我有一个运行几个LXC容器的静态IP地址的系统。 我可以通过接口与容器进行通信,因为它将是一台物理机器。 其中一个容器是一个后缀服务器。 我将端口25从主机转发到容器,但是在进程中,源IP地址被接口1replace,导致后缀失败rDNS检查。 build立 主机通过eth0接口访问Internet,IP地址为188.xxx.xxx.xxx 主机站点上的容器IP地址为192.168.1.12 ( br2 ),容器侧为192.168.1.2 ( eth0 )。 容器通过主机获取互联网访问权限作为默认网关和iptable规则。 还有其他容器有类似的设置,容器不会直接对话,而是通过指定端口的iptable规则。 我发布所有的iptable规则,以防他们互相干扰 # Generated by iptables-save v1.4.21 *nat :PREROUTING ACCEPT [760:48985] :INPUT ACCEPT [707:45761] :OUTPUT ACCEPT [114:7445] :POSTROUTING ACCEPT [50:2740] # Route HTTP & HTTPS to web container -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j DNAT –to-destination […]
我已将运行Ubuntu 14.04.4 LTS的Amazon EC2实例configuration为仅使用一个AWS安全组,其中所有出站通信都已打开,并且传入通信受限,以允许从任何位置传入TCP连接到22,80,443,5000。 我也有ufwconfiguration和运行,以便这些端口根据ufw status : Status: active To Action From — —— —- Nginx Full ALLOW Anywhere 5000 ALLOW Anywhere 22 ALLOW Anywhere Nginx Full (v6) ALLOW Anywhere (v6) 5000 (v6) ALLOW Anywhere (v6) 22 (v6) ALLOW Anywhere (v6) 尽pipe如此,当我在本地机器上运行nmap到服务器的地址时,我得到这个: Starting Nmap 7.12 ( https://nmap.org ) at 2016-08-17 22:55 EDT Nmap scan report […]
我试图configurationiptables与DROP作为INPUT和OUTPUT在dns服务器上的默认策略,但出了问题。 这是我的iptables脚本 iptables -P INPUT DROP iptables -I INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -p tcp –dport 53 -j ACCEPT iptables -A INPUT -i eth0 -p udp –dport 53 -j ACCEPT iptables -P OUTPUT DROP iptables -I OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp –sport 53 […]
我有一个复杂的设置问题,我不能把我的头围绕它。 请看图纸,它显示了所有涉及的组件。 基本上我试图通过两个路由器的NAT和一个方向工作,一个不。 路由器1是一个带有两个接口(lan和vpn)的OpenWRT,而路由器2是一个Ubuntu盒子。 build筑 路由器1是OpenVPN客户端,连接到路由器2(OpenVPN服务器)。 OpenVPN子网是192.168.200.0/24,左侧的内部LAN是192.168.170.0/24,另一侧是10.0.0.10/24。 路由器2也是双宿主,第二个接口暴露了OpenVPN服务器(10.10.0.1)。 OpenWRT在两个区域都有转发,并且在两个方向都有伪装。 config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'ACCEPT' option masq '1' option mtu_fix '1' option network 'lan' config include option path '/etc/firewall.user' config rule option target 'ACCEPT' option name […]
我在Linode上有一个Ubuntu 16.04服务器。 我的目标是在几个端口上运行一些Web服务器,然后使用我的主机URL <my_id>.members.linode.com连接到它们。 我安装了Nginx并且实际上得到了这个工作。 我可以访问<my_url>:<my_port>并查看我的网站。 当我尝试按照保护服务器的build议添加iptable规则时出现问题。 运行以下命令后,我无法再连接到这个URL。 我在浏览器中看到这个错误 This site can't be reached <url> refused to connect. 我可以用下面的脚本重现这个错误。 运行第一个让我无法连接。 运行第二个然后允许我再次连接: 设置Linode推荐的iptables规则 # setup_iptables.sh rm /tmp/v4 rm /tmp/v6 cp ./tmp_v4_rules /tmp/v4 cp ./tmp_v6_rules /tmp/v6 iptables-restore < /tmp/v4 ip6tables-restore < /tmp/v6 按照这里推荐的方法 closures防火墙 # stop_firewall.sh #!/bin/sh echo "Stopping firewall and allowing everyone…" iptables -F iptables -X […]
