我在Debian 5.0.8中运行sysctl -p时遇到了这个错误。 错误:“net.netfilter.nf_conntrack_acct”是未知的密钥 我的sysctlconfiguration net.netfilter.nf_conntrack_acct = 1 net.ipv4.netfilter.ip_conntrack_max = 9527600 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 7200 输出lsmod ipv6 289352 34 loop 19724 0 nf_conntrack_ipv4 19352 0 nf_conntrack 71440 1 nf_conntrack_ipv4 joydev 15232 0 evdev 14592 0 ext3 125456 3 jbd 54696 1 ext3 mbcache 13188 1 ext3 raid1 24832 4 md_mod 81700 5 raid1 thermal_sys 17728 0 […]
我正在使用iptables在主机上设置防火墙。 我想禁用时间戳ICMP请求,但它是有线的,我只允许types8(回声请求)进入主机,但事件仍然可以从我的主机得到时间戳 64 bytes from xxxxxxxxx: icmp_seq=2 ttl=61 time=2.56 ms TS: 36654775 absolute -6423 3 1 -4 0 4 0 -2 Unrecorded hops: 1 我试图只允许types8,但它不起作用,看来我所能做的就是让所有的ICMP请求通过,或拒绝所有的,下面是我使用的configuration脚本。 iptables -F iptables -X iptables -Z iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state […]
在给定的机器上,我有两个接口eth0和eth1。 思科路由器已连接到两个接口,eth0和eth1,我希望到达eth0的OSPF数据包被转发到eth1,反之亦然(见下图)。 我曾尝试发出以下命令: iptables -A FORWARD -i eth1 -o eth0 iptables -A FORWARD -i eth0 -o eth1 但是这没有用。 此外,我希望这个转发规则只适用于OSPF数据包,根据源地址和目的地址过滤数据包,甚至可能的话甚至通过协议过滤数据包。 OSPF数据包似乎是 IP 100.1.3.2 > 224.0.0.5: OSPFv2 从一个方向,和 IP 100.1.3.1 > 224.0.0.5: OSPFv2 从另一个。
我有两个盒子一个Ubuntu的v10.10(IP:192.168.12.128)和另一个centos V5.5(IP:192.168.12.131) 我可以从Ubuntu的盒子中ping通,反之亦然。 当我从远程端口使用端口7000远程loginUBUNTUIP它的工作原理 当我使用端口7000从Ubuntu的远程登陆CENTOSIP我得到错误“无法连接到远程主机:没有路由到主机” 我试图打开端口在centOS使用命令iptables -A INPUT -p tcp –dport 7000 -j ACCEPT但我仍然无法远程login该端口上的centos。 我希望端口7000打开的原因,因为我想设置一个cassandra集群 。 请让我知道我在这里做错了什么,我能做些什么来使它工作。 更新 sudo iptables的输出–list 连锁input(政策接受) 目标人select源目的地 RH-Firewall-1-INPUT全部在任何地方 连锁FORWARD(政策接受) 目标人select源目的地 RH-Firewall-1-INPUT全部在任何地方 链式输出(策略ACCEPT) 目标人select源目的地 连锁RH-Firewall-1-INPUT(2参考) 目标人select源目的地 随时随地接受 接受ICMP – 任何地方任何地方icmp 接受ESP – 在任何地方 接受啊 – 任何地方的任何地方 接受udp – 任何地方224.0.0.251 udp dpt:mdns 接受udp – 任何地方udp dpt:ipp 接受tcp – 随处任何地方tcp dpt:ipp 接受所有 – […]
我试图安装vsftpd,我把这一行添加到我的iptables: -A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 21 -j ACCEPT 但是,当我启动iptables。 我得到以下错误: Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: mangle filter nat [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: iptables-restore: line 1 failed [FAILED] 在/etc/sysconfig/iptables文件中只有上面的一行 – 我做错了什么?
我知道,iptables -F将清除所有的链,但有没有办法只清除INPUT的规则,使FORWARD和OUTPUT规则保持不变?
我有两个ISP连接(Link1和Link2),我想通过Link2路由所有大小超过1MB的下载stream量。 我创build了一个路由表Link2并路由了所有标记为2的数据包。 ip route add default通过192.168.1.253表link2 ip规则添加fwmark 2表link2 它只适用于任何http数据包 iptables -t mangle -A PREROUTING -p tcp -s 192.168.1.81 -dport 80 -j MARK –set-mark 2(works) 现在,当我试图标记下载大小是否超过1MB时,它不能按预期工作。 iptables -t mangle -A PREROUTING -p tcp -s 192.168.1.81 –dport 80 -m connbytes –connbytes 1048576:–connbytes-dir both –connbytes-mode bytes -j MARK –set-mark 2(not加工) 任何人都可以告诉我,如果有什么我在这里失踪。
我需要在一系列的端口上进行翻译。 如果我做: iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 2000:3000 -j DNAT –to 192.168.1.41:4000-5000 它不工作,因为它应该。 如果我连接到WANIP:2001它试图连接到192.168.1.41:4000,而不是192.168.1.41:4001。 有没有办法做到这一点,而不创build1000 iptables规则?
我从MySQL网站获得以下2个命令。 我试图将默认的MySQL端口从3306更改为4040,并返回。 但没有按预期的那样工作。 redirect到代理: iptables -t nat -I PREROUTING -s ! 127.0.0.1 -p tcp –dport 3306 -j REDIRECT –to-ports 4040 回到默认值: iptables -t nat -D PREROUTING -s ! 127.0.0.1 -p tcp –dport 3306 -j REDIRECT –to-ports 4040 我在这里错过了什么? 更新: 这种变化正在呈现如下状态: # /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination […]
我有两个框:172.16.1.224和172.16.1.223。 两者都在运行Squid。 我使用Firefox代理设置将我的浏览器连接到xxx224,端口3128。 这工作正常。 如果我使用Firefox代理设置将我的浏览器连接到xxx223:3128,它可以正常工作。 现在,我试图连接这两个盒子,这样当我使用Firefox代理设置连接o xxx224:3124时,stream量将被路由到xxx223,然后进入networking。 任何想法,我怎么可能做到这一点? 我正在努力与iptables。 提前谢谢了,