当我为服务器启用iptables(v4 / v6)时,每个连接如ssh,imap,smtp,http,https等都会变慢,所以如果我尝试连接到ssh,则会花费30(!)秒。 imap服务dovecot有同样的问题。 build立规则。 我没有看到什么问题? Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 407K 138M ACCEPT udp — eth0 * 0.0.0.0/0 0.0.0.0/0 udp spts:67:68 dpts:67:68 7259 943K ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 344K 55M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED […]
我最近添加了一个IP地址给我的VPS。 问题是,以前的所有者已经放弃了在这个IP上设置域名的域名。 尽pipe我的防火墙(CSF)拒绝任何对此域的访问,但是我的问题是,由于访问者收到的域名遭到攻击,例如google和Bing等search引擎爬虫,我的服务器上的日志文件中会收到很多错误消息。 以下是从我的负载很重的日志取自path/ var / log / messages中的示例行 client 74.125.181.85#34411: query (cache) 'ns1.the_troublesome_domain.com/A/IN' denied 我还没有成功地鼓励业主改名。 因此,我决定阻止所有前往该域的stream量,以便停止日志文件(不过,我不知道这是否是正确的决定)。 我已经尝试将以下规则添加到Iptables中 iptables -I INPUT -s the_troublesome_domain.com -j DROP 只有得到警告 iptables v1.4.7: host/network `the_troublesome_domain.com' not found 请让我知道你对这个问题的想法。 提前致谢。
我已经知道如何使用iptables设置防火墙,但在IT安全部门访问后,他们说我需要过滤OUTPUT ,但是对我来说,这是没有意义的,我真的可以find一个场景,我需要做的是。 所以,这是我的第一个问题: 我真的需要过滤OUTPUT ? 我的OUTPUT默认接受所有,没有规则。 这是一个安全漏洞? 他们还说,我有规则,代表安全违规,我不同意这一点。 以这个FORWARD为例: -P FORWARD DROP -A FORWARD -m state –state ESTABLISHED -j ACCEPT -A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp –dport 80 -j ACCEPT 他们表示接受ESTABLISHED而没有指定source和destination并且作为第一条规则是安全漏洞 。 真? 这是另一个安全漏洞吗? ACCEPT ESTABLISHED而不指定source和destination是不好的做法?
我在Centos 7上,删除了新的防火墙并安装了一个经典的iptables服务。 我有一个客户机在Debian 8.1和静态外部IP。 我做: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 iptables -P FORWARD ACCEPT 和: iptables -t nat -I PREROUTING -d *external_ip* -i enp2s0 -j DNAT –to-destination 192.168.122.72 iptables -t nat -I POSTROUTING -s 192.168.122.72 -o enp2s0 -j SNAT –to-source *external_ip* iptables -P FORWARD ACCEPT 我的访客系统开始工作,并在互联网上成为可能。 然后我服务iptables保存,重新启动主机,我的客机在networking上变得不可用。 但是当我检查iptables规则(iptables -t nat -L -line-numbers)时,我发现我所有的规则都在那里。 当我刷新所有的iptables规则并再次input它们时,它会重新开始工作,直到重新启动。 […]
我试图通过使用以下命令禁用我的Debian服务器上的各种IP子网: iptables -A INPUT -s 222.128.0.0/10 -j DROP 该命令被正确地采用,并且一个iptables -L -n命令显示它们如下: root@server:~# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination DROP all — 43.229.53.41 0.0.0.0/0 DROP all — 222.128.0.0/10 0.0.0.0/0 DROP all — 222.186.21.236 0.0.0.0/0 DROP all — 185.41.168.0/22 0.0.0.0/0 但是当我使用tcptrack来查看打开的连接时,连接仍然是打开的(超过900个!)。 我需要“重新加载”的设置,但以任何方式到iptables? 我真的不想重新启动服务器 iptables -L -n -v –line-numbers root@server:~# iptables -L […]
