我的服务器是Red Hat Enterprise Linux Server release 5 。 iptables版本是v1.3.5 。 我想要允许所有UDP连接/端口的IP地址192.168.0.200 。 这个IP地址是在我的eth0中configuration的。 所以基本上我想把它设置为我的本地环回(127.0.0.1)UDPstream量相同。 什么是iptable命令来允许IP 192.168.0.200所有UDP连接/端口?
我有要求在端口80上运行基于Java的Web服务器。选项是: Web代理(Apache,Nginx,haproxy等) xinet iptables的 setuid的 基线将使用setuid运行应用程序,但我不希望出于安全原因。 Apache速度太慢,nginx不支持保持活动,因此每个代理请求都会build立新的连接。 xinet很容易build立,但是对于我在高性能环境中看到的每一个请求都会造成一个新的过程。 最后一个select是使用iptables进行端口转发,但是我没有经验它的速度。 当然,理想的解决scheme是在专用的硬件防火墙/负载均衡器上这样做,但目前这不是一种select。 目前,设置都在同一个盒子,这就是为什么iptables应该工作。 加载如下:大约2500个非常短暂的http请求每秒需要有50毫秒的最大延迟时间…说至less25毫秒的应用程序返回响应。
举个例子,我有两个授权的客户端计算机,1.1.1.1和2.1.1.1。 我运行iptables的服务器是3.1.1.1,我的防火墙web服务器是4.1.1.1。 当其中一个授权的客户端IP连接到端口80上的3.1.1.1时,我想连接被转发到端口8888上的4.1.1.1。如果有任何其他IP尝试连接,我希望它拒绝/断开连接。 什么iptablesconfiguration会完成这个? 有更具体的东西,会更适合这个工作吗?
如何阻止整个主机(互联网提供商),或只允许一个国家的sshlogin?
我在build立IPTables的一些帮助。 主要是configuration工作,但无论我尝试什么,我不能让本地访问本地Apache只(即本地访问本地主机:80)。 这是我的脚本: #!/bin/bash # Allow root to access external web and ftp iptables -t filter -A OUTPUT -p tcp –dport 21 –match owner –uid-owner 0 -j ACCEPT iptables -t filter -A OUTPUT -p tcp –dport 80 –match owner –uid-owner 0 -j ACCEPT #Allow DNS queries iptables -A OUTPUT -p udp –dport 53 -j ACCEPT […]
我正在为本地Windows 2003 VPN服务器设置L2TP VPN连接的端口转发。 路由器是一个iptables的simpel Debian机器。 VPN服务器工作完美。 但是我无法从WANlogin。 我错过了一些东西。 VPN服务器正在使用预共享密钥(L2TP),并输出IP范围:192.168.3.0。 本地networking范围是192.168.2.0/24 我添加了路由:与路由add -net 192.168.3.0 netmask 255.255.255.240 gw 192.168.2.13(vpn服务器) iptables -t nat -A PREROUTING -p udp –dport 1701 -i eth0 -j DNAT –to 192.168.2.13 iptables -A FORWARD -p udp –dport 1701 -j ACCEPT iptables -t nat -A PREROUTING -p udp –dport 500 -i eth0 -j DNAT […]
我正在阅读iptables的示例,并且我有一个预先编写的文件,用于满足大部分需求的服务器。 它用来接受端口80上的stream量(对于apache)的格式是: -A INPUT -p tcp –dport 80 -j ACCEPT 我读过的另一个网页使用以下格式来接受SMTPstream量 -A INPUT -p tcp -s 0/0 –sport 1024:65535 -d server.ip.address.here –dport 25 -m state –state NEW,ESTABLISHED -j ACCEPT 这似乎更复杂? 有必要,还是我可以简单地做: -A INPUT -p tcp –dport 25 -j ACCEPT
我试图为我的networking设置一个“简单的”VPN服务器,这样我就可以轻松地将远程连接到我的networking中的几个盒子。 我可以访问VPN并在networking上注册。 我得到一个IP,但不能ping任何人。 我的本地子网是192.168.10.0/24 我设置VPN使用相同的(20-25,因为我知道这个范围不使用)。 VPN服务器将位于进入networking的防火墙计算机上。 它有两个密码。 这是我的iptables防火墙: #!/bin/sh iptables="/sbin/iptables" modprobe="/sbin/modprobe" depmod="/sbin/depmod" EXTIF="eth1" INTIF="eth2" load () { $depmod -a $modprobe ip_tables $modprobe ip_conntrack $modprobe ip_conntrack_ftp $modprobe ip_conntrack_irc $modprobe iptable_nat $modprobe ip_nat_ftp $modprobe ip_conntrack_pptp $modprobe ip_nat_pptp echo "enable forwarding…" echo "1" > /proc/sys/net/ipv4/ip_forward echo "enable dynamic addr" echo "1" > /proc/sys/net/ipv4/ip_dynaddr # start firewall #default policies […]
我如何在内部IP空间上使用iptables将IP伪装(PAT / Overload)与目标NAT重叠? 我想要的是一个私有networking,即10.0.0.0/24 ,其中一些公共IP被映射到其内部的各种地址。 但是,如果有一个来自10.0.0.0/24的连接,不pipe是否有DNAT公共IP,它将被重载到特定的公共IP。
我有一个10兆的互联网连接(通过以太网电缆)我有五台服务器,将使用此互联网连接。 我希望每台服务器在未被其他服务器使用时都能够使用尽可能多的带宽,但要保证每台服务器至less有2MB的可用空间 什么样的设备/configuration能够处理这个设置? 可以通过IPTables或Cisco ASA等以某种方式完成吗? (这是计划新的设置,所以没有事先承诺使用现有的路由器/设备需要考虑)