我需要帮助来configurationiptables来阻止除了几个允许的计算机之外的所有东西。 但是他们使用ddcp和SCTP进行通信,所以我不知道如何实现它。 这是我的尝试(不工作): #allow all ports for ip #udp iptables -A INPUT -s 8.8.8.8/32 -p udp -j ACCEPT iptables -A OUTPUT -s 8.8.8.8/32 -p udp -j ACCEPT #tcp iptables -A INPUT -s 8.8.8.8/32 -p tcp -j ACCEPT iptables -A OUTPUT -s 8.8.8.8/32 -p tcp -j ACCEPT #ddcp iptables -A INPUT -s 8.8.8.8/32 -p ddcp -j […]
我试图阻止除美国和加拿大以外的所有stream量。 我添加了所有美国和加拿大的IP到ipset地理块,当我尝试这个命令。 我收到一个错误。 iptables -A INPUT -m set –set !geoblock src -j DROP -bash: !geoblock: event not found 但是当我运行这个命令 ipset list 我得到所有的IP,所以没有任何错误的名称和ipset。 我在7.3.1611上使用iptables v1.4.21
fwbuilder似乎总是希望将防火墙规则直接写入运行它们的设备,但是我想将它们写入一个规则文件,然后我可以通过configurationpipe理(ansible)来维护和更新设备。 澄清:希望以适合iptables-restore使用的格式写出规则。 这可能吗?
有这样的文章提出了这些iptables规则的forms来阻止在很短的时间内进行太多的SSH连接: -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –set -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 4 -j DROP 根据文章,“如果这些规则每分钟尝试超过3次连接到SSH,将阻止一个IP”。 如果iptables的INPUT链configuration为默认的DROP策略,那么以下规则是否与前面显示的规则等效? -I INPUT -p tcp –dport 22 -i eth0 -m conntrack –ctstate NEW -m limit –limit 3/min […]
我有以下的iptables链: sudo iptables -N BLOCK24 sudo iptables -A BLOCK24 -m recent –name blocked –set sudo iptables -A INPUT -m state –state NEW -m recent –set sudo iptables -A INPUT -m state –state NEW -m recent –update –seconds 300 –hitcount 200 -j BLOCK24 sudo iptables -A INPUT -m recent –name blocked –rcheck –seconds 86400 -j BLOCK24 […]
我试图设置iptables来转发一个机器(box1)的子网10.10.255。*到端口162的端口(161)到box2,这应该由不同子网(公共的)中的box3来查询。 这是一个示意图: box1 box2 box3 [10.1.255.245] —- (eth0)-(eth1) —- [public_ip] | |——— 161 —–| |———–161—(iptables)—- 162 —–| 所以基本上我想通过端口162查询box3上的snmp。在box2上,我添加了这些规则: iptables -t nat -A PREROUTING -p udp -i eth1 –dport 162 -j DNAT –to-destination 10.1.255.245:161 iptables -A FORWARD -p udp -d 10.1.255.245 –dport 161 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 可悲的box3不能查询SNMP …这些是来自box2的iptables: # Generated by iptables-save v1.4.7 […]
我有一个服务器,有一些networking问题。 服务器位于可以通过VPN访问的局域网中。 服务器可以ping通局域网内的任何其他机器,但不能在其外部。 ping google.com PING google.com (216.58.217.14) 56(84) bytes of data. ^C — google.com ping statistics — 74 packets transmitted, 0 received, 100% packet loss, time 73001ms 但它可以curl到相同的地址: curl google.com <HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8"> <TITLE>301 Moved</TITLE></HEAD><BODY> <H1>301 Moved</H1> The document has moved <A HREF="http://www.google.com/">here</A>. </BODY></HTML> 另外,如果我想从互联网上获取wget rpm软件包,并将其下载到服务器进行安装,则需要永久使用。 curl -O ftp://195.220.108.108/linux/centos/7.3.1611/os/x86_64/Packages/wget-1.14-13.el7.x86_64.rpm % Total % Received % […]
我的linux中的应用程序连接到“ip.example.com”。 “ip.example.com”的IP地址在/ etc / hosts中定义为 10.23.22.1 ip.example.com 在目标IP上,服务正在端口8080上运行。但是,应用程序正试图连接10.23.22.1:80 ,并且失败。 无法修改目标IP或在本地运行的应用程序。 我想在我的本地邮箱转发从10.23.11.1:80到10.23.22.1:8080的传出stream量。 这是可能在ip表中实现?
我想做两次NAT。 devise是: LAN – A 192.168.1.10/24 OpenSwan VPN Public IP 5.5.5.5 <——VPN—–> Public IP 6.6.6.6 Open Swan — > LAN B 192.168.1.20/24 当我从源192.168.1.10 ping我要改变源1.1.1.x/24和目的地2.2.2.10/24 因此,机器在局域网192.168.1.10将ping目的地2.2.2.10源IP NAT 1.1.1.10和数据包将命中192.168.1.20 由于子网重叠,我不能在局域网路由表中放192.168.1.20的路由,所以我想ping一个虚拟IP 2.2.2.10 ,当数据包到达Openswan VPN的时候,它的目的地址是192.168.1.20 那么SiteS OpenSwan上的NAT语句是什么? (注意我没有访问B站点的网站,所以网站A上的所有更改都打开了)
所以,我有一个服务器,也为我的局域网(NAT)(伪装),并转发所有的互联网stream量到网关。 我需要知道谁在我的局域网访问什么网站。 我不想去整个SQUID代理路由。 我(非常意外?)找不到任何能轻松完成的软件。 AFAICT,/ proc / net / ip_conntrack应该有我需要的所有信息,因为我所有的LAN连接都通过NAT。 所以我一起黑了一个小脚本,只是DNSparsingip_conntrack中的所有条目,并logging下来。 我的计划是简单地做一个'tail -f / proc / net / ip_conntrack | my_script.pl',并且用它来完成,但是tail-f似乎不能在这个文件上工作? 它倾倒了很多线,然后停下来。 我怎样才能获得实时NAT服务器上的每个新连接? 我错过了一个现成的软件,只是告诉我谁在我的局域网正在谈论互联网上的哪个服务器,通过这个NAT?