Articles of iptables

只是想知道如何在Mac OSX下完成以下IPtables规则： iptables -A PREROUTING -t mangle -p udp –sport 7078 -J TOS –set-tos Maximize-Reliability iptables -A PREROUTING -t mangle -p udp –sport 7078 -J TOS –set-tos Maximize-Throughput iptables -A PREROUTING -t mangle -p udp –sport 7078 -J TOS –set-tos Mimimize-Delay 另外，与源端口（运动），可以自由地与目的地端口（dport）互换吗？ 提前谢谢了。 托比亚斯

我正在查看一个多站点部署，每个远程位置都有一个IPSec VPN回数据中心。 我试图find一个简单的方法，让支持人员能够访问远程位置，但却安全地进行。 一般而言，A组的工作人员只能进入A组的设备，而B组的工作人员只能进入B组的设备。 两个团队都可以将他们的设备放在一个地方（想想A组pipe理服务器，B组pipe理IP闭路电视系统）。 每个组都有他们自己的专用子网，例如A组可能有10.0.0.0/24和B组10.0.1.0/24。 为数百台机器创build明确的规则感觉过于繁琐。 有一个更好的方法，比列出用户可以连接到每个单独的机器。 我的想法是这样的：在每个位置，把它的一部分分配给一个给定的组。 所以10.xx1-15可以是A组的设备，10.xxx16-31可以是B组等。 现在的iptables 问题部分：是否有可能在数据中心只有2个规则来匹配这个，而不考虑远程位置的数量？ 一个匹配例如10.xx1-15和一个匹配16-31？ 如果不是的话，我还有另外一种方法吗？ 编辑：我想我可以使用ipsets，这将减less规则的数量，即使我仍然有pipe理设置的开销。

这很奇怪。 ip route show输出ip route show ： default via 192.168.1.1 dev eth0 metric 100 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.10 192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.11 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.58 192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 从防火墙日志:(稍微缩短） Mar 8 09:17:12 vmhost […]

我有以下规则，我相信将限制icmp数据包到1 / s。 :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:988] -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -m icmp –icmp-type any -m limit –limit 1/sec -j ACCEPT -A INPUT -s 11.xx71/32 -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -s 11.xx65/32 -p tcp -m tcp –dport 22 -j […]

我有一个运行内核3.8设置为一个路由器，做DHCP，DNScaching，桑巴和Squid的Debian服务器的家庭networking。 主板是一个Gigabyte GA-Z77X-UD5H，带有两个以太网端口，一个Intel和一个Atheros。 在升级到内核3.8之后，两个卡都被检测到。 我已经configurationIPTables以下规则允许stream量LAN（eth0） – > WAN（eth1） #!/bin/bash PATH=/usr/sbin:/sbin:/bin:/usr/bin iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state –state NEW ! -i eth1 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -t […]

我的服务器受到攻击，它充满了以下模式的请求： 数以千计的IP每个IP请求相同的页面“GET / HTTP / 1.1”每秒3-5次（相同的时间戳）。 所以我需要的是一个小的shell脚本，它接受来自“tail -f /var/www/log/access.log”的input并parsing相同时间戳的重复请求（例如，相同的引用者和相同的时间），并添加一个iptable规则来丢弃来自这个IP的所有数据包。

我以为我的iptables的规则工作得很好，直到我做了一个apt-get update ，为此我得到Temporary failure resolving sources.list所有站点的错误消息。 但是，当我禁用iptables的apt-get update运行完美。 我的/etc/resolv.conf文件包含： nameserver 199.195.255.68 nameserver 199.195.255.69 我的iptables规则： *filter -P INPUT DROP -P FORWARD DROP -P OUTPUT DROP # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT ! […]

我们无法从局域网内连接到特定的外部服务器。 但是，我们可以从我们的局域网之外，在家中或使用移动电话连接到同一台服务器。 几个月来工作得很好，有一天它停止了工作。 我不知道什么，如果有什么改变，当它停止工作。 我试图开发一个程序来解决这个问题，并找出问题。 该服务器是托pipe的CentOS vps。 如果我从局域网内ping任何3个IP地址，ping超时。 如果我尝试连接到vps上的Web服务器，则超时。 如果我执行tracert，我会得到这些结果： Tracing route to static-161-150-73-69.nocdirect.com [69.73.150.161] over a maximum of 30 hops: 1 * * * Request timed out. 2 * * * Request timed out. 3 34 ms 10 ms 30 ms 96.120.4.229 4 10 ms 12 ms 8 ms xe-11-1-0-32767-sur01.n4atlanta.ga.atlanta.comcast.net [68.85.68.61] 5 9 ms […]

我有一台拥有2台虚拟机的专用机器。 主机A（路由器）： eth0 192.0.2.8 eth1 10.0.0.1 我有 Host B(Application Server) eth0 10.0.0.2 我的IPTablesconfiguration是： modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -i eth2 -j ACCEPT 和我使用的示例防火墙将是 iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.0.2.8 –dport […]

我有一个Linux系统，我有多个进程通过TCP端口与主进程通信。 我需要创build一个场景，阻止从一个特定进程的所有端口到主进程与该进程进行通信所使用的端口的所有通信。 例： 处理A主端口= 1012,1013 … 1015 stream程A港口= 2012,2013 .. 2015 我要input的规则是来自PROCESS A端口的stream量（我可以使用netstat等）发往Master进程端口的stream量被iptables阻塞。 我环顾四周，发现丢弃发往特定端口的stream量的方法，但没有指定源端口的运气。