这似乎与基本的“DROP”iptables规则,出站尝试仍然会等待其超时的持续时间。 例如,如果我阻塞一个IP地址出站,然后尝试通过telnet连接到它,它将等待,直到超时被击中。 是否可以指定连接必须立即被拒绝和/或closures? 例如,如果我有: target prot opt source destination DROP tcp — 0.0.0.0/0 208.79.143.151 tcp dpt:443 然后,如果我运行: # telnet 208.79.143.151 443 Trying 208.79.143.151… 它只会挂起,直到最终超出请求。 有没有办法让Linux更突然失败出站连接(在你不能修改应用程序的情况下)? 对于那些想了解更多信息的人来说,这是一个很好的讨论。
我试图在我的Ubuntu 14.04主机上设置一个反向代理,这样我就可以运行多个网站,每个网站都在自己的LXC容器(一天泊坞站,但一次一步)。 在这个例子中,网站/主机名是: ubuntu1.mydomain.com ubuntu2.mydomain.com 容器是使用名称ubuntu1和ubuntu2创build的。 当我尝试设置iptables转发到这些主机名使用以下命令: sudo iptables -t nat -A PREROUTING -d ubuntu1.mydomain.com -j DNAT –to-destination 10.0.3.xxx (10.0.3.xxx是lxc网桥10.0.3.1上的容器的IP地址)我得到以下错误: iptables v1.4.21: host/network `ubuntu1.mydomain.com' not found 有没有办法解决这个问题?
我需要限制每个IP访问某个端口。 假设每分钟有5个连接 – 不多。 我见过最近 iptables, connlimit和限制 ,但他们都不符合我所需要的。 假设你有一个客户端试图每秒连接。 在我的情况下,我需要每分钟允许5个数据包。 最近 :如果某个IP试图每1秒连接一次,–hitcount 5将记住这个IP,并保留在列表中,直到没有数据包进入 – 60秒。 所以,它会限制客户永久在我的情况。 限制 :这个限制,我希望与 – 限制5 /分钟,但所有的IP – 没有办法指定这个IP。 connlimit :限制同时连接的数量,而不是每过一段时间。 事实上,我需要一个极限+最近的混合物。 谁知道该怎么做?
我在2 servers上安装了iptables 。 Server#1是公共的, Server#2只允许Server#1的ip address具有ACCESS 。 Server#2有一个Server#1查询的mySQL数据库。 我跑了一个查询,花了很长时间才完成。 我发现在Server#2上运行service iptables restart后,查询立即运行。 什么可能导致iptables花了这么长的时间来允许访问? 我怎样才能防止这种情况发生?
我的公共服务器接受stream量并使用iptables PREROUTING规则将其中继到networking中的其他计算机。 我最近添加了邮件服务器在192.168.1.10,并使其iptables规则接受端口25的stream量。 -A INPUT -p tcp -m state –state NEW -m tcp –dport 25 -j ACCEPT 与邮件服务器上的netstat -nat我看到它听:25 在我的公共机器上,我添加了一个 -A INPUT -p tcp -m state –state NEW -m tcp –dport 25 -j ACCEPT -A PREROUTING -i eth1 -p tcp -m tcp –dport 25 -j DNAT –to-destination 192.168.1.10:25 规则,但它不听:25。 我的大学不允许stream量进入其networking,通过:25,所以当我在本地telnet我得到一个连接拒绝错误。 大学的中继邮件服务器应该将电子邮件转发给我的邮件服务器(at:25)[email protected],但是连接失败 —– Transcript of session […]
我有一个问题,因为我无法使用我的第二个接口(eth2)中的当前防火墙规则执行SSH传出连接。 我试图连接的机器有两个名为eth1和eth2的接口。 他们的IP地址分别是192.168.0.18(掩码255.255.255.0)和10.30.25.1(掩码255.255.255.248)。 这是我的iptables规则集的输出: # iptables -L -v -n Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 26 4970 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 245 18008 ACCEPT tcp — eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT udp — eth1 * 0.0.0.0/0 0.0.0.0/0 […]
在我的一台服务器上,我可以看到: ACCEPT tcp — distinct_server_ip anywhere tcp dpt:mysql 通过做 sudo iptables -L | grep distinct_server_ip 与 iptables -L -n -v | grep 3306 432K 26M ACCEPT tcp — * * mydistinctip 0.0.0.0/0 tcp dpt:3306 90 5400 ACCEPT tcp — * * mydistinctip2 0.0.0.0/0 tcp dpt:3306 我想在另一台服务器上启用相同的function,请帮我用我使用的命令? 我正在考虑这样的事情: iptables -A INPUT -p tcp -s distinct_server_ip –sport […]
我知道问题被多次回答,但这种情况有点不同。 所以这里是我所拥有的: 所有用户必须在eth0上使用默认网关,除了一个 那一个只能在eth1上使用网关,在任何情况下都不能使用eth0 另外这个东西很容易实现,但一起…设置它主要工作:1002用户通过eth1去现在,如果没有可用的地方。 但是,一些主机仍然通过eth0路由。 我不知道为什么。 这是我的设置: user @ localhost:〜$ ip规则 0: from all lookup local 1000: from all fwmark 0x5 lookup 5 2000: from all fwmark 0x5 lookup 6 32766: from all lookup main 32767: from all lookup default` user@localhost:~$ ip route list table 5 0.0.0.0/1 via 10.10.0.185 dev eth1 user@localhost:~$ ip route […]
我遇到了一些因访问我的VPS而导致的问题。 串行控制台通过我的VPS控制面板不接受input,所以我的VPS主机提供了在主机节点上挂载我的文件系统,并做我需要进入的任何东西。 将iptables重命名为iptables.bak,重新安装文件系统并启动机器启动它没有防火墙规则?
我已经使用Hostapd设置了个人热点。 但是这个热点没有连接到互联网,但我确实已经安装了Apache。 我想要实现的是将所有客户端(连接到我的热点)redirect到我的apache页面,当他们访问另一个网站。 所以基本上所有的stream量redirect到我的Apache页面。 我所尝试的是: sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 192.168.150.1:80 但是,这个iptable的客户端不会被redirect到我的Apache网页。 但是,当我打开互联网共享与热点,然后它的工作。 但我希望它能够工作,而不必共享一个互联网连接。