我想让我的系统对某些故障更有弹性。 当系统使快速出站TCP连接失败时, nf_conntrack表将填充TIME_WAIT条目。 这会导致系统上的其他操作失败,因为不再有可用的nf_conntrack条目。 我知道可以修改某些参数,例如tcp_tw_reuse ,& tcp_fin_timeout ,但是不愿意在那里做出大的改变(基于这样的警告) 我之前希望做的任何改变和应用程序的变化,是通过限制每个susbsystem的传出连接(通过使用端口号,ip地址等)来防止nf_conntrack条目完全耗尽。 我想我可以添加如下规则: -A OUTPUT -p tcp –syn –dport 9702 -m connlimit –connlimit-above 3 -j REJECT –reject-with tcp-reset 但是,这似乎只影响主动联系(这是可以理解的,因为这些联系已经消失了)。 有没有一种方法可以限制每个端口/应用程序的传出连接,以便将TIME_WAIT套接字考虑在内? 谢谢
无可否认,我是防火墙领域的新手。 但是我已经阅读了IPtables和防火墙的理论和命令选项。 IPtables的创build者Rusty Russell提供了一个通用图表: _____ INCOMING / \ OUTGOING –>[Routing ]—>|FORWARD|——-> [Decision] \_____/ ^ | | v ____ ___ / \ / \ |OUTPUT| |INPUT| \____/ \___/ ^ | | —-> Local Process —- 这张图以各种forms出现在所有IPTables / Netfilter的文献,书籍等中。 我在这方面的一个新手的问题是: 一个。 如果INCOMING和OUTGOING指的是两个不同的以太网端口(例如eth0和eth1),我清楚地理解这个图表。 是否有可能是INCOMING和OUTGOING是相同的以太网卡(只是eth0)? 如果是这样,有人可以解释如何。 湾 为什么在OUTPUT链之后没有“Routing Decision”? 我的意思是来自主机的数据包也需要一些路由决定。 对? 谢谢!
我必须在我的iptables文件中注释这两行,因为由于某种原因,它拒绝了ftp列表(它连接到ftp服务器,但它从来没有列出文件,然后它只是超时): -A INPUT -j REJECT –reject-with icmp-host-prohibited -A FORWARD -j REJECT –reject-with icmp-host-prohibited 我改变了… # -A INPUT -j REJECT –reject-with icmp-host-prohibited # -A FORWARD -j REJECT –reject-with icmp-host-prohibited 可能是什么问题? 我在另一台服务器上有相同的2行,我没有问题在FTP服务器上的FTP列表文件。 如果你需要它,这是完整的iptables文件: # Generated by iptables-save v1.4.7 on Wed Jan 15 22:36:31 2014 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [3:412] -A INPUT -p […]
我有一个CentOSterminal作为安装有APF的路由器工作。 还有一个带有3个NIC(3个IP)的terminal使用该路由器作为网关来访问互联网。 我想要的是APF阻止3个NIC(IP)中的2个SSH访问。 所以结果是,SSH只能访问特定的IP而不是全部三个。 我如何直接在APF或iptables的路由器上实现? 我所尝试的:iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp –destination-port 22 -j DROP
linux服务器eth0设置默认路由(网关)。 而连接到eth2的客户端应该能够通过NAT访问互联网(eth1)。 接口: eth0:LAN(默认路由)/ IP:10.0.0.5,网关:10.0.0.1 eth1:WAN / IP:10.1.0.10,网关:10.1.0.1 eth2:LAN(通过WAN的NAT)/ IP:192.168.0.1 图片: 我怎么做?
我已经使用这个教程来configuration我的iptables,所以我可以从我的服务器之外访问星号sip。 我的iptables -L看起来像这样 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp — anywhere anywhere ACCEPT all — anywhere anywhere ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh REJECT all — anywhere anywhere reject-with icmp-host-prohibited ACCEPT udp — anywhere anywhere udp dpt:sip ACCEPT udp — […]
我试图找出为什么规则-A POSTROUTING -o eth0 -j MASQUERADE保持幸存的重新启动。 我没有安装iptables-persistent ,在/etc/network/interfaces没有/etc/iptables.rules文件或附加行 该服务器是Ubuntu 12.04.3 x64的DigitalOcean液滴
我试图组织一些宽的无线networking 想象一个有几个wifi点的小镇 当用户连接到一个WiFi点,设备被redirect到俘虏网站(CP)的网站,他们必须input一些信息,并接受条款和条件 我们使用linux iptables在每个WiFi点后面组织强制门户(如果设备的mac地址接受服务条款,则允许用户访问互联网) 它完美的工作,直到用户移动到另一个位置(到其他无线点) – 用户必须接受条款再次强制门户 我们在capive门户之间创build了一个mac地址列表来避免这个问题,但是之后又出现了其他问题,因为互联网用户的数量大约是90000 – 我们在CP机器上有很高的CPU负载,因为iptables处理90k + mac地址规则 所以这个问题 – 是否有一些轻量级的解决scheme,如通过MAC地址过滤iptables或者也许我们应该使用一些其他的策略?
我在服务器上设置了iptables,只允许列入白名单的ips访问它: :INPUT ACCEPT [1695:323274] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [987:756890] :xxx – [0:0] -A INPUT -s 12.34.56.78/32 -j ACCEPT -A INPUT -s 98.76.54.32/32 -j ACCEPT -A INPUT -j DROP 这是因为它允许12.34.56.78和98.76.54.32(示例IP,显然)访问服务器。 但是,服务器本身无法访问Internet。 EG我无法使用lynx浏览器访问Google。 我不介意这种行为,但有一些网站,我需要服务器能够谈话,特别是更新网站。 我可以添加什么规则来允许我的服务器与白名单服务器交谈?
我使用NAT将来自外部端口的请求移动到由proxmox托pipe的内部IP地址和端口。 像这样的东西: iptables -t nat -A PREROUTING -i vmbr0 -p tcp –dport 8000 -j DNAT –to 10.0.0.1:80 但是,即使我试图暂时阻止端口8000的请求仍然通过,我可以访问网页。 使用NAT时,您不能阻塞主机上的端口吗? 我必须在虚拟机上执行此操作吗? 这只是错误的命令? ufw deny 8000