这是我的/etc/iptables/rules.v4 *filter -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # You could modify this to only allow certain traffic -A OUTPUT -j ACCEPT # Allows HTTP and HTTPS […]
我知道有一个/ etc / sysconfig / iptables文件,规则为iptables(和/ etc / sysconfig / iptables-config有什么区别)。 我安装了CSF&LFD。 您可以在/etc/csf/csf.conf中configuration端口,但/ etc / sysconfig / iptables文件不存在。 iptables和csf守护进程正在运行。 这是什么意思? 那防火墙什么都不做? 实际上,CSF和iptables是如何协同工作的?
我有一个ec2实例( proxy ),它被用作http代理服务器。 还有一些其他的主机( hostA , hostB , hostC ),我想代理服务器只会允许来自这些主机的连接。 为此,我更改了安全组,并将这些主机添加为源,将80为端口 Port | Source ———+———- 80(HTTP) | hostA/32 80(HTTP) | hostB/32 80(HTTP) | hostC/32 此时hostA , hostB和hostC之外的其他主机hostC不能访问Proxy 。 但是如果其他机器上的某个人用伪造的源地址创build了一个虚假的IP数据包呢? 请问接口( eth0 )能接受吗? 除安全组设置外,是否还有其他安全措施?
只是好奇,是否有一种方法来阻止IP地址3次失败的login尝试纯粹的ftpd,但只有几个小时,严格使用iptables。 我听说使用fail2ban可以正常工作,但是我很好奇,只要使用iptables即可。 谢谢
为了负载平衡的目的,偶尔我们的服务器将请求转发到不同的端口; 我们服务的默认端口是5000端口。 这是使用的代码:iptables -t nat -A PREROUTING -p tcp –dport 5000 -j REDIRECT – 到端口5001 应用此代码后,端口转发对于新的请求非常有用。 端口5000上的新请求通过端口5001转发到我们的服务。但是,现有连接保持连接到端口5000,如netstat所示。 我的问题是,我该如何强制这个iptables规则立即适用于所有连接,无论是新的和现有(build立) – 没有首先丢弃所有连接? 提前致谢
在Ubuntu 12.04上安装logwatch (安装postfix )之前,端口25被iptables / csf阻塞 PORT STATE SERVICE 25/tcp filtered smtp 安装logwatch(安装postfix)后,现在打开端口25 PORT STATE SERVICE 25/tcp open smtp 使用csf -r重新启动CSF,但端口保持打开状态。 除TCP_ON , TCP_OUT , UDP_IN , UDP_OUT定义的端口外,是不是所有端口都被默认阻塞? 为什么端口25仍然打开? csf.conf TCP_IN = "22,27017,27018,27019" TCP_OUT = "53,27017,27018,27019" UDP_IN = "" UDP_OUT = "53,123" sudo netstat -tnlp | grep:25 tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 7641/master tcp6 […]
我正在尝试在CentOS 6.5上configurationiptables。 我试图阻止到服务器的所有stream量,然后只打开我需要的某些端口,如端口80.目前我已经从/etc/sysconfig/iptables的iptablesconfiguration文件中删除端口80,并重新启动它,但我仍然可以访问网页。 下面是我目前的iptablesconfiguration文件: # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth+ -j ACCEPT -A INPUT -m […]
我正在使用亚马逊EC2并希望为我的场景设置一些防火墙规则。 EC2很奇怪 – 如果你不熟悉EC2,亚马逊公司提供可以parsing私有IP地址的弹性IP地址,那么就没有真正的公有IP。 我有两个专用IP地址连接到单个以太网接口(eth0),以及两个对应的弹性IP地址,这些地址parsing为专用IP以允许公众访问本机。 对于第二个私有IP,我只想接受来自特定源(我的IP地址)的数据包。 我不能使用多个以太网接口来解决这个问题,因为我只能从EC2上的相同接口(eth0)模拟多个公共IP地址。 我有适当的标准规则,允许从任何来源的所有连接到常用的公共端口。 -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -A INPUT -p tcp -m tcp –dport 587 -j ACCEPT -A INPUT -p tcp -m tcp –dport […]
这个设置有什么问题? 主机和客户都是CentOS 6.5 具体来说,我不能在客人身上运行。 我可以愉快地ping /来宾,包括pinging mirrorlist.centos.org 如果我从主机iptables删除端口80规则(见下文),那么yum工作正常。 但是我需要这个规则,所以我可以使用guest作为一个可公开访问的web服务器。 yum更新输出: Loaded plugins: fastestmirror Determining fastest mirrors Could not retrieve mirrorlist http://mirrorlist.centos.org/?release=6&arch=x86_64&repo=os error was 12: Timeout on http://mirrorlist.centos.org/?release=6&arch=x86_64&repo=os: (28, 'connect() timed out!') Error: Cannot find a valid baseurl for repo: base 来宾有一个192.168.122.47的IP,和我设置了下面的ssh端口转发工作,但百胜没有。 访客iptables已被禁用。 主机iptables: # Generated by iptables-save v1.4.7 on Sat May 10 15:54:24 2014 *filter […]
我有一个在127.0.0.1:8000上运行的HTTP服务器。 我如何使用iptables或其他东西来路由外部stream量呢? 我希望能够从我的浏览器访问my.ip.addr:8000。 iptables -A PREROUTING -i eth0 -p tcp –dport 8000 -j REDIRECT –to-ports 8000 没有帮助 编辑: 要testing这是否工作,我正在使用下面的node.js脚本: // Load the http module to create an http server. var http = require('http'); // Configure our HTTP server to respond with Hello World to all requests. var server = http.createServer(function (request, response) { response.writeHead(200, {"Content-Type": […]