Questions tagged «iptables»

假设我有一个带有服务器的网络，该服务器将所有连接从网络内部路由到Internet。我该如何设置iptables，而不是将传入的连接路由到Internet，而是将它们路由到本地主机端口8080。感谢所有帮助。

13 networking  iptables 

我已按照以下步骤在Linux中禁用了防火墙。重新启动后，再次启用防火墙。如何永久禁用防火墙？ 以root用户身份登录。 接下来输入以下三个命令来禁用防火墙。 service iptables save service iptables stop chkconfig iptables off 禁用IPv6防火墙。 service ip6tables save service ip6tables stop chkconfig ip6tables off

13 firewall  iptables  redhat-enterprise-linux 

要进行网站测试，如何禁用或阻止Centos服务器不发送电子邮件。 现在，如果我在命令行中运行 mail xxx@gmail.com 我可以发送电子邮件。这不利于网站测试。我不想给网站用户带来麻烦。 与iptables有关吗？任何人都可以开路吗？ 我用最小的软件包安装了Centos。我认为是qmail完成传递工作 locate qmail /usr/share/logwatch/scripts/services/qmail /usr/share/logwatch/scripts/services/qmail-pop3d /usr/share/logwatch/scripts/services/qmail-pop3ds /usr/share/logwatch/scripts/services/qmail-send /usr/share/logwatch/scripts/services/qmail-smtpd

13 email  iptables 

我正在寻找一种在Windows 10中获取iptables功能的方法。启用了IP路由，我需要将tcp数据转发到另一台主机（端口8080），然后在伪装IP时转发他的响应。在linux中，我可以使用以下命令执行此操作（其中$ 1 = <内部IP>，$ 2 = 80，$ 3 = 8080，$ 4 = tcp） iptables -t nat -A PREROUTING -p $4 --match multiport --dports $2 -j DNAT --to-destination $1:$3 iptables -A FORWARD -p $4 --match multiport --dports $2 -d $1 -j ACCEPT iptables -t nat -A POSTROUTING -j MASQUERADE 有没有办法在Windows …

13 windows  iptables  nat  port-forwarding  windows-10 

我有一个专用的Linux（Debian 7.5）根服务器，其中设置了许多来宾。来宾是KVM实例，并通过网桥工具（NAT，内部IP，将主机用作网关）获得网络访问。 例如，一个KVM是我的WebServer来宾，可以通过主机IP通过以下方式访问它： iptables -t nat -I PREROUTING -p tcp -d 148.251.Y.Z --dport 80 -j DNAT --to-destination 192.168.100.X:80 我对其他服务也一样，使它们独立，NAT和隔离。 但是，一个来宾应该是网络监视器，并且应该执行网络流量检查（如IDS）。通常，在非虚拟设置中，我将使用VACL或SPAN端口来镜像流量。当然，在这台主机中，我无法做到这一点（很容易，因为我不想使用复杂的虚拟交换方法）。 我可以使用iptables获得端口镜像，并将所有入口和出口流量重定向到一个KVM来宾吗？所有来宾都有专用的界面，例如vnet1。 是否可以根据协议（例如VACL转发规则，仅捕获HTTP）有选择地转发流量？ 当我需要保留vnet1为管理界面（使用IP）时，来宾是否需要特定的界面设置？ 我很乐意指出正确的方向： iptables 1.4.14-3.1 linux 3.2.55 bridge-utils 1.5-6 非常感谢 ：）

11 networking  iptables  linux-kvm 

由system-config-firewall编写的防火墙配置 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

11 linux  firewall  iptables 

因此，我一直在网上寻找一个脚本，该脚本将把所有流量都丢弃到除http（80）和https（443）端口之外的所有端口上，然后只允许来自国家x的所有其他端口上的流量（案例国家x是美国）。 我不想添加每个国家/地区的所有IP，我只想允许我国的IP，然后阻止来自外界的几乎所有其他流量。我国以外的任何人都不能访问ssh，ftp，smtp等。除了我自己。如果这种情况改变了，我将在接近时为其添加一个特殊情况。 边注 我必须注意，我确实找到了一个问题，其中包含一个使用ip表按国家/地区禁止ip的脚本，但这是我必须要做的很多额外插入操作。 标记为最佳答案的脚本将阻止来自这些IP的所有流量。我只想阻止对除80和443之外的所有端口的访问。 更新资料 遵循以下规则， iptables -A OUTPUT -m geoip --dst-cc CN -j DROP 我可以修改它并做类似的事情吗 iptables -A OUTPUT -m geoip --dst-cc CN --dport 80 -j ACCEPT iptables -A OUTPUT -m geoip --dst-cc CN --dport 443 -j ACCEPT iptables -A OUTPUT -m geoip --dst-cc CN -j DROP 我认为这将允许来自中国的ips访问端口80和443，其余的将被丢弃。这个假设是正确的吗？如果没有，为什么不呢？ 更新2 …

