如果我有3个域名:siteA,siteB和siteC。 可以说,所有这些网站都存储在同一台服务器上,但是我想lockingsiteB到只有一个特定的子网和siteC到更广泛的子网。 有没有办法使用IPTables和Apache来实现这个目标?
如果我停止IPTables服务,我的ftp服务器按预期工作。 但是,启用时,我无法连接(在发生authentication之前)。 # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT tcp — anywhere anywhere tcp dpt:https ACCEPT tcp — anywhere anywhere tcp dpt:domain ACCEPT udp — anywhere anywhere udp dpt:domain ACCEPT tcp — anywhere anywhere tcp dpt:rndc ACCEPT tcp — anywhere anywhere tcp […]
目前我正在观看auth.log,有人正在不断尝试10小时的蛮力攻击。 其本地服务器,所以不用担心,但我想testing。 我已经安装了denyhosts。 hosts.deny中已经有一个IP地址的条目。 但是他仍在尝试来自同一个IP的攻击。 系统没有阻止。 首先,我不知道如何input该文件的IP地址。 我没有input,有没有其他的系统脚本可以做到这一点。 hosts.deny是 sshd: 120.195.108.22 sshd: 95.130.12.64 hosts.allow文件 ALL:ALL sshd: ALL 有没有任何可以覆盖host.deny文件的iptable设置
在构build新系统时,我不打开networking,直到我configuration了iptables来阻止除端口22(ssh)以外的所有入站stream量。 稍后,我打开端口并configuration允许的地址范围。 什么是最短的iptables命令我可以键入以禁止所有入站通信,除了连接到(给定)单个IP地址的端口22?
我刚刚接pipe了一个运行Fedora Core 12的防火墙的相当复杂的防火墙规则集,有一件令我困惑的事。 当我在networking外部的网关上运行nmap时,我看到了所有预期的服务,而且在端口111上看到了sunrpc。INPUT链设置了DEFAULT DROP,并且没有允许端口111的规则。尽我所能扫描之前/期间/之后的数据包计数器)它被规则允许:“-m state –state RELATED,ESTABLISHED -j ACCEPT”,但我不明白为什么一个全新的TCP连接会被认为是RELATED或ESTABLISHED 。 任何build议将不胜感激。 编辑: Conntrack模块: nf_conntrack_netlink 14925 0 nfnetlink 3479 1 nf_conntrack_netlink nf_conntrack_irc 5206 1 nf_nat_irc nf_conntrack_proto_udplite 3138 0 nf_conntrack_h323 62110 1 nf_nat_h323 nf_conntrack_proto_dccp 6878 0 nf_conntrack_sip 16921 1 nf_nat_sip nf_conntrack_proto_sctp 11131 0 nf_conntrack_pptp 10673 1 nf_nat_pptp nf_conntrack_sane 5458 0 nf_conntrack_proto_gre 6574 1 nf_conntrack_pptp nf_conntrack_amanda 2796 […]
我在Debian Etch机器上遇到了一个问题。对于黑暗和暴风雨的原因,它在eth0上的IP很奇怪,但是我们必须保持这样的状态。 它的ifconfig: eth0 Link encap:Ethernet inet addr:128.0.0.250 Mask:255.255.0.0 eth1 Link encap:Ethernet inet addr:192.168.1.250 Mask:255.255.255.0 用命令: iptables –t nat –L POSTROUTING 我得到: target prot opt source destination ACCEPT 0 — 128.0.0.2 anywhere MASQUERADE 0 — !192.168.1.0/24 anywhere 第二个规则,如果我理解正确的话,所有的stream量都不同于192.168.1.0/24。 换句话说,所有发往我拥有路由规则的lan的数据包都从Debian Etch的机器ip发送,失去了真正的发送者。 我希望这台机器不要通过NAT的stream量不通过它。 我会尽量做得更清楚…它应该只有来自128.0.0.250(它的IP),从192.168.1.250出去的NATstream量。 我最近在学习linux,这有点太多了:/任何人都可以帮忙(也许指示备份configuration,所以我可以安全的情况下,一塌糊涂)? 非常感谢!
我在我的web服务器上看到如下一些日志 203.252.157.98 – :25:02 "GET //phpmyadmin/ HTTP/1.1" 404 393 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:03 "GET //phpMyAdmin/ HTTP/1.1" 404 394 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:03 "GET //pma/ HTTP/1.1" 404 388 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 203.252.157.98 – :25:04 […]
好吧,现在很多ISP在传出连接上阻塞端口25,所以我在端口1025上设置了一个smtp服务器。现在这个工作很好,configuration好的客户端正确地发送邮件。 但对于服务器上的大部分代码,smtp服务器应该是25,现在而不是重新configuration所有的代码来使用新的端口,我正在考虑build立一个隧道或强迫所有从本地主机到25去本地主机上1025。 我试了这个,但没有奏效 iptables -t nat -A PREROUTING -p tcp -i lo –dport 25 -j DNAT –to 127.0.0.1:1025 我能做些什么来完成呢? 谢谢
我想将机器A的某个端口上的TCP连接转发到机器B上的另一个端口(实际上与发起到机器A的连接相同),并模拟随机或确定的数据包丢弃。 我怎样才能做到这一点与iptables?
我试图让snmp陷阱发送到一个远程机器的仙人掌graphics。 这是我现在的,但它不工作: 链条input(政策DROP) ACCEPT udp – 0.0.0.0/0 xxxx udp dpt:161 ACCEPT udp – 0.0.0.0/0 xxxx udp dpt:162 ACCEPT udp – 0.0.0.0/0 xxxx udp spts:1023:2999 最后一行是某人的build议,但没有帮助。 我认为这会很简单,而且我做了大量的search引擎,但是我碰到了一堵墙。 感谢任何指针! 编辑:这是iptables -L -n -v的输出: 链INPUT(策略DROP 0包,0字节) pkts字节目标人选退出源目的地 0 0 ACCEPT udp – * * 0.0.0.0/0 184.105.134.14 udp spts:1023:2999 0 0 ACCEPT udp – * * 0.0.0.0/0 184.105.135.57 udp […]