iptables相关内容
我试图限制Linux机器上的MySQL 3306端口与本地主机以外的其他任何主机建立连接,以防止外部攻击.我有以下代码,我不确定是否正确: iptables -A INPUT -p tcp -s localhost --dport 3306 -j ACCEPT iptables -A OUTPUT -p tcp -s localhost --dport 3306 -j ACCEPT ip
..
我正在尝试从阻止该端口的网络连接到MySQL(端口3306).但是,在这种情况下,我可以使用另一个开放的端口110.我正在将MySQL用于其他应用程序,所以我不能只是简单地更改端口. 我现在正在尝试通过iptables设置端口转发.确切地说,我想将110转发到3306,而不会阻止3306. 我花了很多时间进行谷歌搜索,但是我无法正常工作.我也担心将我拒之门外.可以给我一个提示吗?
..
我有一个带有mongodb(2.0.4)的VM(Ubuntu 12.04.4 LTS),我想用iptables限制它只接受SSH(输入/输出),而没有其他东西. 这是我的设置脚本如何设置规则的样子: #!/bin/sh # DROP everything iptables -F iptables -X iptables -P FORWARD DROP iptables -P INPUT D
..
我已经在本地网络中的machine1(Ubuntu 14.04.3 LTS server)上安装了mongo.我还按照本指南,使用以下命令: sudo iptables -A INPUT -p tcp --destination-port 27017 -m state --state NEW,ESTABLISHED -j ACCEPT sudo iptables -A OUTPUT -p
..
我需要一种方法来快速检查IP地址是否属于许多禁止的IP范围之一. 我目前使用iptables检查IP是否落在指定范围内.在几千个范围内都可以正常工作,但是这个数字将急剧增加到几十万,并且还将继续增长. 我目前向iptables简单添加新规则的方法的另一个问题是重复项的数量不断增加. 在将IP或范围添加到规则集之前,我需要一种有效的方法来检查IP或范围是否属于现有(较大)范围.
..
几天来我一直在寻找答案,并且不知道寻求帮助的最佳位置,我肯定缺少一些简单的东西. 这个问题对于我的Fedora27工作站和Ubuntu Server 16.04 LTS都是常见的 我已经成功安装了Docker,并且有一些容器在工作,但是其他容器无法在0.0.0.0:或localIP上访问: 我已禁用防火墙并刷新了iptables,除其他外,我正在尝试按照以下说明使我的世界服务器在
..
我有5台计算机的小型局域网.我的提供者给了我真实的IP地址(194.187 ...),但是网络中的计算机看不到它.因此,我必须在路由器(使用linux系统)上进行重定向,这会将真实IP地址(194.187 ...)重定向到我在提供商网络中拥有的IP地址(10.12.205.26). 如何使用路由器上的iptables执行此操作.谢谢. 解决方案 我希望这对您有用: Add
..
我正在寻找一个Linux实用程序,该实用程序可以根据一组规则来更改网络数据包的有效负载.理想情况下,我将使用iptables和netfilter内核模块,但它们不支持通用有效载荷处理:iptables将更改各种 header 字段(地址,端口,TOS等) ),它可以匹配一个数据包中的任意字节,但显然无法更改该数据包中的任意数据. 内核模块将是一个很大的优势,因为效率是一个问题,但是我很高兴探
..
是否可以使用iptables来允许由“进程"发起的流量,即使用进程名?例如,我希望允许使用ping命令启动的所有操作. 解决方案 看来iptables模块就是您想要的 所有者 .首先,检查它是否在您的系统中可用: iptables -m owner --help 您可以在此处了解更多信息: http://www.frozentux. net/iptables-tutorial/i
..
我有一个装有Linux PC的家庭网络,它们都运行了iptables.我认为将LAN放在Linux网关/防火墙后面比较容易,因此我在路由器和LAN和配置的iptables之间放置了一台PC(带有fedora,没有gui).没问题,INPUT只允许dns一个http(和一些本地文件),转发工作正常:LAN连接到Internet. 但是我的问题是:FORWARD是允许全部来自外部,还是仅允许使用
..
