虽然在Linux方面有经验,但我是iptables新手,根据Rackspace虚拟服务器安装指南进行设置。 使用端口扫描和检查所需端口的远程访问,我可以看到除了我专门打开的端口之外,所有stream量都被阻塞。 但是我不能访问我在本地打开的端口 (例如w3m http://localhost:4848 )。 这是我的iptables规则: # Generated by iptables-save v1.4.12 on Tue Oct 7 20:06:11 2014 *filter :INPUT DROP [44:3960] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [184:19472] -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport […]
我在虚拟机上遇到了iptables问题。 我在我的rootserver上安装了proxmox 3.1-21。 我有大约6个IP连接到我的rootserver,所以我创build了新的“CT”。 问题是我需要将端口redirect到目标端口,命令是这样的: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 10001 -j REDIRECT –to-port 9001 问题是,我的ct现在返回我这个错误: iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded 我该如何解决这个问题? 我已经浏览了几个网站。 我还在proxmox论坛的某个地方发现了同样的问题,没有人回答。
我的目标是使用Ubuntu作为路由器,Redsocks作为一个透明的SOCKS代理redirect器。 我的networking上的每台计算机都将其TCP / UDP通信redirect到Redsocks正在侦听的不同端口。 示例:计算机1将stream量发送到端口12345,Redsocks将交给外部代理1.计算机2将stream量发送到端口12346,Redsocks将发送到代理2。 我认为iptables可以处理最初redirect到特定的Redsock端口位置。 我发现了一个类似于我的SNAT( iptables用于透明NAT )的情况,但无法使用以下方法: iptables -t nat -N REDSOCKS iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN iptables -t nat -A REDSOCKS […]
我的iptables坚持。 我有一个IP服务器后面的DNS服务器和一个NAT'ed OpenVPNpipe道。 使用tcpdump我看到DNS数据包命中外部路由器,但它需要4或5 DNS查询尝试之前,DNS请求实际上沿着pipe道传递到DNS服务器。 服务器是新鲜更新,问题仍然存在。 什么可能导致这个“粘性路由”,我该如何摆脱它? iptables-save命令: # Generated by iptables-save v1.4.21 on Wed Oct 15 18:53:53 2014 *security :INPUT ACCEPT [6661499:1780706800] :FORWARD ACCEPT [1395363:1087119696] :OUTPUT ACCEPT [9054598:4470085569] COMMIT # Completed on Wed Oct 15 18:53:53 2014 # Generated by iptables-save v1.4.21 on Wed Oct 15 18:53:53 2014 *raw :PREROUTING ACCEPT [8279921:2932266784] :OUTPUT ACCEPT […]
我在Ubuntu中设置了一个PPTP客户端。 过滤iptables拒绝networking访问除TOR和PPTP客户端以外的所有内容。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT DROP [0:0] -A OUTPUT -d 127.0.0.1/32 -j ACCEPT -A OUTPUT -m owner –uid-owner debian-tor -j ACCEPT -A INPUT -i pptp -j ACCEPT -A OUTPUT -i pptp -j ACCEPT COMMIT 因此,我收到一个错误 Can't use -i with OUTPUT 我究竟做错了什么?
我有一台运行DD-WRT的路由器和一个OpenVPN客户端,通过VPN连接并redirect每个请求。 我的VPN提供商支持端口转发,问题是我的路由器不转发任何通过OpenVPN连接(tun1我的情况)(在端口转发Web-UI中设置的规则只适用于传入WAN请求) 基本上我想要的是设置端口转发从tun1到特定本地ips的请求。 (比如转发所有从端口443上的tun1到ip 192.168.3.2)。 有谁能给我一个提示,看看这样的规则吗? 她是我的ifconfig,如果有帮助 br0 Link encap:Ethernet HWaddr D8:XX:XX:XX:XX:XX inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:184989 errors:0 dropped:739 overruns:0 frame:0 TX packets:299334 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:15114971 (14.4 MiB) TX bytes:375616298 (358.2 MiB) br0:0 Link encap:Ethernet HWaddr D8:XX:XX:XX:XX:XX inet addr:169.xxx.xxx.1 Bcast:169.xxx.xxx.255 Mask:255.255.0.0 UP BROADCAST […]
我有以下安装iptables INPUT ParentChain ChildChain1 ChildChain2 … More Rules on INPUT …. 如何才能从ChildChain1返回到刚刚在ParentChain之后的INPUT? 我从ChildChain1了解RETURN目标将出现在ChildChain2的ParentChain? 我怎样才能返回说2级? 我的理解是,如果我跳到input,并没有匹配,我会最终回到ChildChain1(并最终击中ChidlChain2,我本质上试图跳过)
我是IPtables的新手,但我希望根据源发送stream量到特定的卡。 这是我想要的: eth0 – 所有stream量进入此网卡 根据源IP,我希望将stream量引导到eth1或eth2上的Internet。 我已经尝试添加以下到nat iptable,但它不工作。 iptables -t nat -A POSTROUTING -s 10.0.0.100 -o eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.0.0.200 -o eth2 -j MASQUERADE 我错过了哪些步骤?
为了防止分布式udp泛滥,我需要从源中删除第一个udp数据包,并接受第一个数据包以外的其他数据包。 iptables是否有能力做到这一点? 如果是的话,怎么样?
我有一个虚拟机,我试图configuration(不成功)每个物理设备一个服务 – 即ssh打开只在eth0,HTTP只在eth1和ftp只在eth2。 无论物理设备configuration如何,都必须发生这种情况,例如,如果eth0,eth1和eth2全都在同一子网上使用DHCP,并且eth0在一个上,eth1在另一个上使用DHCP,则必须工作。 第一个尝试是使用设备(-i eth0)过滤掉iptables中的stream量,然而事实certificate,由于内核在s1和eth2上运行ssh将会变得开放(数据包在接口上被不同的IP接受)。 切换到使用IP筛选(-s xyzq)无法正常工作,因为每次DHCP信息更改时都需要更新表。 我对如何实现这一目标有任何build议,我已经尝试过NAT到具有静态IP,网桥等的虚拟接口,但都没有成功。 UPDATE1:我没有提到,但通过使用IP(-s xyzq)并将arp_filter设置为2(RFC3704松散反向path),我得到每个设备一个服务,但是我需要保持防火墙与设备的实际IP同步这已被certificate是非常挑剔的。