP(10.232.208.229)时,ISC DHCP创build一个主要IP(10.232.208.228)作为源的DHCP Offer。 我使用了下面的iptable snat规则来解决这个问题: iptables -t nat -A POSTROUTING -p […]
我有一个私人局域网上的服务器(node03)。 我把一个VPN(openvpn)给它上网。 我现在想要从node03到互联网的stream量。 Node03正在监听端口32350上的所有地址。我想将外部(互联网)通信端口10000转发到内部32350.或NAT通信我不确定… Node03信息 我在这个节点上有几个接口,所以我只粘贴了VPN隧道。 root@Node03:~# ifconfig tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.255.150 PtP:192.168.255.149 Mask:255.255.255.255 inet6 addr: fe80::42f5:1019:38cc:3aa3/64 Scope:Link UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:685393 errors:0 dropped:0 overruns:0 frame:0 TX packets:395970 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:924362643 (924.3 MB) TX bytes:24261606 (24.2 MB) 和 root@Node03:~# netstat -ap | […]
我们的主机之一负责使用以下configuration创buildIPsec隧道: conn abc authby=secret auth=esp auto=start type=tunnel forceencaps=no left=%defaultroute leftid=52.50.100.70 leftnexthop=%defaultroute leftsourceip=10.203.0.153 right=89.110.203.12 rightsubnet=89.110.203.128/26 rightnexthop=%defaultroute ike=aes128-sha1;modp1024! phase2alg=aes128-sha1;modp1024 ikelifetime=28800s pfs=yes salifetime=3600s keyexchange=ike 问题是,我们有3个应用程序通过安装在主机内部的通道进行通讯。 我们的目标是将它们取出并安装在不同的主机上。 为了达到这个目的,我想创build一个使用iptables的端口映射来把那个主机的端口映射到另一端的主机。 我做了我的研究,并尝试使用以下命令: iptables -t nat -A PREROUTING -p tcp –dport 9999 -j DNAT –to-destination 89.110.203.148:2775 iptables -t nat -A POSTROUTING -p tcp -d 89.110.203.148 –dport 2775 -j SNAT –to-source 172.31.22.88 但没有运气。 虽然他们工作,当我testing它没有ipsec隧道(只是转发端口从一个主机到另一个)。 […]
我想阻止eth0传入stream量,22,80,443的例外,并允许tun0上的所有传入stream量。 我有openvpn客户端configuration与route-nopull和我添加路由从route add -net 10.8.0.0/24 dev tun0和服务器上我有client-to-client并指定静态ips与client-config-dir 我发现ufw搞乱了我的configuration,所以我想用传统的iptables规则。 根据以下规则,除了我在互联网上广泛开放以外,一切都按需要运作。 -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N f2b-sshd -A INPUT -i tun0 -m conntrack –ctstate ESTABLISHED -j ACCEPT -A INPUT -i tun0 -m conntrack –ctstate ESTABLISHED -j ACCEPT -A INPUT -i tun0 -m conntrack –ctstate ESTABLISHED -j ACCEPT -A OUTPUT -o lo -m […]
我正在设置一个下面的场景: 将docker安装到默认的netns中。 能够旋转容器,并能够从默认networking访问 创build二级networking[每个说ns2]和configuration比较子网 能够从相同的对等实例访问networkingn2,互联网运行良好 我卡住的情况是,启动容器在辅助命名空间[ns2],并使其可以从子网访问ns2configuration。 尝试在ns2命名空间中创buildlinuxbridge [bridge0]和docker bridge [custbr]选项。 当执行docker运行命令–net = custbr时,我看到brige和veth是在默认的ns [primary ns]中创build的,而且它的默认ns也是可更新的。 我想知道有人能帮我解决我的问题。 非常感谢。
我的iptables NAT规则不起作用。 架构描述: 我试图NAT从内部networking的所有stream量到外部主机192.168.1.128。 示例请求将是10.0.1.48将DNS Alogging请求发送到8.8.8.8。 我想这个stream量NAT'ed /转发到192.168.1.128主机。 这个盒子上的DNS服务器会响应。 内部10.0.XY ====>使用iptables的Linux主机====>外部192.168.1.128 Linux路由器有两个网卡eth0 192.168.1.64/24(外部)和eth3 10.0.xx / 16(内部)。 iptables设置: ip_forwarding被激活 所有的默认策略都设置为ACCEPT iptables -t nat -A PREROUTING -s 10.0.0.0/16! -d 10.0.0.0/16 -j DNAT – 到目的地192.168.1.128 iptables -t nat -A POSTROUTING -o eth0 -j SNAT – 到192.168.1.64 我也尝试了以上的多种变化。 默认路由是: 0.0.0.0/0 – > 192.168.1.1 10.0.0.0/16 – > 10.0.0.1 networking设置 : […]
我在iptables几个链中有很多规则。 什么是可靠的方法来获得每桌的所有规则的准确计数? iptables –list –line-numbers打印这样的东西: Chain INPUT (policy ACCEPT) num target prot opt source destination 1 cali-INPUT all — anywhere anywhere /* cali:Cz_u1IQiXIMmKD4c */ 2 KUBE-FIREWALL all — anywhere anywhere Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 cali-FORWARD all — anywhere anywhere /* cali:wUHhoiAYhphO9Mso */ 2 DOCKER-ISOLATION all — anywhere anywhere […]