我有一个非常简单的网关,运行一个最小的Linux,在局域网上用作一个带有NAT和DHCP的IP路由器,在广域网上有一个静态IP。 从LAN侧的网关路由器转到一个大型交换机,从中可以获得大约200个用户的访问权(DHCP将它们分配给NAT地址)。 在局域网上的这200个主机中,有一个(称为氩),我想从局域网和广域网中的一个固定的静态IP地址访问。 假设我的NAT是192.168.1.0/24,我的网关上的LAN地址是192.168.1.1,Boron是局域网上的主机,IP是192.168.1.2,Carbon是WAN上的主机,IP是1.1.1.1。 说我拥有IP 10.10.10.10。 我想把10.10.10.10分配给Argon,并且能够发送和接收来自Boron(在192.168.1.2)和Carbon(在1.1.1.1)的TCP和UDPstream量,其中Boron和Carbon都将发送消息到10.10.10.10的IP地址到达氩气。 我不认为我的路由器有能力运行DNS或VPN,所以我想避免这些路线作为解决scheme,如果可能的话。 但是,如果我所处的限制使问题无法解决,我宁愿将DNS设置为一个解决scheme,而不是VPN,所以如果有人有这个问题的DNS解决scheme(这不是dynamic的DNS),我会欣赏那些解决scheme也。 道歉,如果这个问题是基本的,或不是关键; 我绝对是一个networking新手。 感谢您的帮助。
我想问一下如何阻止spefic包的有效载荷? 14:46:35.837759 IP 145.92.16.14.27017 > x.27030: UDP, length 25 0x0000: 4500 0035 44a4 0000 ee11 53ae 915c 100e E..5D…..S..\.. 0x0010: 0587 8d74 6987 6996 0021 0000 7a78 4646 …ti.i..!..zxFF 0x0020: ffff ff55 4ba1 d522 0043 6f75 6c64 206e …UK..".Could.n 0x0030: 6f74 206f 70 ot.op 14:46:35.837775 IP 120.79.235.173.27015 > x.27015: UDP, length 25 0x0000: 4500 0035 […]
我有一个带有两个NIC的Ubuntu 14.04 LTS服务器。 一个连接到内部networking (eth0,192.168.4.0/24),另一个连接到具有Internet访问权限的路由器 (eth1,networking192.168.2.0/24)。 我想实现的是给192.168.4.0/24networking上网的客户端。 所以我跑了下面的命令: $ echo 1 > /proc/sys/net/ipv4/ip_forward $ iptables -A FORWARD -i eth0 -j ACCEPT $ iptables -A FORWARD -o eth0 -j ACCEPT 据我所知,客户现在应该能够到达路由器,但它不起作用: $ ping 192.168.2.1 Request timeout for icmp_seq 0 并使NAT作为最后一步不起作用 $ iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 你能告诉我我的错误在哪里吗?
有一个程序在服务器端侦听端口3333,并发送和接收数据包到服务器的专用客户端,我想build立一套iptables规则,使每个数据包空中随机端口号。 这是我所做的: ####Client side iptables -t nat -A OUTPUT –dst server.ip.addr -p udp –dport 3333 -j DNAT –to-destination :10000-19999 –random ####Server side iptables -t nat -A PREROUTING –dst server.ip.addr -p udp –match multiport –dport 10000:19999 -j REDIRECT –to-ports 3333 基本上工作,但DNAT只会随机分配第一个“连接”的数据包,后面的数据包只是使用保存在连接状态表中的端口号,而不会在“连接”存在的时候改变。 然后我尝试禁用连接跟踪: ####Client side iptables -t raw -A OUTPUT -p udp –dport 3333 -j NOTRACK 现在服务器和客户端不能通信,tcpdump在服务器上没有显示任何东西,我想DNAT可能无法连接跟踪工作。 […]
我有一个本地透明代理,但我的问题是,数据包,当重新路由,有路由器IP而不是用户。 这些是我现在的规则: iptables -t nat -A PREROUTING -i eth0 -s ! 192.168.1.231 -p tcp -m multiport –dport 80 -j DNAT –to 192.168.1.231:3128 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -d 192.168.1.231 -j SNAT –to 192.168.1.1 iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.231 -i eth0 -o eth0 -p tcp –dport 3128 -j ACCEPT iptables […]