我需要一些帮助,现在我的游戏服务器已经遭受了2天的DoS攻击。 带宽攻击是没有问题,因为我主机与OVH,他们被过滤掉,但我的游戏服务器端口正在攻击的服务器的时间,并断开所有球员。 所以起初很容易,他用同样长度的包裹攻击,1062。 444 0.017859 159.208.182.160 192.95.55.2 UDP 1062 Source port: 53407 Destination port: 27016 445 0.017902 14.87.205.89 192.95.55.2 UDP 1062 Source port: 22286 Destination port: 27016 446 0.017907 68.191.26.190 192.95.55.2 UDP 1062 Source port: 48964 Destination port: 27016 447 0.017992 201.50.53.136 192.95.55.2 UDP 1062 Source port: 13001 Destination port: 27016 448 0.017993 58.15.28.176 192.95.55.2 […]
我需要从服务器连接到Web服务服务器来使用SOAP服务,但是由于限制,我无法直接连接。 但是,他们给了我一个代理服务器,但它可以在另一个端口上运行: [webserver] —– [proxy:48650] —– [webservice:8601] 注意(如果还不清楚):我已经简化了主机名称作为他们很长的企业事情,并不必要地复杂的问题。 最大的问题是,webservice的WSDL包含了很多带有绝对URL的引用(所以webservice:8601 )。 包括超过1级的深度(所以下载WSDL和做一个search/replace不会让我更进一步)。 我在webserver上添加了一个规则到/etc/hosts : 127.0.0.1 webservice 其基本思想是以某种方式代理本地主机上的8601端口,并使肥皂客户端认为它实际上连接到web服务(通过代理)。 不幸的是, SSH tunnel不是代理的一个选项,同样的安全原因。 我无法build立到代理的SSH连接。 iptables是一个可能性,但我可以find一组规则,需要本地主机上的端口(8601),并将其redirect到外部主机/不同的端口(代理:48650)。 他们中的大多数是传入stream量。 我一直在浪费很多时间,而且越来越绝望。 有没有人可以提供一些提示/解决scheme? 请好吗?
这可能有点牵强,可能是不可能的。 我有一个虚拟机,将有文件,我不希望人们能够转让 – 他们被允许访问,我只是希望他们留在没有复制。 考虑到这一点,是否可以限制虚拟机的networking访问,以便我仍然可以允许RDP连接(端口3389),但是在login到该机器时阻止networking访问(即共享等)? 我正在运行Xenserver 6.2,并且VM正在运行启用了RDS的Windows 2012。
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp –dport ssh -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j ACCEPT iptables -A INPUT -j DROP 我有一个ngnix服务器的iptables上的规则在Ubuntu的Ubuntu 12.10在SSH中 第1行应该允许服务器自己谈话。 02线应该让我ssh。 第03行应该允许http协议。 04号线应该放下其他所有东西。 但即使第4行DROP规则在最后。 它“打破”了服务器。 一切都超时 我一直在和重置所有的超时规则,没有任何工作。 我不明白为什么放弃除了http之外的任何东西都会导致这个问题。 绞尽脑汁,却无法看到树林。 没有什么似乎解决它。 有人会有一个build议,为什么会导致这样的问题,以及如何解决它?
我仍然可以使用init.d iptables stop吗? 看来,init.d被systemd所取代。 那是对的吗? iptables是内核权利的一部分,而不是服务。 在基于redhat的系统上,这是一项服务,为什么? 我习惯于 int.d/service iptables stop 我可以把它拿回来吗?
我刚刚安装了Ubuntu Server 14.04,并没有太多的IPtables的经验。 我试图得到一个基本的设置,我只接受端口22和2222上的SSH连接。实际上我使用fail2ban ssh没有问题。 然后,我想阻止除423和4242之外的其他所有端口,但是删除所有未列出的连接的方法似乎都不起作用,并且阻止了我的一切。 以下是工作的设置: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport –dports 22,2222 -j fail2ban-ssh -A fail2ban-ssh -j RETURN 我试图改变它: -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport –dports 22,2222 -j fail2ban-ssh -A […]
我有以下的iptables命令: iptables -t nat -i ppp0 -A PREROUTING -p tcp –dport 81 -j DNAT –to-destination 192.168.16.8:80 iptables -t nat -A POSTROUTING -p tcp –dport 80 -j MASQUERADE iptables -t nat -i ppp0 -A PREROUTING -p tcp –dport 5000 -j DNAT –to-destination 192.168.16.8:5000 iptables -t nat -A POSTROUTING -p tcp –dport 5000 -j MASQUERADE 我试着将下面的代码添加到/etc/ufw/before.rules的顶部,然后在文件的底部,并没有工作: # […]
我们偶尔也会遇到一个奇怪的networking堆栈问题。 重新引导有问题的服务器清除它。 它发生如下(通过服务器上的tcpdump收集) : HTTP客户端开始向Nginx发送请求。 服务器正常响应,确认每个数据包。 在最终客户端发送时,数据包永远不会到达服务器上的接收套接字。 客户端重新发送数据包,然后服务器终于超时并断开连接。 另外,Nginx的strace证实数据没有达到Nginx。 这里是tcpdump输出的编辑版本。 我简化了交stream,并匿名了一些细节。 打开iptables日志显示一些数据包被阻止,这可能是相关的: IN= OUT=lo SRC=client DST=server LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=39670 DPT=80 WINDOW=0 RES=0x00 RST URGP=0 IN= OUT=eth0 SRC=server DST=client LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=39669 WINDOW=31 RES=0x00 ACK URGP=0 但是,我们的iptables设置是行人。 我们阻止除RELATED,ESTABLISHED之外的所有内容,并允许有问题的端口80.我不明白为什么iptables阻止了这个,除非数据包在RELATED和ESTABLISHED状态之外。 上面的要点也包含了我们的sysctl设置。 还有什么我可以看看? Ubuntu 12.04.3上的Linux 3.8.0,DigitalOcean上。 编辑3 :禁用iptables,同样的问题,所以它不是由坏的iptables规则造成的。 […]
fail2ban / iptables有一个很奇怪的问题。 有些事情是不正确的,但我不能想象出什么。 我已经添加了这个conf&和过滤fail2ban: [wordpress-register] enabled = true port = http,https filter = wordpress-register logpath = /var/log/nginx/access.log [Definition] failregex = ^<HOST> .* "GET /wp-login.php\?action=register HTTP/.*" .*$ Fail2ban启动,但在错误日志中有这个: 2014-09-22 15:14:35,794 fail2ban.server.action [5275]:错误ipset create fail2ban-wordpress-register hash:ip timeout 600 firewall-cmd –direct –add-rule ipv4 filter INPUT 0 -p tcp -m multiport –dport http,https -m set –match-set fail2ban-wordpress-register src […]
我有一个DNS服务器,解决所有stream量到我的Squid服务器,将代理所有的HTTPstream量透明(它必须是透明的,或将失去一个无效的url错误),这很好。 问题在于HTTPS。 我的目标是使HTTPS完全正常工作(我不想使用伪造的“错误”信息),我已经尝试了很多方法来完成这项工作故障。 我甚至不想触摸HTTPS数据,但我必须因为所有域都parsing到我的服务器。 我试过使用IPTables直接将HTTPSstream量redirect到他们的服务器,这是完全不可能的,因为你不能用IPtables读取主机名,也不能dynamic地redirect它们。 我已经尝试使用Haproxy传递数据,这很好,但它需要我分别放置在每个服务器,所以除非我要做一个configuration文件是数百万和数百万行只是网站域名/子域名不能使用它。