我有一个问题,我的服务器被locking,因为它是发送数据包私人IP。 我的问题是,最好的解决scheme是什么? 这里是我从我的托pipe服务提供商那里得到的日志: [Mon Jun 2 00:04:36 2014] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-44487.0 PHYSOUT=eth0 MAC=78:fe:3d:47:3d:20:00:1c:14:01:4e:cd:08:00 SRC=78.46.198.21 DST=192.168.249.128 LEN=1454 TOS=0x00 PREC=0x00 TTL=64 ID=58859 DF PROTO=UDP SPT=41366 DPT=41234 LEN=1434 [Mon Jun 2 00:17:15 2014] forward-to-private:IN=br0 OUT=br0 PHYSIN=vm-44487.0 PHYSOUT=eth0 MAC=78:fe:3d:47:3d:20:00:1c:14:01:4e:cd:08:00 SRC=78.46.198.21 DST=192.168.249.128 LEN=1456 TOS=0x00 PREC=0x00 TTL=64 ID=52234 DF PROTO=UDP SPT=55430 DPT=41234 LEN=1436
我正在经历一个奇怪的问题,当时我自发使用的CentOS 6.5系统经历了未经我授权的重启,然后进入救援模式,在那里我无法进一步诊断问题。 这个服务器是一个新的服务器,这是我最初困惑的原因之一。 这发生了两次,第二次,我logging了我的所有行动,以查看是否有潜在的问题,我造成的。 login到root用户的过程如下所示: yum update 安装EPEL和它, fail2ban 使用useradd创build用户deploy 使用我的RSA pub密钥和另一个人的密钥设置authorized_keys文件 更改的权限: chmod 700 /home/deploy/.ssh chmod 400 /home/deploy/.ssh/authorized_keys 更改了root密码并deploy并添加了deploy到sudoers列表( visudo ) 在sshd_config更改了以下几行: PermitRootLogin no PasswordAuthentication no AllowUsers deploy 改变了iptablesconfiguration: iptables -P INPUT ACCEPT iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT […]
如何做到这一点: 有: Centos 6.5 WAN1 eth0 44.44.44.44(DEFROUTE = yes) WAN2 ppp0 95.95.95.95(DEFROUTE = no) HTTP服务器工作,只在eth0中可用 DNS服务器工作,但在eth0中阻塞端口53 ping仅在eth0中可用 客户端可以通过eth0访问HTTP和PING eth0中的ISP块端口53 在ppp0中的ISP块端口80 需要: 客户端PC必须能够访问PING eth0和ppp0 客户端PC必须能够在eth0中保持对HTTP的访问 客户端PC必须能够访问ppp0中的DNS 我尝试做这个,但直到最后还是不明白如何做到这一点: echo 2 ppp0_OUT >> /etc/iproute2/rt_tables ip route add default via 95.95.95.95 dev ppp0 table ppp0_OUT iptables -A PREROUTING -i ppp0 -t mangle -j MARK –set-mark 2 ip rule add […]
假设有三个networking,WAN,LAN-A和LAN-B。 在这之间,有一个防火墙服务器将networking彼此连接起来。 iptables确保以下事情: 外部WAN用户无法访问两个本地networking LAN-A中的用户可以通过防火墙访问LAN-B,但是… LAN-B中的用户不能访问LAN-A 防火墙机器使用iptables进行路由和过滤,同时作为OpenVPN服务器。 我希望外部用户通过VPN连接到LAN-A和LAN-B。 第一个想法是允许防火墙的tun0接口通过eth1和eth2(eth0用于互联网连接)build立到LAN-A和LAN-B的连接。 一个理论上的问题是:仅允许通过eth1连接到LAN-A的VPN连接是否足够,并省略访问LAN-B的显式规则? 根据以上所述,如果您在LAN-A中,则可以访问LAN-B,因此我不确定是否需要允许tun0访问LAN-B。 第二个问题:是直接连接三个networking的一部分还是在机器内部隔离?
