我在虚拟机上configuration了两块网卡,每块网卡绑定到特定的networking,一块是DMZ,另一块是内部networking。 我希望MySQL仅在内部networking上侦听,并在DMZ上侦听HTTP和HTTPS。 但是,一旦我添加第二个界面,我遇到了麻烦。 我可以打任何一个接口的HTTP,但不能打内部networking上的MySQL 3306。 这是configuration…有人可以理智检查这个请吗? auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 10.153.24.230 netmask 255.255.255.240 network 10.153.24.224 broadcast 10.153.24.239 dns-nameservers 8.8.8.8 auto eth1 iface eth1 inet static address 10.153.24.195 netmask 255.255.255.224 gateway 10.153.24.193 broadcast 10.153.23.223
我有一个DNS服务器安装与Bind9和ufw作为防火墙。 ufw转发所有networkingstream量到我们的networking服务器,但我想redirect一个域到不同的服务器。 示例服务器 DNS服务器IP:121.55.44.101(10.0.0.1内部) Web服务器IP :(内部10.0.0.80) 新服务器IP :(内部10.0.0.75) 示例域 www.baskets.com.au(指向DNS服务器并转发到Web服务器) www.rollerblade.net(指向DNS服务器并转发到Web服务器) www.bananas.com.au(指向DNS服务器,但希望它redirect到新的服务器) 我怎么去做这个? 我已经搞乱了Bind9,ufw,主机文件,apacheredirect,并不能得到它的工作。 任何帮助将不胜感激。
我在我的Ubuntu 10.04服务器上安装了ufw。 运行在该服务器上的唯一东西就是ElasticSearch和Redis。 Redis使用端口6379.我只希望两个不同的IP能够在该端口上访问本机的IP地址。 我运行了以下命令: sudo ufw allow from xx.xx.xx.x1 to any port 6379 sudo ufw allow from xx.xx.xx.x2 to any port 6379 sudo ufw status To Action From — —— —- 22 ALLOW Anywhere 6379 ALLOW xx.xx.xx.x1 6379 ALLOW xx.xx.xx.x2 80 ALLOW Anywhere 8080 ALLOW Anywhere 8080/tcp ALLOW Anywhere 对我来说,这两个IP似乎应该能够访问该服务器上的IP地址。 但他们无法build立联系。 我还需要打开其他的端口才能发生这种情况吗?
我正在使用UFW试图阻止来自多个国家的SSH访问。 我已经成功完全阻止访问,但我需要一个改进: 服务器需要允许全球访问其他服务(例如WWW,RSYNC,FTP),但是阻止SSH。 通过使用这些规则,我可以在没有问题的情况下阻止所有来自侵权IP范围的访问, -u ufw-before-input -s xxx.xxx.0.0 / 16 -j DROP 有没有办法使用以前的规则,并修改上述语句来做到这一点,只是为了阻止SSH? 我也可以使用命令提示符创build数百个规则,但是我更愿意使用.rules设置,因为它更容易pipe理。 谢谢!
我有3个与Ubuntu的12.04亚马逊EC实例 生产服务器(没有MYSQL,syslog-ng客户端的LAMP服务器) 开发服务器(LAMP w / MYSQL,syslog-ng客户端) logging服务器(syslog-ng服务器) 我连接到所有这些使用ssh连接,每个这些都有AIDE Logwatch安装,对于防火墙我使用UFW和iptables 我的问题是: 如何发送从2服务器的所有日志到我的日志logging服务器? 我有所有的私人IP地址,我想用syslog-ng来使用它们。 我已经给出了防火墙规则来打开syslog-ng端口,并且只允许来自生产服务器和开发服务器的连接。 但是他们都没有发送日志。 我究竟做错了什么?
基本上我想用防火墙来保护Ubuntu服务器,并为ufw服务。 最大的问题是我没有对服务器的物理访问权限,也不能强制重新启动或恢复到快照。 所以把自己locking不是一个select。 我在远程pipe理的替代端口567(例如)上使用ssh和公钥authentication。 需要哪些规则和configuration才能使ssh访问保持打开状态? 有什么方法可以自动重置防火墙,如果有什么失败?
