Questions tagged «iptables»

iptables是用于配置Linux 2.4.x和2.6.x IPv4数据包过滤规则集的用户空间命令行程序。它针对系统管理员。请在询问有关iptables的问题时,添加以下命令的输出:iptables -L -v -n

7
iptables多个源IP
我想在iptables中创建一条使用多个源IP地址的规则(如果可能)。这可能吗?
31 iptables 
9
强制本地IP通信到外部接口
我有一台具有多个接口的机器,可以根据需要进行配置,例如: eth1:192.168.1.1 eth2:192.168.2.2 我想通过另一个接口转发所有发送到这些本地地址之一的流量。例如,到192.168.1.1处的iperf,ftp,http服务器的所有请求不仅应在内部进行路由,还应通过eth2转发(外部网络将负责将数据包重新路由到eth1)。 我尝试并查看了几个命令,例如iptables,ip route等...,但是没有任何效果。 我可以得到的最接近的行为是: ip route change to 192.168.1.1/24 dev eth2 它将在eth2上发送所有192.168.1.x,除了192.168.1.1仍在内部进行路由。可能然后我可以对eth1上定向到伪造的192.168.1.2的所有流量进行NAT转发,并在内部重新路由到192.168.1.1吗?我实际上在为iptables奋斗,但这对我来说太难了。 此设置的目的是在不使用两台PC的情况下进行接口驱动程序测试。 我正在使用Linux,但是如果您知道如何在Windows上使用它,那我就买! 编辑: 外部网络只是eth1和eth2之间的交叉电缆。假设我的机器上有一个http服务器。现在,我想从同一台计算机访问此服务器,但是我想强制TCP / IP通信通过此eth1 / eth2电缆。我应该如何为此配置接口?
9
如何将TCP通信复制到一台或多台远程服务器以进行基准测试?
基础设施:数据中心中的服务器,OS-Debian Squeeze,Web服务器-Apache 2.2.16 情况: 我们的客户每天都在使用实时服务器,因此无法测试调整和改进。因此,我们想将实时服务器上的入站HTTP通信实时复制到一个或多个远程服务器。流量必须传递到本地Web服务器(在本例中为Apache)和远程服务器。因此,我们可以调整配置,并在远程服务器上使用不同/更新的代码进行基准测试,并与当前的实时服务器进行比较。目前,网络服务器正在监听大约。由于客户端结构,除了80和443之外,还增加了60个端口。 问题:如何实现与一台或多台远程服务器的重复? 我们已经尝试过: agnoster复制器-这将要求每个端口一个开放会话,这是不适用的。(https://github.com/agnoster/duplicator) kklis代理-仅将流量转发到远程服务器,而不会将其传递到lcoal Web服务器。(https://github.com/kklis/proxy) iptables-DNAT仅转发流量,但不将其传递给本地Web服务器 iptables-TEE仅复制到本地网络中的服务器->由于数据中心的结构,服务器不在同一网络中 在stackoverflow(https://stackoverflow.com/questions/7247668/duplicate-tcp-traffic-with-a-proxy)上为问题“使用代理重复tcp流量”提供的建议替代方法均未成功。如上所述,TEE不适用于本地网络外部的远程服务器。teeproxy不再可用(https://github.com/chrislusf/tee-proxy),我们在其他地方找不到它。 我们添加了第二个IP地址(位于同一网络中)并将其分配给eth0:0(主IP地址已分配给eth0)。将此新IP或虚拟接口eth0:0与iptables TEE功能或路由组合在一起不会成功。 建议为问题“在debian squeeze上重复输入tcp流量”(在Debian squeeze上重复输入TCP流量)提供的替代方法不成功。客户每次请求/连接后,cat | nc会话(cat / tmp / prodpipe | nc 127.0.0.1 12345和cat / tmp / testpipe | nc 127.0.0.1 23456)会在没有任何通知或日志的情况下被客户端中断。Keepalive并没有改变这种情况。TCP程序包未传输到远程系统。 其他尝试用socat不同的选项(Howto:如何http://www.cyberciti.biz/faq/linux-unix-tcp-port-forwarding/,https://stackoverflow.com/questions/9024227/duplicate-input- unix-stream-to-multiple-tcp-clients-using-socat)和类似工具均未成功,因为提供的TEE功能仅会写入FS。 当然,使用谷歌搜索和搜索此“问题”或设置也不成功。 我们在这里用尽所有选项。 使用IPTABLES时,是否有方法可以禁用TEE功能的“本地网络中的服务器”的实施? 通过使用IPTABLES或路由可以实现我们的目标吗? 您是否知道为此目的测试过并且可以在这些特定情况下使用的其他工具? tee-proxy是否有其他来源(完全适合我们的要求,AFIAK)? 提前感谢您的回复。 ---------- 编辑:05.02.2014 这是python脚本,它将按照我们需要的方式起作用: import socket …
1
HTB的最低费率和默认类别问题
我对正在使用的HTB结构有一些疑问。 我的目的是限制本地网络中用户的下载和上传速度。网络中的每个用户都有一个个人域列表,其中包含他不能超过的域的上下速度。 这意味着user1可以将slashdot.org上的访问权限限制为下载8KB,上传3KB,而user2可以将slashdot.org上的访问权限限制为4KB(向下)和1KB(向上)。 现在,我设置了一个iptables / tc夫妇,效果很好,但规模很小,同时使用2或3个虚拟主机(不幸的是,我无法执行实际大小测试)。 这是我当前的结构(我只会在LAN的出口上显示一个结构,用于上传的结构只是该结构的“副本”) 接口上连接的HTB qdisc(句柄2),默认流量类别为FFFF。 直接在HTB qdisc之下的根类2:1具有速率和上限DOWNLINK容量。 默认的2:FFFF类是2:1的子级,速率为1kbsp,下行容量为上限。 然后,当对来自某个域的用户有新限制时,会动态添加其他类,并添加新的tc类以控制从其域的下载速度。 现在,这是我所做的: 创建一个具有唯一ID(从数据库获取,此处不是重点)的新tc类,作为父类,类2:1,速率值为1bps,ceil值设置为有限的下载速度。 这是tc命令: -------------- BEGIN SCRIPT -------------- DOWNLINK=800 ## Setting up the static tc qdisc and class $tc qdisc add dev $LAN_IFACE root handle 2: htb default 0xFFFF # Main class so the default class can borrow …
4
如何使用IPTABLES允许一系列IP?
