我想添加一些IP地址到黑名单,我想在黑名单中显示一个自定义的网页,其中包括一个“你在黑名单”消息正文。 我怎样才能做到这一点? 我有Ubuntu的服务器和Apache。 我试图添加规则到IP表,但它只能删除连接。 我不想放弃连接,我想将它路由到一个自定义.html。 谢谢。
我有一台主机运行Proxmox VE。 我设置了3个虚拟网桥vmbr[0-2]来处理我的networking需求: vmbr0直接在具有公有IP的虚拟机的主接口上运行, vmbr1允许vmbr1虚拟机,而vmbr2是仅主机networking。 假设我的主要公开IP是12.34.56.78。 为了使NAT工作,我build立了以下iptables规则集: -A PREROUTING -d 12.34.56.78 -i vmbr0 -p tcp -m multiport –dports 80,443 -j DNAT –to-destination 192.168.1.101 # and other rules like this one for different ports to different local IPs -A POSTROUTING -s 192.168.10.0/24 -o vmbr0 -j SNAT –to-source 12.34.56.78 现在让我们说,我有一个虚拟机在vmbr1与IP 192.168.1.102。 本机无法使用公共IP 12.34.56.78访问192.168.1.101的networking服务器。 我最初以为上面的POSTROUTING指令足以让发夹式NAT工作。 阅读规范回送转发公共IP地址从本地networking – 发夹NAT和多个其他答案在同一个变种,我试过了: […]
我在Jessie Debian中使用了几个PREROUTING规则,按照以下规则从WAN向LAN端口转发 iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 8088 -j DNAT –to-destination 192.168.1.6:8088 ETH0 is public static IP ETH0:0 is Local lan ip 192.168.1.2 这些是NAT相关的IPTABLES iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp — !192.168.0.0/24 0.0.0.0/0 tcp dpt:8088 to:192.168.1.6:8088 DNAT tcp — 0.0.0.0/0 […]
我在Ubuntu上安装了ndpi-netfilter,我需要使用tc模块将youtubestream量调整到100kbps。 我通过iptables把所有的youtubestream量都分成一个类,然后通过tc类来改变stream量。 当我使用Firefox浏览器时,它工作正常。 但是当我从谷歌浏览器访问YouTube不起作用。 波纹pipe是我的规则和命令。 任何人都知道解决这个问题 sudo tc qdisc add dev eth1 root handle 1:htb default 10 sudo tc class add dev eth1 parent 1:classid 1:1 htb rate 1Mbps sudo tc class add dev eth1 parent 1:1 classid 1:10 htb rate 100kbps ceil 100kbps prio 10 sudo iptables -t mangle -A POSTROUTING -s 192.168.200.27 -m […]
我最近把我的路由器固件从Tomato切换到了OpenWRT。 我有下面的iptable命令将拦截HTTP请求到端口80上的内部IP(192.168.1.254),并redirect到端口8082上的不同的内部IP(192.168.1.133)。 此configuration在OpenWRT上不起作用。 我已经在防火墙 – 自定义规则部分input了它。 iptables -t nat -I PREROUTING -p tcp -d 192.168.1.254 –dport 80 -j DNAT –to-destination 192.168.1.133:8082 iptables -t nat -I POSTROUTING -p tcp –dport 80 -j MASQUERADE 我读了很多,但大多数指南是如何build立广域网端口转发。 我已经好几个小时了,不得不几次启动OpenWRT进入失效保护模式。 我会很感激任何帮助。 额外细节: 我有这些命令在番茄路由器上工作 这两个IP都是从networking内部PING-able 目标IP&端口(192.168.1.133:8082)直接打中服务内容 这两个IP都是从networking内部PING-able
我从旧的Debian 7服务器的所有互联网stream量重新路由到我的新服务器 DEST_IP=123.123.123.123 for p in 25 110 143 587 993 995 80 443; do iptables -t nat -A PREROUTING -i eth0 -p tcp –dport $p -j DNAT –to $DEST_IP:$p iptables -t nat -A POSTROUTING -p tcp -d $DEST_IP –dport $p -j MASQUERADE done 由于我想尽快closures旧服务器,我想知道哪些域仍在使用旧服务器。 如何logging所有转发的软件包以检测仍在使用旧服务器的服务? 我试过了 iptables -t nat -A PREROUTING -j LOG –log-prefix […]
我希望我的服务器可以作为某些客户端的网关使用。 启用转发不是我关心的问题,而是仅限于某些客户端。 我不希望硬编码的iptables规则允许从指定的IP地址访问,因为networking中的一台机器可以声称任何它想要的IP。 我正在寻找的是一种validation机器的方式,然后dynamic地添加一个规则,授予其知识产权的权利,通过我的服务器redirectstream量,也许每分钟运行一个cron作业,以检查IP地址是否仍然分配给同一台机器。 理念 我的想法到目前为止是创build一个小型网站,authentication用户(如令牌),然后使用PHP的execfunction来创buildiptables规则。 唯一的问题是安全地授予Apache sudo的权利。 我发现了这两个关于这个话题的SO问题( 第一 , 第二 ),但是这两个问题的答案都提出了安全问题(以我的理解)。
我有一个DNS服务器启动并为example.comconfiguration单个DNS区域运行服务器上运行的以下命令返回configuration的DNS区域logging: #dig example.com @ ns1.example.com ;; QUESTION SECTION: ;example.com. IN A ;; ANSWER SECTION: example.com. 10800 IN A 10.0.0.1 ;; AUTHORITY SECTION: example.com. 10800 IN NS ns2.example.com. example.com. 10800 IN NS ns1.example.com. ;; ADDITIONAL SECTION: ns1.example.com. 10800 IN A 10.0.0.1 ns2.example.com. 10800 IN A 10.0.0.1 我的/ etc / hosts文件: 127.0.0.1 example.com www.example.com 127.0.0.1 ns1.example.com ns2..example.com […]
我有一个docker主机,它具有一个物理networking接口(eth0)和多个使用IP别名(eth0:1,eth0:2,eth0:3)分配给它的IP地址。 我想运行几个docker集装箱,使他们每个人都使用自己的IP地址拨打互联网的电话。 当从集装箱连接到集装箱时,它们最好在相同的IP上也可达到。 如何设置docker和iptables使其工作? 然后用什么参数来运行每个容器?
我到处读到在nat表中进行stream量过滤是危险的,因为只有在状态为“NEW”的连接(稍后的数据包绕过表)时才会查询nat表。 这是否意味着nat表计数器只会为每个连接的第一个数据包增加? 如果我需要可靠的交通信息,那么我应该使用表格RAW的链式PREROUTING吗?