問題タブ [iptables]

皆さん、こんにちは。

「iptables -L」は次の出力を提供します

サーバーにはグローバル IP があり、外部 IP からアクセスできますが、サーバーから任意のポート (TCP 80 を含む) に ping も telnet もできません。これは私の「iptables」設定と関係がありますか? サーバーからのアクセスを許可するためのヒントはありますか?

前もって感謝します。

Iptablesを使用してAPIへのレート制限アクセスを設定するにはどうすればよいですか。ポート80を使用して制限を設定しようとしましたが、Webアクセスに完全に制限を設定したくありません。ポートではなくサブドメインを指定する方法はありますか？例：レート制限をexample.comではなくapi.example.comに設定しますか？

サブドメインごとにレート制限を設定する方法がない場合、正当なWebユーザーをブロックするリスクを冒さずにポート80にアクセスするための推奨レート制限は何ですか？1秒あたり1つの接続で十分でしょうか？

memcached を実行している 1 つのサーバーと、memcached サーバーに接続できる別のサーバーがあります。

memcached は 0.0.0.0:5666 をリッスンするように設定されています

これにより、誰でも接続できるようになるため、他のサーバーを除くすべての人に対してポート 5666 をブロックしたいと考えています。私はこれがそれを行うだろうと思った：

しかし、うまく機能する前に、他のサーバーからまったく接続できなくなりました。

問題を解決する方法がわかりません。

キャプチャしたパケットを ipq_set_verdict() でリダイレクトできますか?

権限のないユーザーをログイン ページにリダイレクトしたい。

私のコードを見てください：

パケットが受け入れられ、ブラウザーが要求されたページを開きます (宛先アドレスは変更されません)。

void main() { struct ipq_handle* h;

私はあなたの助けを楽しみにしています。御時間ありがとうございます。

私は地元のブログを運営しており、すべてのインプレッションが地元のコミュニティからのものであることを知って、広告主に広告を購入する機能を提供したいと思います。他のみんなのために、私はそれが典型的なグーグル広告を表示することを望みます。

私の質問は次のとおりです。

これはどのくらい実現可能ですか？

このようなことを行うことができる、すぐに利用できるコードまたはサービスはありますか？

基本的なコーディングを自分で行うことができるので、安いほど良いです。私はipTablesについて少し読みましたが、あまり深く掘り下げていません。誰かがいくつかの提案を提供できるなら、それを大いに感謝します...

SO でヘルプを検索しましたが、質問に対する回答が見つかりませんでした。

状況: 「/NN」サブネット マスク表記 (IPTABLES と考えてください) を 0.0.0.0 cisco 表記に変換する必要があります。

NN は、下位オクテットから上位へのサブマスク内の「1」の数です。各オクテットは 8 ビット整数です。

考えられる解決策:

32 個の「0」の配列を作成し、最後の NN 桁を「1」で埋めてから、4 オクテットにグループ化し、int に変換します... /23 マスクは 0.0.1.255 のようになります。

私の質問は.NETでそれを行う方法です...バイナリ操作と変換を使用したことはありません。

この解決策を手伝ってもらえますか？

更新 - スティーブンは正しく答えました!

.NETに移植されたコードは次のとおりです

Capistranoを使用してiptablesファイアウォールのポートをリモートで開こうとしています。これが私の仕事です：

問題は、タスクの最初のコマンドがロックされることです。さまざまなポート番号とターゲットマシンを使用してこのルールを実行しようとしましたが、常に同じ結果になりました。

私は文字通り何十もの他のルールを持っていますが、これはこのように見えますが、うまく機能します。実際、最初のコマンドがポートマッピングを作成するためのiptablesの呼び出しであり、そのタスクが正常に機能する同様のタスクがあります。

さらに、Capistranoホストでこのコマンドを正常に実行できます。

これは正常に機能します。これはまさにCapistranoがやろうとしていることです。

このコマンドがCapistranoをロックするのはなぜですか？

解決策または手がかりのためのTIA。

すべて楽しんでください!!!

最近、CentOS 5.5 を使用して Rackspace クラウド サーバー インスタンスを作成しました。yum を使用して「Web サーバー」グループ (Apache などを含む) をインストールし、httpd.conf の ServerName として www.booztrakr.com を追加し、ポート 80 で iptables が許可されていることを確認しました。このドメインを Go に登録しました。 -パパとサイトのネーム サーバーを Rackspace ネーム サーバーに変更しました。「A」と CNAME レコードを Rackspace ネーム サーバーに追加しました。httpd が開始されました。サーバーで curl を使用すると、Apache ランディング ページを取得できます。リモートマシンから（インターネット経由で）www.booztrakr.comを掘ると、回答セクションが返されます：

www.booztrakr.com。300 IN CNAME booztrakr.com.

booztrakr.com。300 IN A 184.106.216.156 ブラウザまたはカールを試してみると、接続できません:

curl -G www.booztrakr.com

curl: (7) ホストに接続できませんでした

これはかなり基本的で構成に関連するものでなければならないことはわかっていますが、それを見ることができれば気が滅入るでしょう。どんな助けでも大歓迎です。ありがとう。

使った

すべての http リクエストをポート 8085 の jboss サーバーにリダイレクトします。これは、パケットが外部から来る場合に正常に機能します。同じマシンから開こうとすると、うまくいきません。Telnet で接続が拒否されました。

ローカル接続をリダイレクトするにはどうすればよいですか?

centos、カーネル 2.6.18 x64 での作業

私のウェブサイト全体をダウンロードしようとしている IP (中国から) が 1 つあります。すべてのページをダウンロードし、サーバーにかなりの負荷をかけます (500 000 以上のページがあります)。アクセス ログを見ると、Google ボットや他の検索エンジン ボットではないことがわかります。

一時的に (iptables ルールを使用して) 禁止しましたが、実際のユーザーの一部も同じ IP を持っているため、それらも禁止されており、Web サイトにアクセスできないため、解決策ではありません。

このような「ユーザー アクティビティ」を防ぐ方法はありますか? たぶん、1 秒間に 5 件以上のリクエストをリクエストしようとすると、キャプチャを実装するメカニズムですか?

PS 私は Yii フレームワーク (PHP) を使用しています。

どんな提案でも大歓迎です。

ありがとう！