Intereting Posts
Я могу разрешить домен, ping IP, но я не могу выполнить ping-домен Имеет ли диспетчер пакетов Nix спецификацию формата данных, позволяющую альтернативные реализации, подобно Git? Загрузка Debian с зашифрованными дисками: RAID не собран Почему iotop не показывает то же, что и iostat? Почему существует разница? В какой библиотеке Linux находятся системные вызовы и как эта библиотека связана с исполняемым объектным файлом, который содержит системные вызовы? Как настроить configure keepalive на Centos7 Является ли флаг «-silent» подавленным предупреждениями или ошибками или просто предупреждениями? Установка драйверов Offline Arch Linux Именованный серийный приращение SED oneliner Squid не блокирует не-ascii domans Как перечислить n-й самый младший файл (без разбора ls!) Раскраска вывода BASH-скрипта с помощью tput – как выбрать хорошие цвета? Кросс-компиляция пакета FreeBSD как непривилегированного пользователя Ищет документацию / procfs, описывая значения и единицы измерения Выполнить ожидание внутри сценария bash как другого пользователя

пересылка не работает в iptables от 8006 до 443

Мой выделенный сервер был подключен к vmbr0, и у него есть 2 карты Ethernet eth0, а eth1 – мосты.

Я включил переадресацию с помощью net.ipv4.ip_forward=1 .

Я хочу перенаправить порт 8006 на 443.

Теперь я обращаюсь к одному из веб-приложений на порту 8006, он хочет перенаправить на 443 с помощью iptables .

В настоящее время я использую это правило для пересылки и его не работает:

 iptables -t nat -I PREROUTING -d 192.168.1.100 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.100:8006 

Если я применяю эти правила iptables , страница не может быть доступна на 192.168.1.100:8006:

 # Default filter iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # Loopback allows all. iptables -I INPUT -i lo -j ACCEPT iptables -I FORWARD -i lo -j ACCEPT # Null packets are, simply said, recon packets. see how we configured the VPS and find out weaknesses. iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # Reject is a syn-flood attack iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # XMAS packets, also a recon packet iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP # Allow all Outgoing connection iptables -A OUTPUT -j ACCEPT # Ethernet allows established/related Except invalid. iptables -A INPUT -i vmbr0 -m state --state ESTABLISHE,RELATED -j ACCEPT iptables -A INPUT -i vmbr0 -m state --state INVALID -j DROP # Allow TCP on Port 22 SSH with rate limiting iptables -A INPUT -i vmbr0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -I INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --set iptables -I INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -m recent --update --seconds 10 --hitcount 5 -j DROP # Allow Ping ICMP echo With Limiting iptables -A INPUT -i vmbr0 -p icmp -m state --state NEW -m icmp --icmp-type echo-request -j ACCEPT iptables -I INPUT -i vmbr0 -p icmp -m icmp --icmp-type echo-request -m recent --set iptables -I INPUT -i vmbr0 -p icmp -m icmp --icmp-type echo-request -m recent --update --seconds 10 --hitcount 10 -j DROP # Allow HTTP Requests for NON-secured 80 iptables -A INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m tcp -j ACCEPT iptables -I INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m recent --set iptables -I INPUT -i vmbr0 -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 5 --hitcount 20 -j DROP # Allow HTTP Requests for SLL 443 iptables -A INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m tcp -j ACCEPT iptables -I INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m recent --set iptables -I INPUT -i vmbr0 -p tcp --dport 443 -m state --state NEW -m recent --update --seconds 5 --hitcount 20 -j DROP # Enabling Logging iptables -N LOGGING iptables -A INPUT -j LOGGING iptables -A OUTPUT -j LOGGING iptables -A LOGGING -m limit --limit 10/min -j LOG --log-prefix "IPTables-log:" --log-level 4 iptables -A LOGGING -j DROP # DROP ALL Except Above Rules iptables -A INPUT -j DROP 

Так много сказать, но так мало было задано. Если вы хотите, чтобы удаленный компьютер мог получить доступ к чему-либо на порту 8006, вам нужно будет сообщить вашему брандмауэру о подключении к порту 8006, но в настоящее время вы этого не делаете.

Обратите внимание, что ваше правило в PREROUTING изменяет сегменты, адресованные 443, и изменяет адрес назначения на 8006. Вы перенаправляете порт 443 на порт 8006. Однако вы заявляете, что хотите перенаправить порт 8006 на 443. Возможно, изменение номеров в правиле PREROUTING что ты хочешь.

Замечание: вам определенно нужно переработать скрипт брандмауэра. По-видимому, это копия и вставка композиции, которую вы нашли где-то в Интернете. Во время работы (сейчас) это обязательно перестанет работать для вас. Например, вы устанавливаете политику INPUT для DROP, но по-прежнему имеете iptables -A INPUT -j DROP в конце вашего скрипта. Это избыточно и показывает, что вы не слишком много думали по этому поводу. Более критическая ошибка заключается в том, что вы включаете переадресацию, но у вас нет намерения переадресации … Я думаю.