如果我不想在我的服务器上收到某些端口,我宁愿尽早丢弃这些数据包,即:在执行路由之前。 sudo iptables -I PREROUTING -p tcp –dport 80 -j DROP iptables: No chain/target/match by that name. 在filter表中没有PREROUTING挂钩的原因是什么?
我有默认的DROP / DENY以下的防火墙configuration,但我无法浏览任何网页我错过了什么? 注意: – 我有ens33作为接口,Ubuntu是我使用的操作系统。 root@ubuntu:~# iptables -L -n -v –line-number Chain INPUT (policy DROP 360 packets, 33205 bytes) num pkts bytes target prot opt in out source destination 1 720 54133 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 2 0 0 ACCEPT tcp — ens33 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,ESTABLISHED 3 […]
在办公室里,我们有一个有趣的情况:从任何一台计算机到我们的testing服务器(托pipe在AWS上)之间存在连接(即使只是一个网页刷新)之后,另一台计算机将不能连接一段时间约30秒)。 第一台电脑仍然可以连接,而第二台电脑的所有已经打开的连接仍然可以工作(如SSH)。 这只在两台计算机位于相同的networking/外部IP地址时才会发生。 例如,如果第二台计算机使用VPN – 它将能够连接。 显然,这远非最佳。 我试图找出什么是错的。 Iptables规则表是完全空的,除了一个规则,我已经添加到logging传入连接到SSH(用于debugging目的): iptables -I INPUT -p tcp –dport 22 –syn -j LOG –log-prefix "22 SSH: " 这表明,虽然第二台计算机不能连接到SSH,但数据包仍然到达服务器(并被iptableslogging,数据如下:“LEN = 48 TOS = 0x00 PREC = 0x00 TTL = 49 ID = 18889 DF PROTO = TCP SPT = 54750 DPT = 22 WINDOW = 65535 RES = 0x00 SYN […]
我网站的一些function目前运行速度很慢,没有明显的原因。 唯一不可能的事情是,在运行顶部之后,我为/ usr / sbin / iptab获得了几个条目 3417 mysql 20 0 6069m 4.7g 4776 S 54.2 15.0 4093:30 mysqld 10797 www-data 20 0 98156 6820 2244 R 37.9 0.0 4825:00 /usr/sbin/iptab 2719 www-data 20 0 97328 4416 2208 R 35.9 0.0 3238:22 /usr/sbin/iptab 27105 www-data 20 0 98000 4616 1272 R 35.5 0.0 6514:21 /usr/sbin/iptab […]
傀儡防火墙是否支持string模块? 我需要帮助在puppet中实现下面的iptables规则,但是找不到任何有关如何执行此操作的文档或示例。 iptables -I INPUT -p udp -m udp –dport 5060 -m string –string "User-Agent: VaxSIPUserAgent" –algo bm –to 65535 -j DROP iptables -I INPUT -p udp -m udp –dport 5060 -m string –string "User-Agent: friendly-scanner" –algo bm –to 65535 -j REJECT –reject-with icmp-port-unreachable iptables -I INPUT -p udp -m udp –dport 5060 -m string […]
我的NAT设置有一个小问题。 我在做什么: 我有2个VLAN(在本例中为100和200),并希望他们可以通过单独的IP访问networking。 这应该通过iptables NAT来完成。 我用pf(FreeBSD)创build了这个设置,但不幸的是我必须使用的硬件不兼容。 我很喜欢在我们的主路由器,但是CPU不能处理这样的负载。 与IP表等我只是一个小白;)架构: 用户VLAN 100(10.100.0.0/24) – > 10.100.0.1 NAT xxx.yyy.zzz.6 – >networking VLAN 200上的用户(10.200.0.0/24) – > 10.200.0.1 NAT xxx.yyy.zzz.7 – >networking 所有这些都在同一个物理接口上,具有VLAN接口等 这是我目前的configuration:/ etc / network / interfaces 罗… iface ens2f3 inet static 地址xxx.yyy.zzz.6 networking掩码255.255.252.0 auto ens2f3.100 iface ens2f3.100 inet static 地址10.100.0.1 networking掩码255.255.255.0 vlan-raw-device ens2f3 iface ens2f3 inet static 地址xxx.yyy.zzz.7 […]
networking图 嗨,大家好, 任何人都可以帮我解决这个问题吗? 这里的设置: 客户:1.1.1.1 公共服务器:2.2.2.2(数字海洋) pfSense:3.3.3.3 WEBSERVER:4.4.4.4 公共服务器(Linux)通过IPSEC VPN&StrongSwan(Linux)连接到pfSense。 build立: 公共服务器有一个IPtables的端口转发HTTP(S)请求到Web服务器 -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j DNAT –to-destination 4.4.4.4:80 -A PREROUTING -i eth0 -p tcp -m tcp –dport 443 -j DNAT –to-destination 4.4.4.4:443 假设客户端1.1.1.1正在通过HTTP访问公共服务器,该请求将请求转发给WEBSERVER 4.4.4.4。 基于apache日志,我得到公共服务器IP是2.2.2.2,我的目标是获得客户端IP 1.1.1.1而不是? 有什么build议么? 我也尝试使用Haproxy,但获得相同的结果。 有无论如何,我可以通过IPsec VPN获得客户IP? 非常感谢!
我在Debian 10上,试图应用一些我认为在旧版本的Debian上工作的防火墙规则。 但是现在,当我尝试应用它们时,出现错误。 这似乎与:FORWARD ACCEPT [0:0] ,但我无法弄清楚问题所在。 我* nat规则: *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o ens3 -j MASQUERADE COMMIT 当我尝试加载它们时: $ sudo netfilter-persistent reload run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 1 问题似乎在第4行: $ sudo iptables-restore –test /etc/iptables/rules.v4 iptables-restore […]
我使用ufw阻止了27018,但仍然可以使用mongo命令行工具从我的电脑连接到该端口。 有没有解决这个问题? 我试图运行ufw reload但结果仍然是一样的
我已经在新的Ubuntu 14.04.5 x64盒子上运行下面的脚本。 它工作的地步,阿帕奇阻止我的IP地址太多请求的预期。 但是,我的IP地址没有添加到iptables 。 我只是得到了一个标准的403,但是我想要丢包而没有错误。 我认为这个问题是一个权限,其中apache不能够运行ip-tables 。 但我无法弄清楚,因为我已经给了apache用户www-data在sudoers文件中运行iptables的能力。 任何帮助表示赞赏,我一直在这一天饱受折磨! #!/bin/sh apt-get update apt-get -y install apache2 # Install mod evasive apt-get -y install libapache2-mod-evasive # Enable it a2enmod evasive a2enconf evasive # Create log directory mkdir /var/log/mod_evasive chown -R www-data:www-data /var/log/mod_evasive # Config for mod evasive cat <<'EOF' > /etc/apache2/mods-available/evasive.conf <IfModule mod_evasive20.c> DOSHashTableSize […]