我有一个Linux路由器,它通过dynamicIP通过PPPoE连接到互联网 我希望它不响应从外部(互联网)ping(或任何其他types的ICMP),但我想从内部(局域网)ping(和所有icmp,如traceroute,tcptraceroute,mtr等)并从服务器到外部目标工作,我该怎么办呢?
我以我的智慧结束了这一点。 为什么IPTables不容易理解我永远不会知道:/ 无论如何,我们正在使用iRedMail作为我们的电子邮件系统。 我的客户已经设法locking了自己,在几次SMTP错误。 我可以看到他的知识产权被列出(为了安全而改变)。 root@server:~# iptables -L -n –line-numbers | grep 200.81.82.175 1 REJECT all — 200.81.82.175 0.0.0.0/0 reject-with icmp-port-unreachable 但我不能为我的生活制定出如何去除他的IP! 我从字面上花了最后一个小时试图疏通他,但仍然无济于事。 有人能指点我的方向吗? 在旁注中 – 我如何将所有服务的IP列入白名单? 一旦我们让他畅通,我认为这将是最简单的select!
我正在一个项目,我必须DNAT一些广播数据包到远程机器的IP地址。 到目前为止,我已经知道IP表只能使用DNAT单播数据包,而不能使用DNAT广播数据包。 我正在寻找一种可以在Ubuntu或Centos上侦听这些广播数据包的软件,然后将它们转换为单播数据包,以便将它们发送到不同networking上的远程机器。 我知道有几个像“多端口转发”和“AUTAPF”的选项,但我正在寻找一个类似的Linux实用工具。 基本devise
我正在尝试使用IPTablesconfiguration防火墙,防火墙位于LAN和Web服务器之间。 我想让局域网访问网站上的网站服务器。 但是,Web服务器不能启动与LAN的连接。 我正在使用以下规则,但我无法build立连接。 networking服务器:172.16.10.88局域网:192.168.0.0/16 iptables -A FORWARD -p tcp -s 192.168.0.0/16 -d 172.16.10.88 -m multiport – -dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 172.16.10.88 -d 192.168.0.0./16 -m multiport –dports 80,443 -m state –state ESTABLISHED -j ACCEPT iptables -A FORWARD -j DROP 我怎样才能解决这个问题? 谢谢
我安装了iptables并根据需要进行了configuration。 问题是apt-get不能工作了。 这里是我的iptables( iptables -L -n ): Chain INPUT (policy DROP) target prot opt source destination ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 ACCEPT tcp — 192.168.178.0/24 0.0.0.0/0 multiport dports 20,21,22 ACCEPT tcp — 192.168.178.0/24 0.0.0.0/0 multiport dports 53,137,138,139,445 DROP […]
我有以下设置: ip addr : 2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 01:12:23:34:45:5f brd ff:ff:ff:ff:ff:ff inet xxx.xxx.xxx.xxx/24 brd xxx.xxx.xxx.xxx scope global ens4 valid_lft forever preferred_lft forever inet 192.168.0.2/24 scope global ens4:1 valid_lft forever preferred_lft forever inet 192.168.0.3/24 scope global secondary ens4:2 valid_lft forever preferred_lft forever 我想从192.168.0.2注定到192.168.0.3所有stream量显示,如果源是192.168.0.3 。 原因是我有特殊的configurationpostgres,我不能改变。 当source是192.168.0.3 […]
是否有可能将iptables ipv4规则复制到iptables ipv6? 我已经尝试将它们复制到ipv6,但它并没有真正的工作。 大多数传出和传入连接不起作用。 也许有一些ipv4地址像localhost或cloudflare IP的问题 我的ipv4设置: https : //hastebin.com/otayisaroj
我运行iptables-save并在git中备份我的iptables规则。 我最近注意到,有两个新的表popup,mangle和nat,我无法删除这些表。 (也许更新iptables添加了这个)。 我想了解为什么这些餐桌连锁店有范围,这些范围是什么意思。 即:PREROUTING ACCEPT [1344:400539] 。 我不确定1344:400539是什么意思。 当我运行iptables保存,我得到以下输出 *mangle :PREROUTING ACCEPT [1344:400539] :INPUT ACCEPT [1344:400539] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [986:220524] :POSTROUTING ACCEPT [986:220524] COMMIT
我正在开发强制门户系统(现在),我想知道是否有任何方法来阻止透明代理设置上的HTTPSstream量。 下面是我所拥有的: GNU / Linux路由器(Netfilter),运行Squid v3.4.8,其接口具有以下configuration。 eth2(LAN): 192.168.0.0/24,172.16.255.1/27,10.255.255.0/24 eth1(WAN): 192.168.100.0/24 以下是我现在使用的防火墙规则,即使我使用这样的规则,对于特定的IP,它也不起作用: -A INPUT -i eth2 -p tcp -s 192.168.0.11 –dport 443 -j REJECT 我可能错过了一些重要的东西(对不起,如果我太盲目…)。 我只是不明白,为什么我不能只是拒绝访问目的地端口443,从我的networking的特定IP。 我正在使用PREROUTING规则,但所有这些规则都将目标路由到80(HTTP)到3128(Squid)。 *nat :PREROUTING ACCEPT [19:2473] :INPUT ACCEPT [13:2173] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] ######### SQUID (Transparent Proxy Rules) ######### -A PREROUTING -i eth2 -s 192.168.0.0/24 -p tcp –dport 80 […]
当我在SSH中input此命令来查看规则时,它会在iptables中返回以下警告消息。 我想知道它是什么以及如何解决它。 iptables -L LOG tcp — anywhere anywhere limit: avg 30/min burst 5 LOG level warning prefix "Firewall: *TCP_IN Blocked* " LOG udp — anywhere anywhere limit: avg 30/min burst 5 LOG level warning prefix "Firewall: *UDP_IN Blocked* " LOG icmp — anywhere anywhere limit: avg 30/min burst 5 LOG level warning prefix "Firewall: […]