n**********l
发帖数: 271 | 1 http://www.dd-wrt.com/wiki/index.php/VPN_(the_easy_way)_v24%2B
On the part of creating certs, pay attention to your path and time zone...
What can't you connect to? Web interface? remote management enabled?
OpenVPN requires port UDP 1194
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.66.0/24 -j ACCEPT
# optonal
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
use verb 4 in OpenVPN configuration to get enough infor... 阅读全帖 |
|
|
|
f*********e
发帖数: 8453 | 4 tomato上设了很多东西,实在没把握能不能恢复。不死心在网上搜了下,发现端口映射
可以直接命令行,就是iptables。
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.2.1:80
iptables -I FORWARD -p tcp -d 192.168.2.1 --dport 80 -j ACCEPT
输了命令后还不行,然后我就在命令行敲reboot重启了一下就好了。说实在的我也不知
道是重启就好了呢,还是那两句iptables修好的,还是两者都必不可少。反正现在行了
,以后没事不瞎折腾了。 |
|
h*w
发帖数: 1182 | 5 首先非常感谢详细的安装指导,刚装好,还没有测试能否成功连接(在office安装,回
家试)
我也遇到了这个问题,见附件截图。所以第三步生成VPN服务器和客户端配置文件时啥
也不改不work
于是我将你服务器配置文件中的
#虚拟的网段
server 10.8.0.0 255.255.255.0
填入 Net IP assign (option server) 两个空格中即可
同样的,生成客户配置文件时也将你客户配置文件中的xxxx.xxxx.com 53填入相应位置
即可
反正后面要手动修改,怎么填都可以
还有你后面写的iptables.rule文件名好像不对,按照步骤来不能启动open vpn,错误信
息如下:
Job for iptables.service failed. See 'systemctl status iptables.service' and
'journalctl -xn' for details.
后来copy了一个iptables.rules(同样的内容)就可以启动了,没有给出错误信息。
btw,完全linux新手,不知道大部分修改的内容的意义,呵呵 |
|
e***y
发帖数: 1152 | 6 关于那个hotspot via vpn, 大体上我们有需要运行类似这样的脚本
iptables -t filter -F FORWARD
iptables -t nat -F POSTROUTING
iptables -t filter -I FORWARD -j ACCEPT
iptables -t nat -I POSTROUTING -j MASQUERADE
ip rule add from 192.168.42.0/24 lookup 61
ip route add default dev tun0 scope link table 61
ip route add 192.168.42.0/24 dev rndis0 scope link table 61
ip route add broadcast 255.255.255.255 dev rndis0 scope link table 61
来实现。我记得你搞过一个一键运行的widget, 可那个链接失效了, 可否再贴一次?
目前运行很麻烦, 要开terminal,然后su,再cd, 在sh。。。
: 我自己还没... 阅读全帖 |
|
z**r
发帖数: 17771 | 7 /etc/hosts.deny and hosts.allow are for tcpwrapper, if you don't use it, that'
s fine, I prefer iptables
man iptables gives you most of what you need, you may search a sample for the
security rules, basically you want to enable everything initiated from your pc
, and selectively enable others, and block some famous attach like DDOS.
Another thing is important, that is the sequency of your rules.
there are also some iptables wrapper like firewallstarter something like that,
they provide easier ma |
|
t****t
发帖数: 6806 | 8 anyway, if you can get a shell to invoke iptables, here it is
iptables -t nat -I POSTROUTING -s blocked_internal_ip -j DROP
this will block all new connections from blocked_internal_ip to internet.
the existing connections (such as opened telnet, ssh) are not affected. to
restore, write
iptables -t nat -D POSTROUTING -s blocked_internal_ip -j DROP
depends on your router configuration, you could automate the process (each
time you start the router? every sunday? etc) in various ways. |
|
J*****n
发帖数: 48 | 9 cable modem --> router with tomato --> external hdd at router
http server 已经在8080端口运行,可以从内网访问
192.168.1.1:8080 (ok)
内网也可以访问external address
65.138.46.173:5678
但是外网无法访问上面这个地址.
followed the description at
http://www.dd-wrt.com/wiki/index.php/Iptables
added those two lines
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 5678 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 5678
-j DNAT --to 192.168.1.1:8080
yougetsignal 一直显示5678端口没有打开. |
|
J*****n
发帖数: 48 | 10 I used to have a similar problem. Because you are going to open the port at
the router itself instead of some ip behind the router, this set-up has
nothing to do with port-forwarding. Instead, you need to use iptable to open
the port. So add the following two lines to the script that you will run
when the router starts:
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 1022
-j DNAT --to 192.168.1.1:22
The first co... 阅读全帖 |
|
G*****h
发帖数: 33134 | 11 还是弄了个 iptables 命令搞定
现在爽了
你妹啊,发现是怎么回事了
tomato 的 firewall 不让从外网访问 it,只能打开 web admin,不能访问其它 port
而且不能在 web 界面上设置 iptables firewall rule 来允许某端口。。。
就是说如果要在 router 上跑自己的 web server,
得在 init script 加 iptables 命令打开 web port ...
