我正在尝试使用iptables来拒绝数据包以及重置TCP连接。 我的规则是: iptables -I FORWARD -p tcp -s 10.0.0.10 -j REJECT –reject-with tcp-reset 如果10.0.0.10被SSH进入172.16.50.1,我们运行上述规则,那么会话将会下降。 但是,如果说我们执行上述规则,然后由于某种原因我们删除它,那么SSH会话将继续工作。 我如何告诉iptables杀死当前会话? 我尝试使用: http : //www.digitage.co.uk/cutter但由于某种原因,它不断思考我试图杀死的会议是本地连接。
昨天晚上我正在搞我的iptables做这个特定的命令: sudo iptables -F sudo iptables -X sudo iptables -P INPUT DROP sudo iptables -P OUTPUT ACCEPT sudo iptables -P FORWARD DROP sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT 如果我是对的,没有什么真正的危害 然后我的ssh connexion倒下了。 试图重启服务器,但一直在说 ssh: connect to host XXXX port 22: Connection refused 我试图启动到救援模式,挂载/ dev […]
我有一个非常基本的设置,按照下图 – [ISP] === [Linux Home Router] ==== [Client1 .. n] 互联网共享正在工作没有任何问题。 但主要的问题是,如果任何客户端开始下载其他客户端的经验,严重的networking变慢。 所以我想在客户端之间平均分配互联网带宽,保证最小160Kb高达1Mbit。 我试图改变在iptables中的队列,但我想我失去了一些东西,因为它不工作。
我想在一个节点内的iptables上制定一套规则,但似乎iptables并没有追加所有的规则或以某种方式,每当我运行下面的脚本踢我(我使用这套规则其他服务器和工作正常): # Allow connections that are already connected to your server iptables -A INPUT -i venet0 -m state –state ESTABLISHED,RELATED -j ACCEPT # Allow connections to SSH iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j ACCEPT # Allowing connections to HTTP/HTTPS iptables -A INPUT -p tcp –dport 80 -m state –state […]
所以我在AWS上设置了2个实例,所以我可以直接从我的家用机器(A,B)连接到它们。 但我想设置框A,以便我可以将某些UDP和TCP连接从它转发到框B. IPtables似乎是我想要的(rinetd会很好,但似乎项目已经死了,而且只覆盖了TCP)。 我跟着各种教程,但他们似乎并没有工作+我想我会需要另一个规则无论如何。 这些是我在框A上configuration它们的规则,用于通过框A转发SSH会话到B: iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 1044 -j DNAT –to-destination B:22 iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source A 我把它看作'把端口1044上接收到的TCP数据包,把它们的目的地从A框改成B框',然后'当我把修改过的数据包发送回networking时,把它们的源改成我自己(A)' 教程似乎认为只有这两个命令是需要的,但它们不起作用。 我想知道如何方块A应该从B的反应,并修改他们的来源本身+转发他们回到C …
自2014年以来,我从SoYouStart和Centos 7获得了一台服务器。它运行良好,但是现在我不得不再次安装操作系统。 现在我正在configuration所有的服务再次工作。 我需要使用SSH隧道连接到服务器到Mysql(现在是MariaDB)并使用SFTP传输文件。 问题是,我可以成功地连接SSH到服务器(从任何主机),但当我尝试使用Cyberduck或Navicat连接到服务器使用SSH隧道时,我得到一个错误(“服务器意外closuresnetworking连接”或“有在连接到端口22上的服务器时出现问题。“)。 我尝试从iPhone与SSH壳,我可以成功连接与SSH和SFTP,但不是与SSH隧道的数据库。 我不明白问题在哪里。 我已经禁用了iptables,firewalld(我用iptablesreplace了它)和selinux直接连接到允许远程连接的数据库。 服务器有一个静态的IP地址,从提供商,我的作业netwkor在最后几个小时没有改变,所以我不认为这个问题在这里。 谁能帮我? 非常感谢你 安德里亚 编辑@TheCompWiz sshd_config已经允许Tcp转发。 这些是未注释的行: PermitRootLogin yes PasswordAuthentication yes ChallengeResponseAuthentication no AllowTcpForwarding yes X11Forwarding yes UsePrivilegeSeparation sandbox PermitTunnel yes Subsystem sftp /usr/libexec/openssh/sftp-server 而奇怪的是,我可以从一个移动应用程序SFTP,但我不能从电脑做.. MySQL的SSH隧道仍然无法正常工作 非常感谢你