10 networking  ssh  firewall  iptables  http 

在家里，我连接了一个IPv6地址，此外，我的提供商还提供了类似NAT的设置，通过该设置，我可以接收与其他客户共享的公共IPv4地址（原因显然是我们的IPv4地址使用量很低）。 结果，当我处于IPv4网络上时，我无法在家中访问我的设备（例如，VPN网关）。但是，我确实有一个同时具有IPv4和IPv6地址的服务器。因此，如果我通过服务器，应该有可能到达家用设备。 到目前为止，我的想法是：由于在IPv6上，每个设备都有自己的IP，因此我在家的服务器会获得一个静态IPv6 IP。我的远程服务器已经具有静态IPv4和IPv6。 现在，当我想在家中访问我的OpenVPN服务器时，我会在路由器中打开端口1194，而NAT会将连接传递到那里的服务器。在我的新方案中，我想在远程服务器上的端口1194（或其他端口，无所谓）上进行连接，并且应该采用该连接并将其通过隧道传输到我的家庭服务器（因为它们都具有IPv6）。 在图形上，这意味着： 移动设备（IPv4）->远程服务器（IPv4 + IPv6）->本地服务器（IPv6） 但这仅应在选择的端口上发生（或者是否有比通过端口选择更聪明的方法？）。 我的问题是，如何实现此设置？ 应该在哪个级别上运行？如果要通过端口进行操作，显然必须在TCP / UDP层转发数据包。我的第一个想法是iptables，但是iptables可以将数据包转发到远程IP吗？还是可以使用其他软件？还是应该在两个服务器之间创建一个隧道，然后在本地转发？我将如何处理？

9 linux  networking  vpn  iptables  ipv6 

这个问题已经在这里有了答案： 无法通过SSH访问VMware虚拟机 （4个答案） 4年前关闭。 现在，我能够ssh通过Internet进行托管，并且可以ssh从主机托管到虚拟机。我想要做的是ssh直接从外部访问Guest计算机。 我尝试使用iptables以下方法执行此操作： iptables -t nat -A PREROUTING -m tcp -p tcp --dport 2222 -j DNAT --to-destination 192.168.130.128:22 并在UFW以下位置打开了相关端口： ufw allow routed ufw allow outgoing ufw deny incoming ufw allow 2222/tcp 重新加载防火墙后，远程ssh将冻结debug1: Connecting to x.x.x.x [x.x.x.x] port 2222并使用tcpdump -i vmnet8 'port 22'我可以看到以下内容： listening on vmnet8, link-type EN10MB …

9 linux  macos  ssh  iptables  vmware-player 

我的PC配备了两个网络接口wlan0＆eth0，我想将WiFi端口用作上的访问点wlan0。 我使用了hostapd工具，它在本地网络中的路由模式下正常工作；用户可以连接到接入点，并且DHCP在这两个网段中均可以正常工作。 PC hostapd没有任何防火墙或iptables规则（iptables并且禁用了防火墙），因为我只想使用ADSL路由器的内置防火墙。 我的网络配置如下： PC with hostapd -> cable connection -> ADSL router wlan0 -> eth0 <-> 192.168.0.1 <-> internet 192.168.10.1 -> 192.168.0.7 -> static routing to 192.168.10.X 电脑ifconfig： eth0 Link encap:Ethernet HWaddr 00:12:3F:F2:31:65 inet addr:192.168.0.7 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::212:3fff:fef2:3165/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX …

