我在ubuntu(12.04或14.04)上使用ufw在高stream量的networking服务器上(很多http / httpsstream量)。 我试着调整与连接跟踪有关的内核参数,并取得了一些成功 但是考虑一下,我不做NAT,因此我不认为我至less需要连接跟踪端口80或443。 我尝试着从这个问题的方向来适应,那就是: sudo iptables -t raw -A PREROUTING -p tcp –dport 80 -j NOTRACK 和我的原始表格看起来像: Chain PREROUTING (policy ACCEPT) target prot opt source destination NOTRACK tcp — anywhere anywhere tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination 为了testing一切正常,我使用wrk使用3个线程和1000个连接请求机器上的一个nginx实例。 wrk -t 3 -c 1000 "http://<server_ip>/" 由于这些不应该被追踪,我不应该看到他们的连锁数量 不过,我呢… sudo sysctl […]
我有一个HTTP代理,我可以使用它的所有协议(尝试和testing)。 我想从我的DD-WRT路由器透明地使用IPtables,而不包括本地networking(192.168.1.0/24)。 什么是iptables的规则,将在路由器上为我做这个?
我正在尝试在Amazon AWS中configurationNAT。 所以我有两个私有IP的EC2: 10.0.0.49和10.0.0.48 。 ( 10.0.0.0/24networking)节点在一个VPC中。 我可以从10.0.0.48 ping 10.0.0.49。 弹性IP 52.88.240.171指向10.0.0.49。 据我所知,我不能直接指向Elastic IP到节点。 因此,我正在尝试这种手动https://serverfault.com/a/568478/192282 在10.0.0.49: sudo sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0 sudo iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE sudo iptables -L -n -v -x -t nat Chain PREROUTING (policy ACCEPT 6 packets, 457 bytes) pkts bytes target prot opt […]
我打算为我的CentOS虚拟机启用iptables。 已经configuration了以下规则。 但是,对于GCM(Google Cloud Messaging)命令,它无法接收来自GCM服务器的回复。 如果我禁用iptables它完美的作品。 iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 5228 -j ACCEPT iptables -A […]
我知道这是一个重复的问题,但他们的解决scheme不工作, 我正在做的是,从我的本地ubunut机器连接到远程Postgresql数据库: psql -h xxxx -U username 但它给错误: > psql: could not connect to server: Network is unreachable Is the server running on host "xxxx" and accepting TCP/IP connections on port 5432? 我做了什么, 我更新了我的pg_hba.conf & postgresql.conf文件,并使用下面的命令重新启动服务器: /etc/init.d/postgresql restart 哪个说好, 重新启动 我做了NMAP检查从本地机器到远程vps显示如下输出: root@host:~# nmap xxxx -p 5432 Starting Nmap 5.21 ( http://nmap.org ) at 2015-11-19 15:49 […]
您好我使用redsocks和iptables端口redirect规则来设置一个透明的代理,工作正常,但我需要build立非代理访问iptables规则,域domain1.com和domain2.com和10.0.0.0/8这是我的实际redirect规则。 iptables -t nat -A OUTPUT -o eth0 -p tcp -m tcp –dport 80 -j DNAT –to-destination 127.0.0.1:5123 iptables -t nat -A OUTPUT -o eth0 -p tcp -m tcp –dport 443 -j DNAT –to-destination 127.0.0.1:5124 其中端口5123和5124是红袜的端口 它的可能性绕过所需的域和IPS的端口redirect?
我有一个Amazon AMI 2015.09实例作为我的后端服务器的NAT服务器。 我已经在同一个盒子上configuration了OpenVPN客户端,NAT服务器能够通过VPN与所有的东西进行通话,所有的资源都可以正常使用。 但是这个NAT背后的所有后端服务器不再能够访问互联网。 一旦我拿掉了NAT服务器上的OpenVPN客户端,它后面的实例就能够再次联机。 我可以在AWS上专门查看NAT实例吗? 我不知道我可以提供什么,当我知道VPN连接function之间的客户端和服务器,所以我假设它可能是路由/ iptables规则在NAT转发不按预期。 NAT服务器确实从后面的实例看到stream量( tcpdump -n not port 22 ),但是我不太清楚它是如何处理这个stream量的。 任何有关为什么发生这种情况的build议,以及如何解决这个问题将是非常好的。 编辑:因为这是一个function的NAT服务器,在ec2实例禁用src / dst检查。 EDIT2: OpenVPN客户端输出closures: [root@ip-10-0-0-39 ~]# ip route list table all default via 10.0.0.1 dev eth0 10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.39 169.254.169.254 dev eth0 broadcast 10.0.0.0 dev eth0 table local proto kernel scope […]
我在不同的机器上build立了一个路由器和一个拦截HTTP squid代理。 客户应该使用代理(没有知识)在以下方面: 客户端 – >路由器(DNATing代理服务器) – >代理服务器 – >路由器 – > Internet 在代理服务器上运行的请求具有以下属性: 源IP地址:原始客户端的IP地址 源端口:原始客户端的端口 目标IP地址:代理服务器的IP地址(192.168.4.50) 目的地端口:3380 不幸的是,似乎squid试图转发数据包到请求的目标地址,这是代理服务器本身,并创build一个无限循环。 取自cache.log : 2015/12/18 14:11:50 kid1| WARNING: Forwarding loop detected for: 我如何configurationsquid而不是通过DNSparsingHTTP请求中的主机名,然后将请求转发到默认HTTP端口80上parsing的IP地址? 补充信息: DNAT由路由器上的iptables完成,具有以下规则: iptables -t nat -A PRE_VS_PROXY -p tcp –dport 80 -j DNAT –to-destination 192.168.4.50:3380 access.log示例条目: 1450444309.741 0 192.168.4.50 TCP_MISS/403 4277 POST http://ocsp.digicert.com/ – HIER_NONE/- […]
是否可以在Ubuntu上使用iptables来限制某些URL的暴力攻击? 基本上我想检测用户一遍又一遍地调用相同的URL,并放弃他的连接,或者如果它发生太频繁,以某种方式减慢速度。
是否有可能通过IPTableslogging所有丢弃的连接,并设置一个iptables.log文件来login/ var / log /?