当我添加 -A INPUT -p udp -j DROP 在我的INPUT链的末尾,如果我inputiptables -L ,列表将停止在放置命令中显示。 在此之前,我允许在TCP和其他一些东西的SSH。 那为什么它停止显示列表?
我试图转发本地端口80到本地端口9080.基本上这个工程,如果我设置 iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 9080 iptables -t nat -A OUTPUT -p tcp –dport 80 -j REDIRECT –to-ports 9080 但是接下来发生的事情是我无法从这个服务器访问外部网站。 每当我尝试打开一个网站,我的请求就会在我的本地机器上结束。 我怎么能告诉iptables只转发请求到我的任何本地IP地址?
我的目标是在iptables使用ipset列表来logging到某些IP地址的出站stream量。 我打算监视整个networking被动。 我启用了端口镜像,端口镜像stream量正在向具有两个networking适配器的服务器进行广播。 Eth0专用于系统pipe理,Eth1运行在混杂模式下,专门用于捕获传递给它的stream量。 是否有可能使用iptableslogging正在监视的networking上的传出stream量? 谢谢。
我有一个MySQL服务器1.1.1.1 ,我需要端口3306在1.1.1.1:3306端口转发到我的辅助服务器2.2.2.2:3306我没有访问MySQL服务器。 我努力了 iptables -t nat -A PREROUTING -p tcp –dport 3306 -j DNAT –to 1.1.1.1:3306 我怎么会得到这个iptables,它的混乱。
看来我的fail2ban不能禁止一个主机: 2013-06-22 18:18:24,546 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-apache-noscript returned 100 2013-06-22 18:18:24,546 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment 2013-06-22 18:18:24,869 fail2ban.actions.action: ERROR iptables -D fail2ban-apache-noscript -s 185.13.228.98 -j DROP returned 100 当我手动使用命令,iptables抱怨: # iptables -D fail2ban-apache-noscript -s 185.13.228.98 -j DROP iptables: Bad rule (does a […]
我有几个服务器运行ssh代理,有人开始DDOS我,我已经安装了ddos deflate和apf。 ddos的stream量从10 MB / s下降到1 MB / s,但仍然让我的用户从我的服务器上踢走。 我的问题是:如果我制定一个规则来监视所有的stream量,并locking新的连接,当有人启动ddos将工作? 我的意思是,locking新的连接,并保持其他人运行!
我插入了一个规则到iptables来跟踪input到某个ip地址的使用情况。 vps服务器的IP为192.168.1.5,guest os的IP为192.168.1.115。 我在客户操作系统中运行“yum update”来获得一些networkingstream量。 然后我从pipe理程序运行iptables -vnL 。 但是,它仅向主机显示networking使用情况,而不显示给客户。 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target source destination 0 0 0.0.0.0/0 0.0.0.0/0 destination IP range 192.168.1.115-192.168.1.115 1853 114K 0.0.0.0/0 0.0.0.0/0 destination IP range 192.168.1.5-192.168.1.5 我运行tcpdump ,日志显示有数据包到客户端操作系统。 16:17:43.932514 IP mirrordenver.fdcservers.net.http > 192.168.1.115.34471: Flags [.], seq 17694667:17696115, ack 1345, win 113, options [nop,nop,TS […]
我有两个mangle规则: iptables -t mangle -A PREROUTING -d 54.228.209.255 -j MARK –set-xmark 1 iptables -t mangle -A PREROUTING -p tcp –dport 80 -j MARK –set-xmark 3 现在我做telnet 54.228.209.255 80 ,看看我的规则 iptables –list -t mangle -v -n Chain PREROUTING (policy ACCEPT 604K packets, 598M bytes) pkts bytes target prot opt in out source destination 0 0 MARK […]
网关机器有2个网卡,一个连接公用networking,另一个连接专用networking。 网关: eth0 4.xx3 ETH1:10.10.11.3 有5台机器,这个网关都是ip 10.10.11.5 — 9,网关是10.10.11.3 DNAT: Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT all — anywhere 4.xx5 to:10.10.11.5 DNAT all — anywhere 4.xx6 to:10.10.11.6 DNAT all — anywhere 4.xx7 to:10.10.11.7 网关上的SNAT Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all — 10.10.11.5 anywhere to:4.xx5 SNAT all […]
你好,我用CentOS 6.4 VPS(openvz)我想添加HaProxy TProxy下面的规则,但我得到了一些错误(iptables:无链/目标/匹配的名称)任何想法? [root@server1 ~]# iptables -t mangle -N DIVERT [root@server1 ~]# iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT iptables: No chain/target/match by that name. [root@server1 ~]# iptables -t mangle -A DIVERT -j MARK –set-mark 111 iptables: No chain/target/match by that name. [root@server1 ~]# iptables -t mangle -A DIVERT -j […]