iptables apt-get update
Posted in Новости on 18 августа, 2015 by admin
iptables -I INPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
Перенаправление исходящей почты на релей
Posted in Новости on 20 ноября, 2013 by admin
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j DNAT --to-destination xx.xx.xx.xx:25
Доступ к контейнеру OpenVZ со внутренним IP в интернет
Posted in Новости on 21 сентября, 2012 by adminДоступ для контейнера в интернет
iptables -t nat -A POSTROUTING -s CT_IP -o eth0 -j SNAT —to HN_IP
CT_IP — IP контейнера
HN_IP — IP ноды
Проброс порта от контейнера наружу
iptables -t nat -A PREROUTING -p tcp -d HN_IP —dport HN_PORT -i eth0 -j DNAT —to-destination CT_IP:CT_PORT
HN_IP — IP ноды
HN_PORT — порт на ноде, по которому будет отзываться внутренний порт контейнера
CT_IP — IP контейнера
CT_PORT — порт контейнера, который нужно пробросить
сохранение правил iptables для Debian
Posted in Новости on 14 марта, 2011 by adminпроверяем список правил :
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
__________________________________________
Заносим новые правила
iptables -I OUTPUT -p tcp —dport 22 -j REJECT
iptables -I OUTPUT -p tcp —dport 6666 -j REJECT
iptables -I OUTPUT -p tcp —dport 6667 -j REJECT
__________________________________________
смотрим список :
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp — anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
REJECT tcp — anywhere anywhere tcp dpt:ircd reject-with icmp-port-unreachable
REJECT tcp — anywhere anywhere tcp dpt:6666 reject-with icmp-port-unreachable
__________________________________________
сохраняем в файл :
/sbin/iptables-save > /etc/rules
__________________________________________
файл примет такой вид :
/sbin/iptables-save
# Generated by iptables-save v1.4.2 on Tue Mar 15 00:40:49 2011
*filter
:INPUT ACCEPT [424:32280]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [235:33180]
-A OUTPUT -p tcp -m tcp —dport 22 -j REJECT —reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp —dport 6667 -j REJECT —reject-with icmp-port-unreachable
-A OUTPUT -p tcp -m tcp —dport 6666 -j REJECT —reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Mar 15 00:40:49 2011
__________________________________________
заносим восстановление из файла списка правил в автозагрузку :
cat /etc/rc.local
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will «exit 0» on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
/sbin/iptables-restore /etc/rules
exit 0
ip_conntrack: table full, dropping packet (CentOS)
Posted in Новости on 22 апреля, 2010 by adminApr 22 13:19:00 wmod kernel: ip_conntrack: table full, dropping packet.
Apr 22 13:19:05 wmod kernel: printk: 2449 messages suppressed.
Apr 22 13:19:05 wmod kernel: ip_conntrack: table full, dropping packet.
Apr 22 13:19:10 wmod kernel: printk: 2041 messages suppressed.
Вот такого рода ошибка означает, что заполнилсякеш записями.
cat /proc/sys/net/ipv4/ip_conntrack_max — смотрим действующий кеш
echo 65536 > /proc/sys/net/ipv4/ip_conntrack_max — ставим маскимально возможный кеш