iptables apt-get update

Posted in Новости on 18 августа, 2015 by admin


iptables -I INPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

Tags: ,

Перенаправление исходящей почты на релей

Posted in Новости on 20 ноября, 2013 by admin


iptables -A OUTPUT -p tcp -m tcp --dport 25 -j DNAT --to-destination xx.xx.xx.xx:25

Tags: , ,

Доступ к контейнеру OpenVZ со внутренним IP в интернет

Posted in Новости on 21 сентября, 2012 by admin

Доступ для контейнера в интернет

iptables -t nat -A POSTROUTING -s CT_IP -o eth0 -j SNAT —to HN_IP

CT_IP — IP контейнера
HN_IP — IP ноды

Проброс порта от контейнера наружу

iptables -t nat -A PREROUTING -p tcp -d HN_IP —dport HN_PORT -i eth0 -j DNAT —to-destination CT_IP:CT_PORT

HN_IP — IP ноды
HN_PORT — порт на ноде, по которому будет отзываться внутренний порт контейнера
CT_IP — IP контейнера
CT_PORT — порт контейнера, который нужно пробросить

Tags: ,

сохранение правил iptables для Debian

Posted in Новости on 14 марта, 2011 by admin

проверяем список правил :

iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

__________________________________________
Заносим новые правила

iptables -I OUTPUT -p tcp —dport 22 -j REJECT
iptables -I OUTPUT -p tcp —dport 6666 -j REJECT
iptables -I OUTPUT -p tcp —dport 6667 -j REJECT

__________________________________________
смотрим список :

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp — anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
REJECT tcp — anywhere anywhere tcp dpt:ircd reject-with icmp-port-unreachable
REJECT tcp — anywhere anywhere tcp dpt:6666 reject-with icmp-port-unreachable

__________________________________________
сохраняем в файл :

/sbin/iptables-save > /etc/rules

__________________________________________
файл примет такой вид :

/sbin/iptables-save
# Generated by iptables-save v1.4.2 on Tue Mar 15 00:40:49 2011
*filter
:INPUT ACCEPT [424:32280]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [235:33180]
-A OUTPUT -p tcp -m tcp —dport 22 -j REJECT —reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp —dport 6667 -j REJECT —reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp —dport 6666 -j REJECT —reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Mar 15 00:40:49 2011

__________________________________________
заносим восстановление из файла списка правил в автозагрузку :

cat /etc/rc.local

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/sbin/iptables-restore /etc/rules
exit 0

Tags: , ,

ip_conntrack: table full, dropping packet (CentOS)

Posted in Новости on 22 апреля, 2010 by admin

Apr 22 13:19:00 wmod kernel: ip_conntrack: table full, dropping packet.
Apr 22 13:19:05 wmod kernel: printk: 2449 messages suppressed.
Apr 22 13:19:05 wmod kernel: ip_conntrack: table full, dropping packet.
Apr 22 13:19:10 wmod kernel: printk: 2041 messages suppressed.

Вот такого рода ошибка означает, что заполнилсякеш записями.

cat /proc/sys/net/ipv4/ip_conntrack_max — смотрим действующий кеш

echo 65536 > /proc/sys/net/ipv4/ip_conntrack_max — ставим маскимально возможный кеш

Tags: ,