这是我的iptables,我该如何做,以便可以在ETH1(10.51.xx)上允许一定范围的ip。 # Generated by iptables-save v1.4.4 on Thu Jul 8 13:00:14 2010 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT …
29 iptables 
4
iptables中的mangle表是什么?
我正在使用iptable规则来过滤和操作Ubuntu服务器中的数据包。但我看不懂mangle表。 引用此iptables教程: 正如我们已经指出的,该表主要用于处理数据包。换句话说,您可以自由地使用可用于更改TOS(服务类型)字段等的匹配项等。 强烈建议您不要将此表用于任何过滤;此表中的任何DNAT,SNAT或伪装也不起作用。 有人可以向我描述mangle表,并提供一些示例以了解何时应使用它吗?
28 iptables 
2
如何在RHEL 7和Fedora 18上启用iptables(而不是firewalld)服务?
最新的fedora已作为新的防火墙应用防火墙。我喜欢旧的iptables服务。我希望他们回来,但不知道该怎么做。我试过了 : systemctl disable firewalld.service systemctl stop firewalld.service systemctl enable iptables.service systemctl enable ip6tables.service systemctl start iptables.service systemctl start ip6tables.service 但这行不通!在Wiki或Google上找不到任何帮助。 禁用firewalld工作还可以,但是当我尝试启用iptables.service时,我得到了: systemctl enable iptables.service Failed to issue method call: No such file or directory
3
允许FTP与IPTables
我当前的情况涉及允许各种规则,但是我需要可以从任何地方访问ftp。操作系统是Cent 5,我正在使用VSFTPD。我似乎无法正确理解语法。所有其他规则均正常运行。 ## Filter all previous rules *filter ## Loopback address -A INPUT -i lo -j ACCEPT ## Established inbound rule -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## Management ports -A INPUT -s x.x.x.x/24 -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -s x.x.x.x/23 -p icmp …
26 linux  centos  iptables  ftp 
1
如何阻止所有流量* Tor除外?
在Linux系统上,除非通过Tor网络,否则有一种方法可以阻止所有入站和出站流量。这包括任何形式的IP通信,而不仅仅是TCP连接。例如,我希望UDP被完全阻止,因为它无法通过Tor。我希望该系统对Internet的使用完全是匿名的,并且我不希望任何应用程序泄漏。 我意识到这可能很复杂,因为Tor本身需要以某种方式与中继节点进行通信。
26 linux  iptables  tor 
2
iptables和多个端口
这对我不起作用: # iptables -A INPUT -p tcp --dports 110,143,993,995 -j ACCEPT iptables v1.4.7: unknown option `--dports' Try `iptables -h' or 'iptables --help' for more information. 但是,在手册页中有一个选项--dports...有什么想法吗?
1
iptables在两个接口之间转发
因此,我有一个带有两个无线接口的linux盒,一个是工作站,另一个是AP。 wlan0(站)-已连接到Internet连接 wlan1(AP)-其他客户端连接到它。 我希望连接到wlan1的客户端能够访问wlan0的互联网。我想用iptables做到这一点,因为我的内核没有桥接支持... 到目前为止,这是我尝试使用iptables进行的操作,但无法正常工作: iptables -A FORWARD -i wlan0 -o wlan1 -j ACCEPT iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT 我将不胜感激。
3
为什么发生ICMP重定向主机?
我正在将Debian盒设置为4个子网的路由器。为此,我在连接LAN(eth1)的NIC上定义了4个虚拟接口。 eth1 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.1.1 Bcast:10.1.1.255 Mask:255.255.255.0 inet6 addr: fe80::960c:6dff:fe82:d98/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6026521 errors:0 dropped:0 overruns:0 frame:0 TX packets:35331299 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:673201397 (642.0 MiB) TX bytes:177276932 (169.0 MiB) Interrupt:19 Base address:0x6000 eth1:0 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.