我的问题是主机节点和容器都有相同的“nf_conntrack_max”? 当我检查主机与容器这些是结果: 主机节点 [root@echo ~]# cat /proc/sys/net/netfilter/nf_conntrack_max 524288 OpenVZ容器 [root@delta ~]# cat /proc/sys/net/netfilter/nf_conntrack_max 65536 但是,当我尝试和更改容器上的值我碰到几个问题。 这是我通常会增加在主机节点上工作完善的值。 [root@echo ~]# echo 1524288 > /proc/sys/net/netfilter/nf_conntrack_max [root@echo ~]# [root@echo ~]# cat /proc/sys/net/netfilter/nf_conntrack_max 1524288 同样的东西在容器上运行 [root@delta ~]# echo 1524288 > /proc/sys/net/netfilter/nf_conntrack_max -bash: echo: write error: Invalid argument [root@delta ~]# cat /proc/sys/net/netfilter/nf_conntrack_max 65536 我不明白的是为什么我有一个提高容器价值的问题。 主机节点和容器都运行Centos 6.6,并且我正在使用root。 编辑我试过在容器中运行sysctl -w net.netfilter.nf_conntrack_max=1524288 ,但似乎仍然有问题。 [root@delta […]
我已经重新编辑了原始问题,因为我已经改变了原来的答案,这是基于NAT的设置。 NAT不再被使用,并已被replace为TPROXY以兼容IPv6。 我在一个小networking中运行鱿鱼。 我已经为不同的场景设置了几个鱿鱼侦听端口。 squid.conf的摘录 http_port 3128 – 这将通过域策略推送到Windows客户端,通过WPAD设置HTTP代理。 http_port 3129 tproxy – 这是针对端口80上的stream量被拦截的客户端。 对于TPROXY设置,我使用iproute2在我的DD-WRT路由器上使用以下iptables / ip6tables规则来标记stream量并将其redirect到代理。 问题是在这个设置中,所有stream量都被标记,包括通过3128端口设置进入Squid代理的IPv4和IPv6stream量。 我需要一种排除这种stream量的方法,因为它是在直接应用代理的LAN客户端上添加开销和断开连接(特别是IPv6)。 我知道我可以使用ACCEPT规则将特定的客户端添加到PREROUTING表中,但是对于IPv4和IPv6这样做将很难快速pipe理。 我需要find一个通用的方法来排除路由器端口3128上通过Squid代理的所有局域网客户端,但是我不知道最好的办法。 当前的DD-WRT Squid策略路由: # Squid transparent proxy PROXY_IPV4=192.168.xx PROXY_IPV6=2001:470:xxxx:xx::x CLIENTIFACE=br0 FWMARK=3 iptables -t mangle -A PREROUTING -i $CLIENTIFACE -s $PROXY_IPV4 -p tcp –dport 80 -j ACCEPT ip6tables -t mangle -A PREROUTING -i $CLIENTIFACE -s $PROXY_IPV6 […]
我有以下问题:我有一个接口eth0 with IP 172.20.51.61/24 我在同一台机器上configuration了2个VLAN: eth0.120 : 172.20.52.61/24 eth0.200 : 172.20.54.61/24 我也有一个DELL开关 trunk port 2 and access ports 6 VLAN 120 and access port 10 VLAN 200. 这台机器上有一个DHCP服务器,所以当我在两个VLAN上连接两台笔记本电脑时,我会得到相应的IP地址: PC1 172.20.54.234 PC2 172.20.52.114 问题是我无法从一台PC1 ping到PC2。 那么如何在不同的子网上启用PC1或PC2的pingfunction。 我的iptable规则如下: Chain INPUT (policy ACCEPT 81 packets, 5386 bytes) pkts bytes target prot opt in out source destination 178 19945 […]
我有一个具有以下拓扑结构的networking: – 网卡面向网关的WAN调制解调器:192.168.0.1 – 具有两个网卡的Ubuntu 14.04网关:1)Eth0(面对调制解调器):192.168.0.201 2)Eth1(面向LAN): 10.0.0.1 我试图通过iptables来限制对互联网和局域网(从互联网)的访问,但规则似乎没有任何效果。 在rc.local中,我有以下设置: ++#!/bin/sh -e # # rc.local # turning on address verification echo -n "Enabling source address verification…" echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter echo "done" #just for the sake of turning the networks off and on… not sure if it would work turning them back on only at […]