我不是iptables专家。 我有一个用例来阻止所有不指定为10.0.0.0/8或167.114.0.0/16的传出stream量。 我有两个NIS服务器(10.57.132.11,10.57.132.40)。 我生成了我认为可以工作的下面的iptables规则集,但是如果我运行service iptables start ,我无法也加载ypbind 。 它击中了两个NIS服务器。 除了超时之外,我在日志中什么也看不到。 # Generated by iptables-save v1.4.7 on Fri Jul 17 11:08:39 2015 *filter :INPUT ACCEPT [78622:10507056] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -I OUTPUT -d 10.57.132.11 -j ACCEPT -I OUTPUT -d 10.57.132.40 -j ACCEPT -I OUTPUT -d 167.114.0.0/16 -j ACCEPT -I OUTPUT -d 10.0.0.0/8 -j ACCEPT […]
我的路由器将所有传入stream量(接口eth0 )redirect到IP 1.2.3.4: iptables -t NAT -A PREROUTING -i eth0 -p tcp –dport 80 –to-destination 1.2.3.4:80 当客户端点击“100.80.77.8”,我不想redirect他,但让他访问www-online IP 100.80.77.8。 ( 注意:IP转发开启 )。 最后,任何IP但100.80.77.8被捕获并redirect到1.2.3.4。 我应该添加什么iptables规则? redirect之前或之后 – 全部(见上)? 谢谢。 __编辑__这里是我运行的脚本,使我的规则: IPTABLES=iptables # Enable Internet connection sharing, echo "1" > /proc/sys/net/ipv4/ip_forward #clear all rules (flush) $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t nat -X […]
希望为web服务器build立一个mysql数据库服务器。 服务器有一个公共和私人的界面,我需要一些帮助来编写规则。 我只想通过专用接口允许SSH,mysql,并closures公共接口 iptables -nL -v – 行号 如果由服务器启动,则允许公共和私有。 iptables -I INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT 允许回送到本地主机 iptables -A INPUT -i lo -j ACCEPT 通过公共界面阻止所有传入stream量。 ?? 通过公共接口阻止所有的SSH iptables -A INPUT -i eth0 -p tcp -destination-port 22 -j DROP 允许通过来自1个IP的专用接口进行SSH。 iptables -A INPUT -p tcp -s PRIVATE_IP –dport 22 -i eth1 -j […]
我有一个在云端的Ubuntu服务器。 我们称之为ServerA 。 ServerA已经安装了apache2,正在为HTTP请求提供默认页面。 mydomain.com指向ServerA的IP,因此默认的ServerA的站点也可以通过这个域名获得。 ServerA安装了一个OpenVPN,并作为VPN网关连接不同的客户端。 当ServerB作为OpenVPN客户端连接到ServerA时 , ServerA的OpenVPN创build的OpenVPNnetworking中会分配一个本地IP。 我将myotherdoamin.com设置为指向相同的ServerA的IP。 我想这样configurationServerA ,这样,如果有一个到mydomain.com的HTTP请求进来 – 它被路由到ServerA的apache2,并且本地站点被服务。 如果请求myotherdomain.com进来,我想让ServerA将请求路由到一个连接的ServerB的HTTP端口,从而返回一个VPN客户端的HTTP响应。 我的问题是: iptables是否支持基于HTTP请求头的路由规则? apache2能够根据HTTP请求头将请求路由到其他IP吗? 哪个应用程序最适合处理我期望的行为? 谢谢。
我已经完成了我的iptables,但FTPlogin/连接不起作用。 硬件/路由器级别的NAT /防火墙被正确转发。 我已经添加了一个条目,但似乎没有工作。 问: 为什么FTP连接不允许在这里? 我目前的iptablesconfiguration是: ACCEPT tcp — anywhere anywhere tcp dpt:ssh state NEW,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:http state NEW,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:https state NEW,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp spt:ssh state ESTABLISHED ACCEPT tcp — anywhere anywhere tcp spt:https state ESTABLISHED ACCEPT tcp — […]
我试图阻止一个特定的客户端访问到这个WAN: iptables -I FORWARD -s 192.168.XX -o $WAN_INTERFACE -j DROP 然而,我需要一个例外来允许出站连接到一个特定的IP,所以我需要一个ACCEPT规则,然后在正确的链中。 创build这个exception并阻止其他一切的最好方法是什么?
可以限制用户使用iptableslogin? 就像一个用户login一样,没有其他人可以使用该用户login。 我试试这个命令: iptables -A INPUT -p tcp –syn –dport 22 -m connlimit –connlimit-above 1 -j REJECT 它可以限制用户login,但仅限于1个IP。 我仍然可以使用另一台具有不同IP地址的PClogin。 谢谢
我的目标是自动化我的iptablesconfiguration,所以当分析我当前的iptables规则安装在我的本地盒子参考时,我使用iptables-save > ./iptables.save; cat ./iptables.save iptables-save > ./iptables.save; cat ./iptables.save # Generated by iptables-save v1.4.21 on Fri Aug 14 14:33:13 2015 *nat :PREROUTING ACCEPT [32:10397] :DOCKER – [0:0] …<SNIP>… -A PREROUTING -m addrtype –dst-type LOCAL -j DOCKER … 什么是重要的:DOCKER – [0:0]和什么-A PREROUTING -m addrtype –dst-type LOCAL -j DOCKER转换为?
server1有一个私人和公共IP。 server2有一个私人和公共IP。 一般..如果server1 ssh到server2 .. server2将通过它的公共ip识别server1。 但是因为两台服务器都是一样的公司..我想他们已经configuration它使用“私人IP”时,互相之间的ssh。 我从服务器2连接到server1,然后检查,看看我的IP(服务器2),我注意到它不是server2的公共IP,而是私人IP的server2。 我想禁用此function..我想服务器只能通过其公共的IP进行通信.. 如何缓解这个问题?
我试图build立我自己的种子与rTorrent,我想通过我的VPNredirect所有洪stream。 我知道这个问题上有一堆QA和HOWTO。 我读了很多,想出了这个(这根本不工作…): OpenVPNconfiguration client dev tun0 proto tcp remote 173.199.65.63 443 resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/ca.crt tls-client remote-cert-tls server auth-user-pass /etc/openvpn/pwd.txt comp-lzo verb 1 reneg-sec 0 crl-verify /etc/openvpn/crl.pem script-security 2 route-noexec route-up /etc/openvpn/route_up.sh /etc/openvpn/route_up.sh #!/bin/sh echo "$dev : $ifconfig_local -> $ifconfig_remote gw: $route_vpn_gateway" ip route add default via $route_vpn_gateway dev $dev table […]