幸好偶有俩地沟油,
干脆把 web server 挪到另一个地沟油上,在 gateway 上开个 port forwarding...
坑爹。。。 |
|
c*******y
发帖数: 3529 | 12 四、配置openVPN
建议阅读并使用 openVPN的examples,
放在/usr/share/doc/openvpn/examples
我是用它的server.conf当模版的。里面还有firewall.sh和
openvpn_start.sh,描述了如何启动iptables和openvpn.
1、网络结构和基本概念:
我家的网络结构是:router的内网ip是192.168.1.1,
外网是xxxx.xxxx.com. dockstar的ip是192.168.1.3.
VPN会建立一个虚拟的网段(我设成10.8.0.0 255.255.255.0),
给自己分配10.8.0.1, 当外面有client连是
给client分配一个虚拟ip, 比如10.8.0.2.
所以如果不设置iptables,client只能访问10.8.0.0网段的ip.
iptables 能把进来的包转发给192.168.1.0的网段,等等。 |
|
l*****7
发帖数: 1125 | 13 tomato 下的,iptables-save 和iptables-restore都显示找不到命令
我其实是想直接找到那个保存默认规则的文件,直接vi改那个文件就好了,
~~~~
还省得每次启动了再加载用iptables-save保存了的规则文件
~~~~~~~~~~~~~~~~~~~ |
|
w*x
发帖数: 3456 | 14 直接改了之后要用iptables-restore更新一下文件吧,那个文件应该就是/etc/
iptables。我的也是tomato,不过是toastman的版本,我的有iptables这个命令,要不
换个tomato版本试试?
其实最简单的方法是进路由的web管理页面去修改保存... |
|
m********o
发帖数: 129 | 15
看你的路由表是没有问题的,应该是nat的问题
这足够说明所有从PC上来的包在副router上没有继续了
tcpdump一下看看ping包到底有没有出去,如果没有出去。
确认一下几个地方,/etc/sysctl.conf里面有net.ipv4.ip_forward=1
iptables加这句
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
注意,如果PC是通过dhcp从副router获取ip,那么iptables用MASQUERADE,
如果是静态,用SNAT。。 |
|
v*****r
发帖数: 1119 | 16 OS: RedHat 5.3服务器上装了两个网卡:eth0 and eth1. eth0 是连internet的
public interface, eth1 是 private interface (for cluster nodes
interconnections). 按要求防火墙需要打开 (iptables), 在 RedHat 4 (or under 4
) 下面,通常我都是打开防火墙(enable iptables),同时设 eth1 为 "Trusted Device
“ to bypass firewall. (在 Security Level and Firewall 窗口里,以上设置可一
步完成。)发现在 RedHat 5 里的 Security Level and Firewall 窗口下,没有了 “
Trusted Devices" 的选项,google 了一下,也没找到答案。我的问题是:1. RedHat
5 里,如何设置 eth1 为 “Trusted Device" to bypass iptables firewall.2. 如果
GUI window |
|
x****s
发帖数: 921 | 17 看你开了新贴问iptable,不知道是不是关于这个,我diff 了一下我的iptables,setup
openvpn时加了这些
*nat
-A POSTROUTING -o eth0 -j MASQUERADE
*filter
-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
HTH
个能互相ping通.这之后就可以 verify routing table, try internet access (use
IP only first.),if not work, fix iptable. |
|
l********l
发帖数: 9452 | 18 【 以下文字转载自 PDA 讨论区 】
发信人: liulinglll (liuliu), 信区: PDA
标 题: HD2 tmobile prepaid + ddwrt openvpn 翻墙手册
发信站: BBS 未名空间站 (Mon Aug 23 17:42:34 2010, 美东)
1. 下openvpn生成crt
http://openvpn.net/release/openvpn-2.1.2-install.exe
2. 耍dd-wrt wiht openvpn version.
3. enable openvpn deamon
4. put all crt in openvpn deamon page.
