Tag: iptables

如何更改Skype的数据包路由?

我似乎无法find一种方式来改变Skype数据包的路由。 我有以下情况: 主机哈,在lan,运行skype。 主机哈哈有网关“gw1” gw1有2个独立的networking连接 – 其中一个是默认的,我想专门用于Skype连接。 所有涉及的机器都使用Linux,所以我可以更改/设置任何我想要的。 有没有办法标记Skype的数据包以某种方式能够改变其路由?

IPTables / VPN转发

目标:1)允许VPN用户访问互联网没有任何限制2)允许服务器本身访问互联网,但只使用指定的端口(邮件,networking,远程访问) 服务器configuration:1)VPN(poptop / postgresql / Cake VPN计费)2)iptables 3)邮件(dovecot / postfix / spamasassin / postgrey),apache,tomcat,vsftpd,ssh 4)Arch Linux 5)Internet接口 – eth0本地接口 – eth1 VPN虚拟接口 – ppp0 问题:我制作了脚本,并创build了使用IPTables执行转发的脚本。 它只适用于ppp0接口的一个客户端。 第一个客户有完整的networking连接。 但是其他客户端不能连接任何东西。 问题:如何在任意数量的客户端上展开这个脚本? 真的,我不是pipe理员,所以我很抱歉这个蹩脚的问题(和英文不好,因为我是俄罗斯)。 但这是非常重要的,因为现在我们没有使用VPN;) TIA 这是我在/etc/rc.d/router下的脚本: #!/bin/bash . /etc/rc.conf . /etc/rc.d/functions case "$1" in start) stat_busy "Starting Iptables Rules" VPN_INTERFACES=( ppp0 ) lan_interface=eth1 internet_interface=eth0 echo "1" > /proc/sys/net/ipv4/ip_forward […]

vs vs haproxy vs? 用于基于主机名的转发

我想转发到80基于主机名的各种端口传入的stream量。 以前在serverfault我已经看到使用ldirectord,只是iptables,haproxy和其他代理服务器的解决scheme。 考虑到我正在寻找简单的代理,那么ldirectord vs haproxy的pro和con可能是什么,或许是一些纯粹的基于iptables的解决scheme? 一B

奇怪的端口转发问题

我有一个奇怪的端口转发问题。 端口转发到我的内部networking服务器(端口80上的10.0.0.10)工作没有问题,但端口转发到端口3389上的Windows服务器(10.0.0.15)不起作用。 港口3389是开放的。 有任何想法吗? 谢谢! #!/bin/sh IPTABLES="/sbin/iptables" $IPTABLES –flush $IPTABLES –table nat –flush $IPTABLES –delete-chain $IPTABLES –table nat –append POSTROUTING –out-interface eth0 -j MASQUERADE $IPTABLES -t nat -A PREROUTING -p tcp -i eth0 -d 188.40.XXX.XXX –dport 3389 -j DNAT –to 10.0.0.15:3389 $IPTABLES -t nat -A PREROUTING -p tcp -i eth0 -d 188.40.XXX.XXX –dport 80 -j […]

为什么这么多的iptables示例同时指定“-p tcp”和“-m tcp”?

手册不是很清楚,在线文章和教程不费心去解释它。 -m tcp和-p tcp一起使用有什么意义? 这似乎是多余的,这使我困扰… 谢谢

Web服务器的基本iptables:SSL Tomcat,postgres,ssh就是这样

这可能是基本的,但我是一个开发人员,真的没有iptbles的经验。 我需要打开的唯一连接是: eth0 (外向) SSH 平 SSL到tomcat(转发端口443到8443) eth1 (本地子网) 连接到postgres服务器 其他一切都应该被阻止。 我目前的尝试似乎是打开所有其他端口。 我不知道是什么给了。 谢谢serverfault!

共享防火墙或多个客户端特定的防火墙?

我试图确定是否可以为整个networking(包括客户服务器)使用单个防火墙,或者每个客户应该拥有自己的防火墙。 我发现很多托pipe公司要求每个客户端都有一个服务器集群来拥有自己的防火墙。 如果你需要一个networking节点和一个数据库节点,你还必须得到一个防火墙,并支付另一个月的费用。 我有多个KVM虚拟化服务器托pipeVPS服务的空间,以供不同的客户使用。 每个KVM主机都运行一个软件iptables防火墙,只允许在每个VPS上访问特定的端口。 我可以控制任何给定VPS打开的端口,允许从端口80和443上的任何地方访问Web VPS,但是完全阻止数据库VPS到外部,并且只允许某个其他VPS访问它。 configuration适合我目前的需求。 请注意,目前没有硬件防火墙保护虚拟主机。 但是,KVM主机只有22端口是打开的,除KVM和SSH以外什么都不运行,甚至端口22除了在networking块之外都不能被访问。 我现在正在考虑重新考虑我的networking,因为我有一个客户需要从单个VPS转换到两个专用服务器(一个networking和一个数据库)。 一个不同的客户已经有一个专用的服务器,除了在系统上运行的iptables之外,不在任何防火墙之后。 我是否应该要求每个专用服务器客户都有自己的专用防火墙? 或者我可以为多个客户群使用单一的networking防火墙吗? 我熟悉iptables,目前我正在考虑将它用于任何我需要的防火墙/路由器。 但是我不一定要把每个防火墙的1U空间用在每个防火墙上,也不需要每个防火墙服务器的功耗。 所以我正在考虑一个硬件防火墙。 任何build议什么是一个好方法?

从iptables阻塞连接多久? 有没有办法设置超时?

iptables -A INPUT -m state –state NEW -m recent –set # If we receive more than 10 connections in 10 seconds block our friend. iptables -A INPUT -m state –state NEW -m recent –update –seconds 5 –hitcount 15 -j Log-N-Drop 我从iptables有这两个相关的规则。 如果超过15个连接在5秒内完成,则logging尝试并将其阻止。 iptables维护柜台多久? 如果再次尝试连接,它会刷新吗?

Cisco路由器上的IP表的ACL规则规则

谈到路由器时,我有比Linux更多的思科背景。 在devise我的防火墙规则时,我已经习惯了in特定的接口上附加ACL。 我想我可以通过让FORWARD链跳转到每个接口的自定义链来模仿IP Tables的这种行为。 例如(默认策略将是DROP): iptables -N INET_IN iptables -A FORWARD -i eth0 -j INET_IN iptables -A INET_IN -m tcp -p tcp –dport 80 -d 12.12.12.12 -j ACCEPT 我可能会最终使用状态检查,但以上是总体思路。 有没有什么理由可能会导致我麻烦或不工作? 如果这样做,这是不是这样做,我需要一些再教育?

IPTables INPUT和ucarp

需要哪些规则才能在IPTables上使用ucarpstream量?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.