我想在iptables中阻止除我之外的所有国家,这是一个包含大约100.000个条目的列表。 我怎样才能在脚本中定义这个黑名单文件,所以iptables阻止所有这些IP范围? 也许我可以使用: http : //www.ipdeny.com/ipblocks/data/countries/ ,它提供了表单中的列表 117.55.192.0/20 117.104.224.0/21 119.59.80.0/21 121.100.48.0/21 … 我希望能够轻松地更改黑名单文件,而无需更改iptables脚本。
我试图在我的Ubuntu 12.04服务器机器上打开端口3306(用于远程mysql连接),但对于我的生活无法得到该死的东西的工作! 这是我做的: 1)列出当前的防火墙规则: $> sudo iptables -nL -v output: Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 225 16984 fail2ban-ssh tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 220 69605 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0 0 0 REJECT all — lo * […]
在Linksys路由器上使用DD-WRT,我有一个私人networking设置为br0,一个访客networking设置为br1。 我只想在访客networking上阻止对Skype的访问,而阻止Skype访问的最简单的方法是阻止访问他们的validation服务器。 通过添加以下防火墙规则,我能够成功地阻止每个连接到路由器的Skype用户访问Skype: iptables -I FORWARD -s 111.221.74.0/24 -j DROP iptables -I FORWARD -s 111.221.77.0/24 -j DROP iptables -I FORWARD -s 157.55.130.0/24 -j DROP iptables -I FORWARD -s 157.55.235.0/24 -j DROP iptables -I FORWARD -s 157.55.56.0/24 -j DROP iptables -I FORWARD -s 157.56.52.0/24 -j DROP iptables -I FORWARD -s 194.165.188.0/24 -j DROP iptables -I FORWARD […]
下车后我换了一个IVR机器来打电话。 它在ubunutu上运行星号1.4.23 10.04我决定把服务器放在iptables后面,因为我的服务器遭受了powershell攻击。 eth0是我的私人卡,eth1是公共卡。 这是我的规则: # only allow PING on PRIVATE NET iptables -A INPUT -p icmp -i eth0 -j ACCEPT # allow all the lo traffic on loopback. iptables -A INPUT -i lo -j ACCEPT # START OPEN PORTS #================= #SSH (22) iptables -A INPUT -p tcp -i eth0 –dport 22 -j ACCEPT #iptables […]
我在2013-01-25和2013-01-28上运行了sudo iptables -L -v。 我得到了INPUT链的以下几行。 2013年1月25日 774K 392M ACCEPT all — any any anywhere anywhere ctstate RELATED,ESTABLISHED 2013年1月28日 1060K 532M ACCEPT all — any any anywhere anywhere ctstate RELATED,ESTABLISHED 这条规则正在接受哪些数据,以及为什么在一个不应该接收太多数据的服务器上字节数太高? 更新: 服务器设置为Web服务器,但服务器上的站点不受欢迎。 它更像是一个testing服务器。 收到的stream量是端口80上的SSH和基于Web的stream量。 这些是INPUT链上的所有规则 Chain INPUT (policy ACCEPT 620 packets, 103K bytes) pkts bytes target prot opt in out source destination 3423 282K ACCEPT […]
我目前正在经历对我的服务器的DNSreflection攻击。 我从端口53通过UDP获得大量的答案,我的服务器从来没有要求: 02:53:57.626156 IP(tos 0x0,ttl 50,id 0,offset 0,flags [DF],proto UDP(17),length 267)REFLECTING.OPEN.DNS.SERVER.domain> mydomain.com.11803:30781 – 问:RRSIG? 。 0/13/1纳秒:。 NS A.SOMENAMESERVER.NET。,。[| domain] 02:53:57.626382 IP(tos 0x0,ttl 50,id 0,offset 0,flags [DF],proto UDP(17),length 267)REFLECTING.OPEN.DNS.SERVER.domain> mydomain.com.11803:30781 – 问:RRSIG? 。 0/13/1纳秒:。 NS B.SOMENAMESERVER.NET。,。[| domain] 02:53:57.627804 IP(tos 0x0,ttl 50,id 0,offset 0,flags [DF],proto UDP(17),length 267)REFLECTING.OPEN.DNS.SERVER.domain> mydomain.com.24188:30781 – 问:RRSIG? 。 0/13/1纳秒:。 NS C.SOMENAMESERVER.NET。,。[| domain] 所以我想到的对策是限制源端口为53的传入数据包的数量。iptables的权利应该没有问题? 所以我把这一点与我的小iptables技能: […]
我尝试使用此命令阻止用户sandbox访问networking: $ iptables -A OUTPUT -m owner –uid-owner sandbox -j DROP 但是,之后我仍然可以ping外部主机: $ sudo -u sandbox ping 206.190.36.45 PING 206.190.36.45 (206.190.36.45) 56(84) bytes of data. 64 bytes from 206.190.36.45: icmp_req=1 ttl=49 time=802 ms 64 bytes from 206.190.36.45: icmp_req=2 ttl=49 time=791 ms 我究竟做错了什么? 更新 我的configuration如下所示: $ /sbin/iptables -L Chain INPUT (policy ACCEPT) target prot opt source […]
我想只允许从我的工作站连接, iptables -I INPUT -s 10.0.0.0/8 -j ACCEPT iptables -I INPUT -s 127.0.0.1/8 -j ACCEPT iptables -I INPUT -s XXXX -j ACCEPT # my workstation's public IP iptables -P INPUT DROP 它真的有用。 但是我发现我无法连接到外部的互联网了。 (我想不受限制地访问外部networking) 怎么了? 如何解决它? 谢谢。
我有一个运行几个VirtualBox实例的服务器,我们称他们为v1到vn 我怎样才能configuration这些实例,我可以select性地过滤他们的stream量: 例如 v1可以完全访问互联网 v2只能访问本地子网,传入stream量不允许 v3只能访问本地子网,但是允许传入stream量。 iptables规则不是问题。 但是,我怎样才能configurationVirtualBox,我可以过滤主机上的每个虚拟机的stream量独立? 目前所有的Virtualbox机器都在运行NAT-ednetworking。 在这里我没有看到在vm的基础上configurationiptables的方法。 其他选项是:桥接networking,但在这里论坛消息似乎表明过滤是不可能的。 主机只有networking不允许传出stream量到目前为止我的理解是? 任何提示或帮助,非常感谢!
这是我的设置: 客户端—> VPN 1(我的电脑,客户端的子网) – > VPN 2(外部VPN) – > Internet 两个VPN都是L2TP / IPSec,第一个是带有Openswan的Ubuntu服务器。 我需要logging每个客户端的HTTP请求和响应,所以我需要能够在它们被encryption并发送到第二个VPN之前读取它们。 所以,由于第一个VPN在我的PC上,我以为我可以在这里login数据包。 但是我怎么能这样做呢? 有没有什么办法让他们在被第一个VPN解密之后,在他们被encryption后被发送到第二个?