Articles of iptables

使用IPTables将传入eth1(本地)的端口转发到传出ppp0(vpn)到特定的IP地址

所以我在ppp0上有一个VPN,而且我安装了,所以我可以使用ppp0或者eth1连接出缺省路由eth1。 都回复“ping google.com”(使用eth1)和“ping -I ppp0 google.com”(使用VPN) 目标 :如果我在端口12345上连接到eth1,它将把ppp0转发到一个特定的IP地址(123.123.123.123)。 eth1 :本地networking ppp0 :vpn服务 本地networking :10.10.1.0/24 转发ip :123.123.123.123 端口 :12345 端口可以​​是不一样的,如果它工作:) iptables -t nat -A PREROUTING -p tcp -i eth1 -d 10.10.1.0/24 –dport 12345 -j DNAT –to-destination 123.123.123.123:12345 iptables -A FORWARD -p tcp -o ppp0 -d 123.123.123.123 –dport 12345 -m state –state NEW,RELATED,ESTABLISHED -j ACCEPT 经过search这是大多数人说的。 使用PREROUTE设置新的目的地。 […]

停止OpenVPN客户端发送垃圾邮件

我在centos服务器上configuration了openvpn,客户端可以通过openvpn客户端从端口1194上的窗口框连接。客户端获取网关10.0.8.1。 问题是客户端在那里系统有病毒,他们通过openvpn服务器发送垃圾邮件,所以我只想阻止垃圾邮件和端口25为我的客户端。 我在我的iptables中添加了下面的规则,这是允许所有stream量和丢弃端口25。 iptables -t nat -A PREROUTING -p tcp –dport 25 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE eth0是openvpn服务器的接口。 但它仍然发送垃圾邮件。 任何人都可以build议我如何阻止来自我的openvpn客户端机器的垃圾邮件/电子邮件? 谢谢。

什么是“所有落入默认规则的数据包都应该被丢弃”是什么意思?

是否“所有的数据包落在默认的规则应该被删除”是否意味着我的iptables规则应该放弃一切开始,像这样? # Set the default policy to drop $IPT –policy INPUT DROP $IPT –policy OUTPUT DROP $IPT –policy FORWARD DROP 或者这是否意味着别的?

如何从外部丢弃所有去往防火墙主机的数据包?

从外部丢弃所有去往防火墙主机的数据包的正确方法是什么? 像这样的东西? $IPT -A INPUT -i $INTERNET -s 0/0 -d $HOST_NAME -j DROP

CSF日志文件解释

我只是在我的服务器上安装了CSF防火墙,我已经开始在我的日志文件中看到以下条目。 有人能帮我理解发生了什么吗? 谢谢 Feb 25 10:45:19 li235-57 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=fe:fd:ad:ff:e1:39:88:43:e1:7c:75:3f:08:00 SRC=81.4.153.90 DST=173.255.225.57 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=58295 DF PROTO=TCP SPT=43639 DPT=4899 WINDOW=65535 RES=0x00 SYN URGP=0 Feb 25 10:45:22 li235-57 kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=fe:fd:ad:ff:e1:39:88:43:e1:7c:75:3f:08:00 SRC=81.4.153.90 DST=173.255.225.57 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=58483 DF PROTO=TCP SPT=43639 DPT=4899 WINDOW=65535 RES=0x00 SYN URGP=0 […]

如果目标端口未被侦听,则使用iptablesredirect

我有一个服务器在端口10000监听。但是这个服务器只在特殊情况下运行(然后有一些第三个服务可用)。 否则,端口不会被监听。 如果10000不在监听,是否有可能将客户端redirect到另一个端口? 我看到两个解决scheme:1)插入/删除服务器启动/停止iptables规则,但由于服务器可能会被杀死,它可能不会插入正确的iptableredirect规则之前死亡。 2)制定永久用户空间规则,检查端口是否正在侦听,如果没有侦听,则redirect数据包。 怎么做2)? 有人有ipq食谱吗? 可能有人可以build议我一个更好的方法? 这就像回退redirect:我会有不同的端口(10000-11000)的客户端,如果他们的服务器实例没有运行,乳清应该被redirect到一些页面,解释为什么他们没有和实例连接。

使用CentOS在iptables上转发3306端口的问题

我试图添加一个转发到MySQL服务器在200.58.126.52允许访问从200.58.125.39,我使用以下规则(其我的整个我的托pipe的VPS的iptables)。 我可以在保存mysql服务的本地服务器本地连接,但不能从外部连接。 有人可以检查下列规则是否正确? 谢谢 # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp –icmp-type any -j ACCEPT -A […]

在ubuntu上使用第二个WAN接口和第二个网关启用NAT转发

我有3个接口: eth0 192.168.0.50/24 eth1 10.0.0.200/24 eth2 225.228.123.211 默认网关是192.168.0.1 ,我想保持它在我想要做的更改。 我想伪装eth1 10.0.0.200/24并启用NAT转发到eth2 。 所以我这样做了: ip route add 225.228.123.208/29 dev eth2 src 225.228.123.211 table t1 ip route add default via 225.228.123.209 dev eth2 table t1 ip rule add from 225.228.123.211 table t1 ip rule add to 225.228.123.211 table t1 现在我可以收到来自任何互联网主机的ping回复,如果我这样做: ping -I eth2 8.8.8.8 为了启用NAT转发,我这样做了: sudo iptables […]

任何帮助,如何使用iptables后路由到eth0:2别名在Ubuntu?

在我的服务器上,我想通过我的eth0:2别名路由我的互联网stream量。 当我使用这个命令时: sudo iptables -t nat -A POSTROUTING -s 10.8.0.4 -o eth0:2 -j MASQUERADE 它返回这个: Warning: weird character in interface `eth0:2' (No aliases, :, ! or *). 有没有什么办法路由从openvpn IP 10.8.0.4通过单一的IPstream量? 感谢您的帮助,

iptables PREROUTING通过清漆选定的IPredirect端口80

我已经在我的服务器上安装了清漆,并希望testingconfiguration而不影响正常使用。 我有端口80上的apache监听和端口8080上的varnish。所以,我希望从我的IP abcd的所有请求通过清漆,所有其他IP应允许正常访问Apache。 我读了一些地方,可以在Iptables中使用PREROUTING来实现这一点。 有人可以告诉我怎么做吗? 我有2个站点在服务器上托pipe,是否可以configuration这只是一个域? 更新 我尝试了命令,但没有奏效 root@git:~# iptables -A PREROUTING -t nat -i venet0 -p tcp -s 117.201.192.67 –dport 80 -j REDIRECT –to-port 8000 root@git:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source […]