我试图执行iptables转发规则,以便内部redirect通过特定端口的数据包。 我的机器正在Ubuntu Server 12.04.3下运行,包含UFW和所有最新的更新。 到目前为止,我能够build立一个部分工作的设置,如下所示: iptables -A PREROUTING -t nat -p tcp –dport 40591 -j DNAT –to 192.168.0.100:40591 iptables -A ufw-user-forward -p tcp -d 192.168.0.100 –dport 40591 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE iptables -A ufw-user-forward -m state –state RELATED,ESTABLISHED -j ACCEPT 如块所示,目标收件人是192.168.0.100和端口40591 。 然而,不久之后就出现了问题,我注意到我的apache2服务正在输出很多错误; 我的PHP脚本不能再通过127.0.0.1连接到我的数据库,因为连接据称是从它的LAN地址(192.168.0.10 )开始的。 为了确认问题的根源,我曾尝试过: 把我的PHP脚本整理一下,但是除了确认我已经知道的东西(即连接在本地启动并魔法偏转到服务器的本地地址( 192.168.0.10 ))之外没有确凿的信息被吐出 使用命令tcpdump […]
我在这方面是全新的,我不知道如何说出我的问题的标题,所以可能不那么准确,请事先原谅我。 我每天都在我的vps上访问我的apache访问日志中的一些奇怪的请求,在这里只列出几个: IPFROMCHINA – – [09/Jun/2015:11:59:03 +0430] "GET /v2/rating/dbank.hxb.com.cn HTTP/1.1" 404 1259 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" IPFROMCHINA – – [09/Jun/2015:11:59:14 +0430] "GET /v2/rating/dbank.hxb.com.cn HTTP/1.1" 404 1259 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" DIFFERENTIPFROMCHINA – – [09/Jun/2015:11:59:48 +0430] […]
使用Ubuntu服务器14.04LTS我想configuration我的UFW来限制ssh连接使用以下命令: sudo ufw insert 1 limit ssh/tcp 引发错误: ERROR: Invalid position '1' 由于这个命令根本不接受任何数字,所以在数字1下不应该有其他规则。 man ufw 输出以下insert NUM RULE而RULE应该是limit ssh/tcp 。 这就是说我的语法应该是正确的。 任何人都知道这是怎么回事?
一点背景 我运行在高通信量的两个服务器与Ubuntu的12.04(Linux的3.2.0-69-通用)和一个与Ubuntu的14.04(Linux 3.13.0-52-通用)。 我现在试图保证两个。 他们都有非常相似的硬件资源(相同数量的CPUS,但是12.04在14.04获得16GB时只有8GB RAM)。 我想启用ufw防火墙,但是我遇到了nf_conntrack表越来越大的问题。 数据包基本上正在被丢弃。 我find了解决scheme,通过降低超时,增加表大小以及桶的数量。 那是: net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_max = 196608 net.netfilter.nf_conntrack_buckets = 24576 这些值正确更新,并保持重新启动。 (看到这个博客 )我也看到conntrack_count被提高远远高于默认值,所以我相信这是在两个服务器上工作。 值保持在极限之下,所以我相信它很好。 问题 12.04服务器在高负载下工作正常,但14.04一直丢包,创build客户端超时。 现在在14.04启动,我可以在kern.log中看到这一行: TCP established hash table entries: 131072 (order: 8, 1048576 bytes) 而在12.04,这是: TCP established hash table entries: 524288 (order: 11, 8388608 bytes) 我怀疑这可能是为什么我的服务器丢包,因为这个表可能太小,关于14.04的stream量。 所以我试图寻找一种方法来设置这个大小,并发现参数thash_entries 在这里看到的解释)。 但是,我不能用sysctl来设置它。 所以这是我的问题: 这个tcp连接表真的是我麻烦的来源吗? 或者我应该看看别的地方? 如果是,那我该如何设置它并使其在重新启动后能够存活? […]