可以configuration 试图允许从外部连接到服务器。 端口扫描器报告端口未打开。 确认后我的iptables正确设置。 eth0 – 专用局域网 tun0 – VPN接口 ppp0 – 移动宽带连接(ISP没有防火墙限制) -P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT -i tun0 -j ACCEPT -A INPUT -i ppp0 -p icmp -j ACCEPT -A INPUT -i ppp0 -p udp -m […]
我有一个多宿主主机上的Ubuntu 12.04。 我正在尝试使用iptables将进入某个IP地址的HTTP数据包重新路由到另一个IP地址。 从谷歌search,我认为有必要在多宿主主机使用CONNMARK标记传入的连接,以便相关的传出数据包可以匹配。 但是,当我尝试使用“-j CONNMARK”这个短语时,我被告知没有这样的连锁。 我如何在Ubuntu 12.04上使用'-j CONNMARK'?
我使用iptables多年,因为这是一个简单的解决scheme,没有任何魔法。 但是现在我正在为自己构build一个路由器,我发现Shorewall提供了许多有用的function。 是否有可能在同一时间使用iptables和Shorewall? 我知道Shorewall只是iptables的前端。 但是我不知道是否会引起冲突。 此外,我需要阻止大量的地址,所以ipset是完美的解决scheme。 使用所有这三个防火墙是安全的吗?
#iptables -L -n -v Chain INPUT (policy ACCEPT 42 packets, 3360 bytes) pkts bytes target prot opt in out source destination 207 15586 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT tcp — eth0 * 78.12.0.0/14 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp — eth0 * 84.220.0.0/14 0.0.0.0/0 tcp dpt:22 119 […]
我正在运行的Debian 6 32Bit我终于只是安装我的iptables,但我似乎无法连接到任何外部服务器从我的箱子 -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -p tcp -m tcp -m multiport -j ACCEPT –dports 80,22,53,47240,3306 -A INPUT -p udp -m udp -m multiport -j ACCEPT –dports 80,22,53,47240,3306 -A INPUT -s 127.0.0.1 -j ACCEPT -A INPUT -j DROP 另外,是否有必要允许127.0.0.1?
我有一个笔记本和两台服务器: ip = 172.17.0.2(我在这里安装了nginx) IP = 172.17.0.3(这里没有什么,但我可以从这里ping 172.17.0.2) 我在笔记本上打开浏览器,打开 http://172.17.0.2 并从Nginx获取网页。 现在我想要这样做,如果我打开 http://172.17.0.3 在浏览器中,这个服务器转发我的请求172.17.0.2并返回同一个页面。 我已经连接到172.17.0.3并进行了这样的改变: root@6d2de436eef0:/# sysctl net.ipv4.ip_forward=1 net.ipv4.ip_forward = 1 root@6d2de436eef0:/# iptables -t nat -F PREROUTING root@6d2de436eef0:/# iptables -t nat -A PREROUTING -d 172.17.0.3 -j DNAT –to-destination 172.17.0.2 root@6d2de436eef0:/# iptables -F FORWARD root@6d2de436eef0:/# iptables -A FORWARD -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT root@6d2de436eef0:/# iptables […]
我有一个TP-LINK td28151路由器,我正在使用DHCP。 我需要通过以太网连接40台设备到我的路由器。 我已经将我的客户端的数量设置为100,并且我的子网掩码是255.255.255.0。 我以前连接28我的设备到我的路由器,他们工作得很好。 我连接和断开了很多次,所以我的路由器已经给每个IP地址从1 -100多次。 现在我想添加第二十九个设备,但它不会得到IP。 所以我去了我的路由器固件。 在DHCP分配表中,我看到我的路由器有奇怪的)分配每个IP从1到100,但真正连接28个设备。 任何机构可以告诉我,我应该怎么做才能连接我的第二十九设备,并从路由器获得IP? 我感谢您的帮助。
我似乎遇到了vzctl安装中的一个错误。 根据官方的维基安装在一个干净的CentOS6.5最小的安装时,networking连接被限制为ping IP地址(我怀疑只有ICMP通信)。 我已经创build了一个bugreport与步骤重现,也复制在这里: 使用CentOS-6.5-x86_64-minimal.iso安装节点 ifup eth0和ping google.com来观察DNSparsing和networking连接。 安装wget( yum install wget )。 按照http://wiki.openvz.org/Quick_installation上的步骤安装vzkernel,vzctl,vzquota和ploop。 重启 ifup eth0和ping google.com来观察没有DNSparsing和networking连接。 编辑/etc/modprobe.d/openvz.conf到options nf_conntrack ip_conntrack_disable_ve0=0并保存。 重启 ifup eth0和ping google.com来观察DNSparsing和networking连接。 请注意,通过service iptables stop禁用iptables service iptables stop恢复连接,但这是一个'次优'(嗡嗡声:P)解决方法。 这是iptables-save的输出: # iptables-save # Generated by iptables-save v1.4.7 on Wed Apr 30 12:50:00 2014 *mangle :PREROUTING ACCEPT [110:16800] :INPUT ACCEPT [107:15810] :FORWARD ACCEPT [0:0] […]
我使用nginx和fastcgi运行服务器。 我正在使用TCP套接字的fastcgi而不是Unix套接字,因为我已经读过,这个规模更好。 fastcgi服务器在fastcgi://127.0.0.1:9000上运行。 我试图找出我需要添加到iptables允许stream量通过什么规则。 我已经想清楚了这一点: -A INPUT -p tcp -m tcp -d 127.0.0.1 –dport 8999 -m state –state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp -s 127.0.0.1 –sport 8999 -m state –state NEW,ESTABLISHED -j ACCEPT 但是我在猜测,我也应该为INPUT规则指定一个源端口和源IP,为OUTPUT规则指定一个目标端口和目标IP(为了安全起见)。 那正确的价值是什么? 我希望我的问题是有道理的。
当我运行以下命令: iptables -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT 我得到以下错误: iptables: Protocol wrong type for socket. 我通过strace运行命令,我可以看到它在setsockopt调用失败: socket(PF_INET, SOCK_RAW, IPPROTO_RAW) = 4 fcntl64(4, F_SETFD, FD_CLOEXEC) = 0 getsockopt(4, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"…, [84]) = 0 getsockopt(4, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"…, [12328]) = 0 setsockopt(4, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"…, […]