我在我的Ubuntu服务器上安装了PSAD,然后相应地设置IPTable。 但我仍然通过电子邮件得到这个错误: 你可能只需要添加一个默认的日志logging规则到/ sbin / iptables'filter''INPUT'链(…) 这里是我的iptables -S规则: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 678 -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp […]
试图禁用用户的networking访问权限: [root@notebook ~]# iptables -I OUTPUT -m owner –uid-owner tempuser -j DROP [root@notebook ~]# ip6tables -I OUTPUT -m owner –uid-owner tempuser -j DROP Could not open socket to kernel: Address family not supported by protocol [root@notebook ~]# [root@notebook ~]# iptables -I INPUT -m owner –uid-owner tempuser -j DROP iptables: Invalid argument. Run `dmesg' for more […]
我有一台IP 10.10.10.5的Debian服务器和一台IP 10.10.10.7的Windows电脑。 我的计划是使Debian服务器使用这些iptables规则将所有RDPstream量转发给Windows计算机: iptables -t nat -A PREROUTING -p tcp –dport 3389 -j DNAT –to-destination 10.10.10.7:3389 iptables -A FORWARD -p tcp –dport 3389 -j ACCEPT 但由于某种原因,它不起作用。 我已经将IPv4转发设置为“1”。 当我从LAN直接连接到Windows计算机时,它将build立RDP连接,但不能通过服务器工作。 10.10.10.5的Nmap为3389返回“filtered”,但是10.10.10.7的nmap返回“open”。 可能是什么问题呢?
我将在服务器A上运行一些软件,以便在服务器B上的弹性search中添加和删除条目。 我如何允许这些远程创build和删除操作,但仍然保持ES安全? IPtables是正确的路线还是有更好的解决scheme?
在我的个人服务器(Centos 6.6)上,我获得了一个辅助ip,以保持所有后端访问权限与前端应用程序分离。 但我不知道我怎么能指定这个端口可以访问给定的IP。 例如 eth0(192.168.10.1)将只用于端口80/443 eth0:1(192.168.10.2)将只用于ssh 我到目前为止,但它不工作,因为我仍然可以从任何IP访问80/443/22: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1119386456:2737152595892] #allow incoming ICMP ping pong stuff -A INPUT -i eth0 -p icmp –icmp-type 8 -s 0/0 -m state –state NEW,ESTABLISHED,RELATED -m limit –limit 30/sec -j ACCEPT -A OUTPUT -o eth0 -p icmp –icmp-type 0 -d 0/0 -m state […]
我已经成功input以下命令到iptables sudo iptables -I INPUT -p tcp –dport 5000:5020 -j ACCEPT -m comment –comment "Allow Ports 5000s" 但是,AFAIK允许访问任何NIC上的这些端口。 我如何修改上述命令只允许从10.0.0.1到10.0.0.127?
我正在使用puppetlabs防火墙模块,并且遇到了为简单的Web主机设置iptables的麻烦。 我遵循本指南并希望设置其他规则。 https://sysadmincasts.com/episodes/18-managing-iptables-with-puppet 例如,我已经添加了规则来允许使用git和mysql端口传出stream量: firewall { '200 allow outgoing mysql': chain => 'OUTPUT', state => ['NEW'], proto => 'tcp', dport => '3306', action => 'accept', } firewall { '200 allow outgoing git': chain => 'OUTPUT', state => ['NEW'], dport => '9418', proto => 'tcp', action => 'accept', } 并在iptables看,我可以看到以下规则: root@app01:~/geppetto# iptables -L -n Chain INPUT […]
我有一个运行在官方mysql容器( https://registry.hub.docker.com/_/mysql/ )上的docker 1.6.0的debian服务器。 我使用一个相当基本的防火墙configuration,其中所有端口都closures,除了SSH,HTTP和NTP( http://pastebin.com/raw.php?i=dFUcJWxy )。 当我尝试连接到我的mysql数据库时: mysql -u root -h 172.17.0.3 -p 我收到以下错误信息: ERROR 2003 (HY000): Can't connect to MySQL server on '172.17.0.3' (110) 端口3306被过滤: nmap -p 3306 172.17.0.3 PORT STATE SERVICE 3306/tcp filtered mysql …当我打开主机上的端口3306我可以访问到MySQL服务器。 如何在不打开主机端口3306的情况下访问mysql服务器容器? 进一步的信息可以帮助: 启动容器的任务非常简单: – name: Mysql container docker: name: mysql image: mysql:5.7 state: started volumes: – /var/container_data/mysql:/var/lib/mysql […]
服务器1和服务器2(Centos 7)都承载相同的应用程序,它监听UDP端口1514.服务器1在此端口上接收stream量。 目标是服务器2上的应用程序接收此stream量的副本。 服务器1使用iptables复制UDP 1514上的stream量并将其发送到服务器2: iptables -t mangle -A PREROUTING -i ens160 -p udp -dport 1514 -j TEE -gateway 10.88.72.40 [server 2] 服务器2上的tcpdump显示所有进入的stream量; 但是,目标IP仍然是10.88.72.41,所以侦听应用程序不检测stream量。 请帮我找一个解决scheme,以便第二台服务器上的应用程序可以检测到这个stream量。 在服务器2上,我试过这个策略来重写传入数据包的目标IP地址: iptables -t nat -A PREROUTING -p udp -d 10.88.72.41 –dport 1514 -j NETMAP –10.88.72.40 在服务器1上,我尝试了类似的命令来重写(或DNAT)传出数据包的目标IP地址。 我一直在为此工作 – 如果你能解决这个问题,我将永远感激!
我有个问题。 服务器上的时间不同步。 而且似乎这个问题出现后,我设置我的iptables的规则,我在这里描述可能是我错了,这两个事件是不相关的… … – CentOS 7.1 ntpd 4.2.6p5 在/ var / log / messages中 May 25 16:48:49 CentOS-70-64-minimal ntpd[26771]: ntpd [email protected] Sat Dec 20 02:38:09 UTC 2014 (1) May 25 16:48:49 CentOS-70-64-minimal ntpd[26771]: proto: precision = 0.046 usec May 25 16:48:49 CentOS-70-64-minimal ntpd[26771]: 0.0.0.0 c01d 0d kern kernel time sync enabled May 25 16:48:49 […]