我试图通过一台笔记本电脑,通过一个VPN和一个3G调制解调器/路由器连接到远程PC /计算机。 PC (192.168.1.33) | 3G Modem (192.168.1.22) | [3G internet, connecting to VPN] | Modem VPN IP (192.168.0.3) My laptop on VPN: 192.168.0.2 在正常情况下,PC的网关设置为192.168.1.22,我可以通过VPN和3G调制解调器从笔记本电脑连接到PC。 但是我忘了在这个时候在PC上设置网关,我无法连接到它。 个人电脑很远,不能访问,所以我不能物理login和更改网关。 还有另外一种方法可以通过在调制解调器中添加某种“iptables”路由来让PC访问RDP或VNC吗? 我有唯一的访问是telnet访问调制解调器。 我需要能够通过RDP或VNC从笔记本电脑连接到远程PC。 感谢您的任何想法。 PS:这是我在调制解调器路由器上的当前端口转发设置 # port 3389 PC (RDP) iptables -A PREROUTING -t nat -i ppp0 -p tcp –dport 3389 -j DNAT –to 192.168.1.33:3389 iptables -A FORWARD […]
在启用iptables之前,通过curl请求这个URL是即时的。 但configurationiptables后,需要将近30-40秒才能得到响应。 我如何使特定的URL白名单,以便它可以像iptables之前立即检索?
我已经看到了各种各样的指南,如何空出一个IP地址,我以前做过。 但是,我不知道如何空路由一组IP地址。 单独浏览每一个将是太枯燥乏味。 如果我在每一行上都有一个带有IP地址的文本文件,那么我将如何将该文件中的所有地址空路由? 有没有我可以使用的route或iptables命令? 我正在运行Debian VPS。 此外,我在某处读到,这种方法可能不是禁止一组IP地址的最佳方法。 如果有更好的方法来实现这一点,请让我知道。 我一直在我的服务器上发起垃圾邮件攻击。
我正在尝试一个积极的防火墙,并用iptables阻止世界其他地方。 所以,我已经设置INPUT链默认DROP,允许特定的IP应该有访问权限。 基本上, iptables -P INPUT DROP iptables -I INPUT -s XXX.XXX.XXX.XXX -j ACCEPT 但是,我将不得不启用连接下载,更新等。据我所知,这可以通过接受ESTABLISHED,RELATED连接通过状态或conntrack模块来完成。 说, iptables -A INPUT -m状态 – 状态ESTABLISHED,RELATED -j ACCEPT # – -要么 – – iptables -A INPUT -m conntrack -ctstate ESTABLISHED,RELATED -j ACCEPT 在这一点上,我想知道是否有另外一种方式来获得连接(如下载),而不使用像state或conntrack这样的复杂模块。 如果可能的话,我喜欢坚持使用基本的iptables的东西,以避免在可能的攻击过程中变得混乱。 欣赏一些想法/投入。 谢谢!
我有两台服务器,server_1连接到eth0的INTERNET(服务器场的)端口。 没有开关。 他们使用来自(server_1)eth1 – >(server_2)eth0的电缆连接: ifconfig of (server_1): eth0 inet addr:199.203.51.24, eth0:1 inet addr:212.235.19.200, eth1 inet addr:10.0.0.1 ifconfig of (server_2): eth0 inet addr:10.0.0.2 我想通过server_1连接server_2到internet,并从(server_1)eth0的gatway获得静态IP地址。 尝试使用iptables在(server_2)像这样: iptables -t nat -A POSTROUTING -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.2 -j SNAT –to-source 212.235.19.203 iptables -t nat -A PREROUTING -d 212.235.19.203 -j DNAT –to-destination 10.0.0.2 而掩蔽IP是212.235.19.203。 […]
我对Linux的networking有点新,并且遇到了iptables的一个问题,我只是没有取得任何进展。 两个笔记之前,我也是这样。 iptables是1.4.14版本,它是一个使用Linux自定义发行版的定制embedded式服务器。 我遇到的问题是-j REJECT参数不可用。 如果我input(如root)“iptables -A INPUT -p tcp -dport 80 -j REJECT”,那么错误“iptables:No chain / target / match by the name”。 返回。 如果我用-j DROPinput相同的东西,而不是iptables接受它并且没有问题。 所以问题是什么是我的安装丢失是造成这个? 谢谢。