上下文: 我想拥有一个shell脚本,该脚本将阻止所有进入我计算机的入站/出站流量,除非我决定我要使用浏览器或某些其他应用程序,在这种情况下,我将召唤它,并且只有那些应用程序可以运行. 我研究了以前由聪明人制作的脚本(最后是到资源的链接),并花了一些时间自己学习使用iptables(仍然在这方面工作). 这是工作的结果: 结果: 在运行Shell脚本之前,会创建一个名
..
使用这东西我可以获取原始内容socket(PF_INET, SOCK_DGRAM, 0)套接字的目标IP地址. 如何获取原始目标端口? 解决方案 取决于重定向机制.如果使用的是REDIRECT(实际上是NAT),则需要在应用NAT之前使用SO_ORIGINAL_DST或libnetfilter_conntrack来查询连接的原始目标.但是,由于您可以使用同一个侦听器套接字为多个连接提
..
我分别在端口8006和8007上托管特殊的HTTP和HTTPS服务.我使用iptables来“激活"服务器;即路由传入的HTTP和HTTPS端口: iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT iptables -A IN
..
我有一台运行Ubuntu 12.04 LTS和MongoDB实例(服务正在运行并且可以在本地连接)的Linode服务器,我无法从外部来源连接到该服务器. 我已将这两个规则添加到我的IP表中,其中是我要从其连接的服务器(如本 MongoDB参考): iptables -A INPUT -s -p tcp --destination-port 2
..
当我之外再也没有其他用户时,在我的开发箱中设置此限制非常令人讨厌. 我知道标准变通办法,但是它们都不能完全发挥作用我想要: authbind (Debian测试版1.0,仅支持IPv4) 使用iptables REDIRECT目标将低端端口重定向到高端端口(尚未为iptables的IPv6版本ip6tables实现"nat"表) sudo(我想避免以root用户运行) SELin
..
我用kubernetes 1.3.0设置了kubernetes环境,并在同一主机上运行master和node,我运行了一个带有RC的tomcat Web应用程序,一个带有docker的Service,一切似乎运行良好,我可以通过内部网络访问该服务使用curl命令,但是当我尝试使用公共IP从Internet访问服务时,它是失败的. RC配置为: apiVersion: v1 kind:
..
我想在Kubernetes(kube-proxy)开始魔术之前,先实现自己的iptables规则,然后根据节点上运行的服务/容器动态创建规则. kube-proxy在--proxy-mode=iptables中运行. 每当我尝试在引导节点时尝试加载规则时(例如在INPUT链中),即使我的规则也与-I标志. 我想念什么或做错什么了? 如果某种程度上相关,那么我正在为Pod网络使用w
..
我试图深入了解从公开的负载均衡器的第2层VIP到服务的群集IP的转发方式.我已经阅读了一个高级概述,其中 MetalLB做到了,并且我尝试了通过设置keepalived/ucarp VIP和iptables规则手动复制它.但是,我一定想念一些东西,因为它不起作用;-] 我采取的步骤: 创建了一个包含kubeadm的群集,该群集由一个主节点+ 3个节点组成,该节点在单台计算机上的libv
..
假设我设法处于客户端与服务器之间的通信中间(假设我打开了一个热点,并使客户端仅通过我的计算机连接到服务器). 如何在不中断自己与其他服务的通信的情况下更改客户端发送和接收的数据包?必须有一种方法可以通过我的脚本路由客户端既发送又要接收的所有数据包(在转发给他之前). 我认为实现此目标的正确方向是使用iptables,但不确定确切的参数适合进行此工作.我已经有以下简单的脚本: ho
..
我有如下规则: -A PREROUTING -d 10.228.20.15/32 -p tcp -m tcp --dport 80--tcp-flags FIN,SYN,RST,ACK SYN -j MARK --set-xmark 0x70/0xffffffff 手册文档对--set-xmark的解释如下: 将掩码和XOR值给定的位归零到ctmark中. 英语不是我的母语.
..