Articles of iptables

iptables是否允许Squid处理请求,然后将响应数据包redirect到另一个端口?

我试图testing一个花哨的stream量分析器应用程序,我已经在8890端口上运行。 我目前的计划是让任何HTTP请求进入Squid的端口3128,让它处理请求,然后就在它发回响应之前,使用iptables将响应数据包(离开端口3128)redirect到端口8890。 我已经研究了这一整夜,并尝试了很多iptables的命令,但我失去了一些东西,我的头发掉了。 我以为这样的事情会起作用: iptables -t nat -A OUTPUT -p tcp –sport 3128 -j REDIRECT –to-ports 8990 这个规则得到创build好,但它永远不会redirect任何东西。 这甚至有可能吗? 如果是这样,什么iptables咒语可以做到这一点? 如果不是的话,在给定多个远程浏览器客户端的情况下,有什么想法可以在单个主机上工作? 我不知道是否Apache与mod_proxy可能是这个设置的候选人,而不是Squid? 如果我只能告诉Squid(或Apache或任何其他HTTP代理)将响应发送到不同的本地端口,而不是返回到远程客户端,那么也可以工作(即使没有iptables)。 任何具有此function的HTTP代理的build议都会很棒。

监视在防火墙上发生了什么

我有这个小snapgear防火墙。 这是一个运行自定义Linux,SH4处理器@ 240 Mhz,64MB内存的一个小小的目的build立的内存。 基本上我们对能力有多接近对我来说是个谜。 我知道我可以跑到最前面,看到所有进程的状态,但是我怎样才能看到处理器会传递多less数据……以及如何估计何时需要升级,以及如何调整iptables规则,这是如何帮助/伤害处理器。 build议?

netfilter规则的缓慢操纵

我有一个使用“ip”和“iptables”工具维护gre隧道和防火墙规则的脚本。 设置数以百计的隧道,每个接口的地址运行得很好。 每个界面的时间less于0.1秒,但是当我开始执行防火墙规则时,每个插入的开销都会减less0.5以上。 为什么它跑得这么慢? 我能做些什么来提高速度? 看来我可以尝试ipset,但我真的觉得有什么问题的内核或东西。 有趣的是,前10条规则运行得很快,然后慢下来。 mybox(root) foo# iptables -V iptables v1.3.5 mybox(root) foo# uname -a Linux foo 2.6.18-164.el5 #1 SMP Tue Aug 18 15:51:48 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux mybox(root) foo# cat test.sh #!/bin/sh for n in {1..100} do /sbin/iptables -A OUTPUT -s ${n} -j ACCEPT /sbin/iptables -D OUTPUT -s ${n} -j […]

我的中央系统日志服务器似乎放弃远程消息

我已经将远程选项添加到/ etc / sysconfig / syslog SYSLOGD_OPTIONS =“ – m0 -r”并重新启动,并确实在syslog端口上侦听; # netstat -lnu | grep 514 udp 0 0 0.0.0.0:514 0.0.0.0:* 我甚至可以用tcpdump dst port 514截获传入的syslog; tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:57:34.626128 IP 07701.com.syslog > i1106.com.syslog: SYSLOG user.critical, […]

透明代理和IPTABLES

我使用PRIVOXY作为Fedora Core 11盒子上的透明代理。 机器有一个接口(eth0),这里是networking的configuration: 10.0.1.1 – router.foobar.com(连接到ISP)10.0.1.2 – proxy.foobar.com(代理)10.0.1.199 – DHCP服务器 我已经在DHCP中设置默认网关选项为10.0.1.2,所以所有stream向0.0.0.0/0的stream量都应该通过它(和10.0.1.1)通过互联网。 这是我的问题….如何确保进出networking的stream量遵循正确的path,不会产生奇怪的路由问题。 在使用代理服务器时,我看到了一些延迟,但是当我通过更改默认网关向networking发送“直接镜头”时,我看不到任何延迟。 这是我目前的iptables conf文件: # Generated by iptables-save v1.4.3.1 on Fri Jul 30 17:02:45 2010 *nat :PREROUTING ACCEPT [1565:151406] :POSTROUTING ACCEPT [1467:94514] :OUTPUT ACCEPT [768:48101] -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 COMMIT # Completed on […]

iptables – netfilter的错误

在Ubuntu文档中,我看到了这个提到netfilter bug的示例脚本: # Workaround bug in netfilter -A OUTPUT -m conntrack -p icmp –ctstate INVALID -j DROP 我不知道它指的是哪个bug,以及更多关于如何在没有这条线的情况下运行的细节

Debian阻止IP

我正在debugging通过远程服务的访问。 我的Debian VPS。 使用IPTables并允许向外端口21通信。 远程服务是一个FTP服务器(我可以从我自己的PC访问,并且不被远程服务阻止)。 我也检查过Debian可以访问FTP服务器(它可以)。 我想知道,Debian可能会使用什么来阻止IP? IPTables显示没有阻塞的IP地址。 我也有dos-deflate安装,虽然我已经为iptables设置了。 任何想法可能会阻止连接? PS:当尝试使用WGET访问远程FTP(wget与另一个用于testing的FTP协同工作)时,我得到“拒绝连接”。

你可以在iptables中使用-m(匹配)

我想知道这两个命令之间有什么区别 iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT – iptables -A INPUT -p tcp –dport 80 -j ACCEPT

根据访问服务器的(子)域,将请求路由到IP

例: 1)服务器正在运行Ubuntu并且位于LAN(192.168.9。*) 2)服务器在本地IP上运行多个服务(例如: 192.168.9.5 VPS(OpenVZ)) 3)从vps1.mydomain.com连接的客户端将接收来自192.168.9.5的数据(与Xinetd略微相似,但是没有监听某个端口) 4)客户端将能够访问192.168.9.5上公开托pipe的所有服务(Apache,Squid等) 5) vps1.mydomain.com:3128将允许你连接到Squid代理服务器。 这可能吗? 谢谢! =)

DD-WRT设置访问限制,但允许VPN连接自由

我有两个通过路由VPN连接DD-WRT的站点。 两台路由器上的客户端都设置了Internet访问限制。 这工作正确阻止互联网访问。 但是这也阻止了两个站点的客户端PC之间的连接。 如何configuration访问限制以允许/白名单连接通过VPN?