我已经能够设置我的dd-wrt路由器来连接到openvpn服务器,并通过vpn将所有stream量路由到互联网。 这使得从局域网到互联网的所有stream量都通过路由器 – > VPN – >互联网,这工作正常。 我想要做的只是通过vpn转发来自局域网中某些ip的stream量,而不是其他stream量。 我确信有一个iptables的方式做到这一点,但我一直无法弄清楚。
什么iptables规则我需要客户端允许主动ftp。 我目前无法通过主动模式连接到FTP,当iptables运行,但是如果我停止IPTABLES一切工作正常。 被动模式可以工作(因为不需要入站连接)。
我有3台机器具有以下IP地址: – 机器1: – 10.10.10.20机器2: – 10.10.10.21机器3: – 10.10.10.22 jBoss服务器在机器1上启动,机器3是客户机。 如果我在机器3的浏览器中input10.10.10.21(机器2的IP地址),我应该redirect到机器1上启动的jBoss服务器的默认jBoss页面。但是,input10.10.10.20(机器的IP地址1)在机器3上的浏览器不应该工作。 也就是说,机器3上的客户端应该只能通过机器2访问机器1上的jBoss服务器,而不能直接访问。 请注意,这3台机器是带有防火墙的专用networking的一部分。 我想在机器2(RHEL安装)上使用iptables,但我无法正确使用它。 任何人都可以build议我怎样才能实现这个设置(使用iptables或任何其他手段) 我试着在机器2上运行下面的iptables命令: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to-destination 10.10.10.20 但是我仍然无法从机器3通过机器2访问机器1。 谢谢,机器人
我有这些iptables规则 # Generated by iptables-save v1.4.10 on Thu Oct 6 17:16:01 2011 *filter :INPUT ACCEPT [22517:2222881] :FORWARD ACCEPT [2:176] :OUTPUT ACCEPT [16961:69145734] COMMIT # Completed on Thu Oct 6 17:16:01 2011 # Generated by iptables-save v1.4.10 on Thu Oct 6 17:16:01 2011 *nat :PREROUTING ACCEPT [29:3325] :INPUT ACCEPT [18:2668] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] […]
有人可以告诉我,如果我有不需要的规则? 我特别不确定是否 $IPT -t nat -P PREROUTING ACCEPT # is this required? $IPT -t nat -P INPUT ACCEPT # is this required? $IPT -t nat -P OUTPUT ACCEPT # is this required? 是需要的。? IPT='/sbin/iptables' LAN_IP_NET="192.168.0.1/24" WAN_IP="xxxx" LAN_NET="192.168.245.0/24" CLIENT_NET1="192.168.245.128/25" # 192.168.245.128 – 192.168.245.25 CLIENT_NET2="192.168.245.64/26" # 192.168.245.64 – 192.168.245.12 CLIENT_NET3="192.168.245.32/27" # 192.168.245.32 – 192.168.245.63 CLIENT_NET4="192.168.245.16/28" # 192.168.245.16 […]
如何使用带DROP策略的iptables启用NFS安装/共享? NFS使用dynamic分配的端口,因此很难与防火墙配合使用。 我有一个NFS服务器和一些客户端。 我只想在NFS所需的端口上接受通信。 我已经configurationNFS服务器使用静态端口(4000-4004)。 但问题是,客户端仍然select一个随机的端口 – 因为它是UDP我只能让它工作,如果我接受来自服务器的所有UDP通信。 我发现了一些描述设置/ sysvariables的文档,这会限制客户端使用NFS的一个静态端口范围,但是,我似乎无法使其工作。 提到的/ sysvariables是: /sys/module/sunrpc/parameters/max_resvport /sys/module/sunrpc/parameters/min_resvport /sys/module/lockd/parameters/nlm_tcpport /sys/module/lockd/parameters/nlm_udpport /sys/module/nfs/parameters/callback_tcpport 我一直无法做到这一点。 也许我正在接近这个错误的方式? 对于我认为是一件简单的事情来说,这看起来不必要的复杂。 我在Debian和Ubuntu上使用NFS。
我有一个小的VPS与Apache + PHP的主机只是一个小博客。 我一直在查看其日志,并看到吨(我猜)有主机名伪造的电话。 这是一个示例 。 显然这些电话与我所托pipe的网站无关。 我封锁了大约20 ips,而这些ips更多的是通过在iptables中放置它们而出现的,但是日志文件仍然变胖。 我已经查看了Apacheconfiguration,以确保ProxyRequests设置为Off。 有没有更好的办法来阻止他们?
是这样说的: A) OUTPUT链是由机器本身“ 生成 ”的包,即OUTPUT链影响connect()函数。 B) INPUT链是用于“ 寻址到 ”的数据包,并将在机器上结束,即INPUT链影响bind()和listen()函数。 如果是,为什么要在防火墙上控制这些function? 防火墙不是监听端口80的Web服务器或连接到该端口的客户端。 我是否正确地假设这些链条只是为了满足多用途机器(也就是说,防火墙和networking服务器)的需求?
我们的networking服务器(Nginx,MySQL,PHP)目前正在被DDOS攻击。 传出stream量是正常的(平均563 kb /秒),但传入的stream量是吃我们的1gbit端口(平均800Mb /秒)。 在Nginx的访问日志中,我注意到一个POST请求到一个499的错误来自10-15个唯一的IP地址,一直到已经安装的支持票务系统(/support/index.php – 正在运行OSTicket)。 我在iptables中阻止了这些IP上的INPUT / OUTPUT。 我不认为这做了什么,但它是奇怪的,考虑到这些IP几秒钟重复POST请求。 如何查明有问题的IP并阻止它们发送大量传入的请求? 编辑:这是打印输出的iptables -L -v http://pastebin.com/cyGLKJh4
我是新来设置服务器,当我试图按照iptables的指导。 该指南说,使用RH-Firewall-1-INPUT,而我看到原来的configuration只是使用INPUT。 我想知道这些之间有什么区别? 谢谢!