Questions tagged «iptables»

我们有2个不同的ISP连接。我们之前的“ IT专家”以如下方式设置防火墙： /etc/rc.local在启动时执行时，它执行了一堆ip rule add和ip route add命令，以路由某些内部主机以使用某些ISP连接。 然后/etc/rc.local，他执行了iptables由生成的防火墙规则Firewall Builder。这些iptables规则中同时设置了策略和NAT规则。 我不明白的是，为什么他用它iproute2来指定规则和路由，同时还指定NAT规则iptables？他为什么不只是在一个或另一个中做所有事情，而不是同时使用它们呢？他能摆脱iproute2规则和路由，而将所有相同的规则放到iptablesNAT设置中吗？

8 firewall  iptables  iproute2 

我的基于EC2（Fedora AMI）的服务受到流氓客户端配置错误的严重打击。我必须阻止该恶意客户端IP的哪些选项？

8 linux  firewall  iptables  amazon-ec2 

您可以使用ec2-authorize来指定允许进入ec2实例的流量类型。运行iptables还是一个好主意，还是引入了不必要的复杂性？

8 iptables  amazon-ec2 

iptables（标准Linux防火墙）在两次重新引导之间不会保存规则。您必须自己照顾这一点。有很多方法可以做到这一点。规范的做法是什么？什么是最佳做法？ 我将使用自己的解决方案进行回答，但是我对其他/更好的解决方案感兴趣。

8 linux  iptables 

我有几台Linux机器充当网络的路由器/防火墙，并且有一个脚本运行所有iptables命令来设置规则。在我看来，这似乎是一种非常愚蠢的方式。 你怎么做到这一点？是否有一个带有配置文件的程序，该程序更易于管理？它具有GUI或Web界面吗？

8 linux  router  iptables  gateway 

我正在运行可供广泛用户访问的Linux服务器，并且（由于上游Internet提供商制定了一些政策），我需要将用户可以传输的数据总量限制为给定数量。Linux机器是通往我的提供商的网关。有没有办法做到这一点？ iptables如果有帮助，我已经在包装盒上安装了有效的设置，并且我在配置HTB之类的东西方面有一些经验。我过去所做的设置的问题在于，它们将用户限制为特定的比特率（例如20kbps），而不是较长时间段（例如每天100MB）的总传输量。

5 linux  iptables  bandwidth 

前言 就像Linux中的所有内容一样，我敢肯定，有很多方法可以达到预期的效果iptables。我想将答案限于以下类别： 选项之间有什么区别？ 哪个选项最好（或者它们相同）？ 为什么您偏爱另一个？ 并且请明确说明您要讲的类别。陈述偏好是可以的，但是并不意味着最好。 例如 我更喜欢将其--jump作为第一个参数，因为我认为将意图放在首位会更好，而且我喜欢像多个命令的参数一样垂直对齐。 题 其中一个比另一个更好吗？ iptables -I INPUT --jump ACCEPT --in-interface lo iptables -I INPUT --jump ACCEPT --source localhost 其中一个比另一个更好吗？ iptables -A INPUT --jump REJECT iptables -P INPUT REJECT

3 security  iptables 

我有两个Centos VM。 IP地址如下： VM_1 => 10.99.0.10 VM_2 => 10.99.0.12 Apache和PHP在VM_1中，而MySQL在VM_2中。两者都有iptables规则。VM_2使用规则正常。现在，我正在从VM_1进行测试。 首先，我禁用了 VM_1 iptables并连接到VM_2 MySQL（已成功连接）。 [root@foster ~]# service iptables stop iptables: Applying firewall rules: [ OK ] [root@foster ~]# mysql -h 10.99.0.12 -u root -p Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection …

1 centos  mysql  iptables  firewall  centos6.5 

我有一个与Apache2一起使用的简单静态网站（foo.com）。静态网站上有一个链接，可链接到使用tomcat服务的应用程序。为此，链接仅指向foo.com:8080/app 最终目标是避免拥有端口号。我还想避免使用mod_proxy或mod_jk，因为这两个内容（静态页面和应用程序）是完全不相关的，因此我认为这会太过分了。常见的用例是静态页面-> app [永远不会回来] 这是我考虑过的一些选项： 在另一台计算机上运行该应用程序，然后将其IP映射到一个子域（s1.foo.com）。然后在这台机器上，使用iptables将80端口转发到8080，以便s1.foo.com/app可以正常工作。 获取一台服务器的其他IP地址。有一个指向该IP地址的子域，然后使用iptables将IP：8080转发到IP：80。 我的问题是1）这些明智吗？2）我应该遵循哪些步骤，以免弄乱规则链？3）还有更好的选择吗？ 谢谢，

apache-2.2  iptables  tomcat 

请注意，我不是在谈论TCP或UDP流量。协议ID为50和51的IP流量。 关键是我可以将IPsec流量传递到内部机器，该机器将充当VPN终结器。

networking  iptables  ip  linux-networking  router 

我正在寻找仅IPTables解决方案，以阻止在某个端口上在短时间内（例如1分钟）进行过多（例如5个以上）连接或重新连接的任何IP地址。被阻止的地址至少应锁定30分钟。

linux  iptables  port 

我正在尝试为我的Web服务器创建一些简单的iptables DOS保护规则。我正在按照以下规则进行测试： iptables -N LOGDROP > /dev/null 2> /dev/null iptables -F LOGDROP iptables -A LOGDROP -j LOG --log-prefix "LOGDROP " iptables -A LOGDROP -j DROP iptables -I INPUT -p tcp --dport 8000 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 8001 -i eth0 …

firewall  iptables  denial-of-service