我知道,关于开放端口和端口转发有很多问题。 我尝试了几乎所有的答案,但是我不能为它工作。 我在虚拟机上运行Kubuntu的全新安装。 我只是想将[myip]:80的所有stream量转发到localhost:8080。 出于testing目的,我使用netcat来监听我的端口。 所以这里是我的完整设置(在这些命令之前,我删除了所有的iptable规则,包括PRE / POSTROUTING): sudo sysctl -w net.ipv4.ip_forward=1 sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 127.0.0.1:8080 sudo iptables -A INPUT -j ACCEPT sudo iptables -A FORWARD -j ACCEPT 据我了解,现在所有的连接都将被接受,并允许转发(所有连接)。 另外,预路由将把端口80上的所有stream量路由到localhost:8080。 现在我听着: sudo nc -l 10.0.2.15 80 sudo nc -l localhost 8080 我在同一台机器上使用以下命令: curl -XPUT http://10.0.2.15:80/ […]
我有一台运行libvirt和brigenetworking(192.168.123.0/24)的KVM虚拟机的服务器。 我试图转发一个端口从主机的公共IP到其中一个虚拟机(192.168.123.103)。 它从互联网访问时正常工作,并从主机还有一个额外的规则,但我无法从虚拟networking内的机器得到它的工作。 这是iptablesconfiguration的相关(我认为)的一部分: # Generated by iptables-save v1.6.0 on Tue Sep 13 16:16:26 2016 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -d xxxx/32 -p tcp -m tcp –dport 7000 -j DNAT –to-destination 192.168.123.103 -A OUTPUT -d xxxx/32 -o lo -p tcp -m tcp –dport 7000 -j […]
我只是想让互联网匿名透明代理绕过stream量只是想隐藏客户端IP,但它不工作的HTTPS .. 我不想要使用sslbump或者只是想绕过stream量 我在谷歌和serverfault.com和stackoverflow.comsearch了很多,并testing这些解决scheme绕过httpsstream量: 用IPTables绕过透明鱿鱼 与iptables的鱿鱼问题 https://stackoverflow.com/questions/2601400/squidiptables-how-do-i-allow-https-to-pass-through-and-bypassing-squid 我的鱿鱼configuration是: acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt […]
我pipe理安装了ispconfig 3的Ubuntu服务器(14.04)。 服务器正用于邮件,networking和数据。 我之前的系统pipe理员已经启用了fail2ban和ufw,但是我们今天一整天都在遇到dovecotauthentication的问题。 当我试图访问防火墙时,我不断收到错误消息: 错误:运行iptables的问题:另一个应用程序当前持有xtables锁。 也许你想使用-w选项? 尝试软重启冻结了服务器,并且硬重启使问题马上回来。 然后,通过使用lsof -p $(pidof iptables)进一步调查,我得到以下输出: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME iptables 1526 root cwd DIR 9,1 4096 2 / iptables 1526 root rtd DIR 9,1 4096 2 / iptables 1526 root txt REG 9,1 87768 261694 /sbin/xtables-multi iptables 1526 root mem REG 9,1 6336 […]
我用iptables logging选项获取这一行: IN = OUT = eno49 SRC = 192.168.0.72 DST = 224.1.0.2 LEN = 196 TOS = 0x00 PREC = 0x00 TTL = 5 ID = 53310 DF PROTO = UDP SPT = 9100 DPT = 8100这个数据包是DROPPED 我认为这是一个多播连接。 接受这个包的规则是什么?