9 linux  iptables  nat  hostapd 

我有一个新的VPN连接（使用openvpn），可以绕一些ISP限制进行路由。尽管运行良好，但它正在通过VPN 接收所有流量。这给我带来了下载问题（我的互联网连接速度比vpn允许的快得多）和远程访问问题。我运行ssh服务器，并运行一个守护进程，该守护进程允许我通过手机调度下载。 我在eth0上有我现有的以太网连接，在tun0上有新的VPN连接。 我相信我需要设置默认路由以在192.168.0.0/24网络上使用现有的eth0连接，并将默认网关设置为192.168.0.1（我的知识很不稳定，因为多年以来我都没有这样做）。如果是正确的话，那么我不确定该怎么做！我当前的路由表是： Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface MSS Window irtt 0.0.0.0 10.51.0.169 0.0.0.0 UG 0 0 0 tun0 0 0 0 10.51.0.1 10.51.0.169 255.255.255.255 UGH 0 0 0 tun0 0 0 0 10.51.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 0 …

8 linux  routing  iptables  openvpn 

总之，我希望通过另一个具有互联网连接的网络接口来回转发Tun设备流量。虽然我可以看到流量传输到互联网并返回，但它不会路由回我的Tun设备。 这是我的设置： 我有一个非常简单的设置，使用VirtualBox下的Mint Linux 15 VM，Win7作为主机。 在VM中，有两个网络接口 - eth0和tun0。 eth0接口连接到Internet，分配为192.168.1.115/24。 tun0接口被指定为10.0.5.1/24。 ip tuntap add dev tun0 mode tun user askldjd ip link set tun0 up ip addr add 10.0.5.1/24 dev tun0 我设置了我的iptables规则来伪装通过eth0发出的所有流量。 iptables -I FORWARD -i tun0 -o eth0 -s 10.0.5.0/24 -m conntrack --ctstate NEW -j ACCEPT iptables -I FORWARD …

7 networking  iptables  icmp 

我需要限制每个IP访问一些端口。假设每分钟有5个连接 - 而不是更多。 我见过iptables 最近 ， connlimit 和 限制 ，但所有这些都不符合我的需要。 假设您有一个客户端尝试每秒连接。在我的场景中，我需要允许5个数据包 每分钟 。 最近 ：如果某个IP尝试每1秒连接一次， - hitcount 5将记住此IP并将其保留在列表中，直到没有数据包进入 - 第二次60秒。因此，它会在我的场景中永久限制客户端。 限制 ：这个限制我想要 - 限制5 /分钟，但对于所有IP - 无法指定每个IP。 connlimit ：限制同时连接的数量，而不是每一次。 事实上，我需要限制+最近的混合物。谁知道怎么做？

5 iptables 

最初发布在Unix和Linux上，但没有人能够回答，因此在这里迁移问题： 我的问题是关于具有2个WAN和带有负载平衡的LAN（NAT）端口的CentOS 5上基于源的策略路由，但是首先要进行一些说明，然后再开始描述问题。 我知道这个话题已经在堆栈交换中多次出现，并且似乎排名前5位的答案是（从最大到最小）。 禁用rp_filter 基于标记/连接标记的策略路由 基于IP的策略路由（添加更多IP） 安装pfSense，Shorewall，Ubuntu ?、等等... 购买昂贵的Cisco / 3com / Juniper / Etc ...路由器 在大多数情况下，某些答案是正确的，但对我来说，解决方案1和2没做运动（我不放弃至少第2点，因为我的设置可能有问题），第3点基本上是隔离问题而不是解决它（这也增加了路由表的复杂性），解决方案4和5超出了范围，因为我没有资源来购买专用硬件，也无法脱机服务器，因为它已经投入生产，因此可以总结一下更换CentOS服务器出现了“更好”的情况。 好了，现在回到问题所在，让我们先描述一下当前的设置... 接口： eth1: IP: 10.0.0.1, GW: 10.0.0.1, NM: 255.255.255.0 (LAN) eth0: IP: 10.0.1.1, GW: 10.0.1.254, NM: 255.255.255.0 (ISP1 - ADSL Router) eth2: IP: 10.0.2.1, GW: 10.0.2.254, NM: 255.255.255.0 (ISP2 - ADSL Router) …

4 linux  networking  centos  routing  iptables 

我想问一下如何测试IP表规则。例如，我有一个端口号，我想确保它接受所有数据包。我该怎么做？ 我输入后 iptables -L 我看到规则已经添加，但我需要一个实用的证明。 我有办法怎样做吗？ 我无法在线找到有关如何执行此操作的任何资源，而不是检查IP表规则是否存在。 我想测试的规则是： sudo iptables –A INPUT –i eth0 –j ACCEPT

3 linux  iptables