我试图转发只有gmail的内部使用正向下降策略networking没有成功。 这台机器作为内部networking的路由器/防火墙工作。 我无法浏览到谷歌或Gmail。 DNS查找正在工作,我可以成功地从内部networking进行DNS查询。 我的iptables政策 INPUT ACCEPT OUTPUT ACCEPT FORWARD DROP 规则 FORWARD -m string –string "google" –algo bm –to 6745 -j ACCEPT FORWARD -m string –string "gstatic" –algo bm –to 6745 -j ACCEPT FORWARD -m string –string "googleusercontent" –algo bm –to 6745 -j ACCEPT FORWARD -p tcp -m tcp -m state –state RELATED,ESTABLISHED -j […]
我们有很多情况下,客户端应用程序需要从活动的生产networking中的一台主机迁移到另一台主机。 服务器继续运行其他应用程序。 问题在于远程应用程序通常运行在某种embedded式系统上,出于避免风险的原因,不允许对这些远程应用程序的configuration进行更改。 我可以看到,具有(可能是相当数量)NATconfiguration的路由器可以透明地实现这种改变,以强制stream量到达networking上的另一个主机而不接触设备。 我们也许能够说服一些networking层面的变化,但即使这些也不是很受欢迎。 首先,如果不能避免冻结,这是否是正确的方法;其次,是否有人有任何想法(甚至更好的一个现成的iptables规则集)来实现这样的事情? 编辑 我正在故意不具体,但这可能有助于澄清事情。 客户端应用程序通常是具有专有TCPstream协议的embedded式设备。 这个约束是特别的,我们不能改变设备的configuration,并且强烈的不愿意改变networking或服务器的configuration。 这既受到不确定性的风险以及pipe理设备的工具的可用性的驱动。 有许多不同types的设备,具有特定的configuration文件,这不是一个单一的通用解决scheme。 这确实需要在networking边缘插入一些硬件来实现redirect。 我意识到这不能被认为是好的做法,而是我们inheritance和无法控制的东西。 随着我们前进,我们会将协议更改为设备可以适当configuration的协议,或使用充当服务器的设备来避免此问题。 下面显示了一个典型的所需configuration图。
我毁了iptables,我无法连接到我的Ubuntu 12.04.03服务器…我激活救援模式(grml),这是我得到的时候,我试图冲洗它: root@grml:/# iptables -F FATAL: Could not load /lib/modules/3.7-1-grml-amd64/modules.dep: No such file or directory iptables v1.4.12: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 我在谷歌找不到任何东西。 这真的很重要,如果你能帮忙,请…
当设置通信服务器时,我通常在linux中使用iptables将特定端口上的任何传入连接转发到另一个服务器,例如 Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp — anywhere anywhere tcp dpt:telnet to:xxxx:23 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all — anywhere anywhere 有谁知道如何做到这一点与Windows?
最近一次重启之后,我的服务器无法通过http连接,但并不是所有的时间。 我有一个80端口的接受规则,这里是我的iptables: Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all — anywhere anywhere ACCEPT icmp […]
我试图重新路由HTTPstream量从80到8080被Burp Suite使用。 使用iptables,我的命令是: iptables -t nat -A OUTPUT -p tcp –dport 80 -j DNAT –to 127.0.0.1:8080 通过这样做,stream量确实被重新路由到端口8080并显示在Burp中。 但是,GET请求不断加载,如果我禁用拦截,请求洪泛布尔普历史,直到它已满。 我已经完全刷新和重置iptables没有任何效果。 编辑:经过调查更多,我怀疑转发后,相同的请求继续回到Burp套房。 这可能是Burp的一个问题。 帮帮我? 更多信息:我正在做一个Ubuntu的13虚拟机,并testing这与一个Android模拟器(在虚拟机中运行)的浏览器没有代理。
我正在尝试一些东西,所以这是我的testing设置: build立: 我有一个公共和私人子网的AWS VPC。 我有一个公共IP地址的公共子网( 主机A ) 我有一个私有子网的主机在端口80上运行nginx(说IP地址为10.0.1.132 主机B ) 我想做的事 我想通过访问主机A从Internet上访问主机B上的Web服务器。 怎么样 我在主机A的systctl.conf设置IP转发参数,然后放在iptables规则的下面: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 10.0.1.132:80 问题: 它不工作,当我访问端口80上的主机A时,我无法打开网页 其他信息(涉及AWS VPC安全组): host A上的port 80传入访问权限为0.0.0.0/0 host A上的port 80传出访问权限为10.0.1.0/24 我有来自host A host B传入port 80访问 这里是内核信息: # sysctl -p | grep forward net.ipv4.ip_forward = 1 另外,我可以通过端口80从主机A […]
我正在开发一个解决scheme,通过OpenVPN隧道将驻留在Virtualbox guest中的开发堆栈公开到Internet。 OpenVPN客户端在客户虚拟机内部启动并且可以很好地连接到具有公共IP的EC2实例。 我在EC2盒子上添加了一个路由,在访客虚拟机端包含局域网。 实际上,访客虚拟机具有以下接口: 客人 eth0:10.0.2.15 tun0:10.8.0.2 EC2 tun0:10.8.0.1 eth0:10.254.254.234 我可以从客户端ping通EC2到tun0(10.8.0.2)以及eth0(10.0.2.15) 现在有趣的部分开始,当EC2端我包括一个DNAT规则,使SIPstream量从10.254.254.234指向10.0.2.15。 iptables -t nat -I PREROUTING -d 10.254.254.234 -j DNAT –to-destination 10.0.2.15 因为存在正确的路由,通过隧道发送stream量,当我使用tun0上的tcpdump的时候,我看到消息到达另一端(Virtualbox)。 然而,该数据包的最终目的地是虚拟机上的eth0,并且从不会从tun0转发到eth0。 IP转发已启用,并且在iptables的FORWARD链中不存在REJECT规则。 此外,如果我让进程(一个SIP代理)监听隧道接口,即使在使用tcpdump进行监听时看到数据包,并且代理绑定到隧道的IP,它也不会报告接收其日志中的数据。
最近我的服务器得到syn洪水攻击。 我使用hitcount限制,但是我想知道单个用户IP的合法synstream量的最大速率是多less。 我使用的基于源IP的规则是打击; iptables -A INPUT -p tcp –syn -m recent –update –seconds 15 –hitcount 20 –name SYNF -j DROP 它比20分/ 15秒的下降更多。 另外我想知道连接/时间速率与networking内容或浏览器行为之间的相关性。
我正在testing/设置我的邮件服务器。 当我尝试远程login到端口25上的服务器时,我正遇到一个问题。 这里是端口25的netstat输出# netstat -plnt | grep :25 tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 30750/sendmail: acc # netstat -plnt | grep :25 tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 30750/sendmail: acc 这是iptables -L的输出 我可以在回环上远程login,但不能从networking上的任何其他计算机上login。 当我从另一台计算机尝试时出现连接失败。 此外,邮件服务器将不会收到任何电子邮件。 但是,如果我把iptables放下,我可以telnet到没有问题,我的邮件服务器开始接收邮件。 那么在我的iptables安装程序中是否有错误?