5. dd-wrt security script
iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.66.0/24 -j ACCEPT
# These next two lines may or may not be necessary.
# |
|
A*******t
发帖数: 40 | 19 用一台老PC装了CentOS 6,按照这个步骤(https://www.if-not-true-then-false.com
/2013/install-mariadb-on-fedora-centos-rhel/)安装了MariaDB (10.2.14), 在
iptables里也加入了相应的INPUT rule, service iptables restart
可用另一台PC(192.168.1.4)怎么也看不到这个MySQL(192.168.1.11),ping可以,
但是telnet就不行
C:windowssystem32>telnet 192.168.1.11 3306
Connecting To 192.168.1.11...Could not open connection to the host, on port
3306
请问大家有没有什么高招?新手初次玩Linux,多谢! |
|
m**s
发帖数: 153 | 20 【 以下文字转载自 Linux 讨论区 】
发信人: mlts (take that), 信区: Linux
标 题: 请教一个openvpn路由问题
发信站: BBS 未名空间站 (Sat Jun 21 09:18:34 2008), 转信
我有两台linux机器分属不同网段,用openvpn连接已成功,
client端已添加server网段路由,可以ssh server的vpn ip或网段ip
server端加了iptable如下:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
其中10.8.0.0/24是vpn的网段
现在问题是client只能访问server,但无法通过server访问server所属网段
我的理解是问题出在server端的路由,但不知道怎么解决或是进一步定位问题所在
哪位高手能指点一下,先谢了! |
|
l********l
发帖数: 9452 | 21 【 以下文字转载自 PDA 讨论区 】
发信人: liulinglll (liuliu), 信区: PDA
标 题: HD2 tmobile prepaid + ddwrt openvpn 翻墙手册
发信站: BBS 未名空间站 (Mon Aug 23 17:42:34 2010, 美东)
1. 下openvpn生成crt
http://openvpn.net/release/openvpn-2.1.2-install.exe
2. 耍dd-wrt wiht openvpn version.
3. enable openvpn deamon
4. put all crt in openvpn deamon page.
5. dd-wrt security script
iptables -I INPUT 1 -p tcp --dport 8080 -j ACCEPT
iptables -I FORWARD 1 --source 192.168.66.0/24 -j ACCEPT
# These next two lines may or may not be necessary.
# |
|
J*****n
发帖数: 48 | 22 tomatousb+external hdd 开了一个web server,
内网能够访问,但是外网不行.
已经在tomato设置了port forwarding,并且加了iptables scripts:
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
还是不行.还有什么需要设置的吗? |
|
G*****h
发帖数: 33134 | 23 你妹啊,发现是怎么回事了
tomato 的 firewall 不让从外网访问 it,只能打开 web admin,不能访问其它 port
而且不能在 web 界面上设置 iptables firewall rule 来允许某端口。。。
就是说如果要在 router 上跑自己的 web server,
得在 init script 加 iptables 命令打开 web port ...
幸好偶有俩地沟油,
干脆把 web server 挪到另一个地沟油上,在 gateway 上开个 port forwarding...
坑爹。。。 |
|
m*d
发帖数: 7658 | 24 我在router上用iptables block了
iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
为什么在debian上还能看到 |
|
m******j
发帖数: 326 | 25 不用找iptable的问题,你这个应当是你workgroup的问题,或者是router的问题
最简单的解决方法就是把linuxserver上面装上samba,和profptd,然后从mars访问他
们。我假定你samb设置没有问题。
还有一个可能性,呵呵,你可能连的是邻居家的无限,呵呵
iptables |
|
a*******e
发帖数: 3021 | 26 root# /sbin/ethtool eth0 | grep Wake-on
Supports Wake-on: pumbg
Wake-on: g
那我下次直接从别的地方发包就可以唤醒了?
iptable应该允许tcp还是udp的9号口?
哦,iptable应该没用把,机器还没起来呢,所以做了port转发全世界谁都能给我唤醒
了? |
|
s**h
发帖数: 1889 | 27 嗯,也许我表达能力差:)或者没理解iptables。我以为是要自己准备个
ip列表把要封的ip放进去。我一直没开防火墙,因为是在路由器背后,觉得
相对安全。所以也没怎么研究这个iptables. |
|
l*******e
发帖数: 309 | 28 I don't think you actually read the article you cited. It uses iptables to
limit the rate new connections can be made. It has nothing to do with 穷举.
fail2ban use iptables to add malicious IP to its blacklist. What do you
mean by 缺点是有延时? Have you tried it?
A strong password should suit you well too. And I don't think using public
key and changing default listening port will inconvenience you in most if
not all situations. |
|
x****s
发帖数: 921 | 29 the external DNS name of A. for example:
remote xx_keyword.no-ip.org 54321
http-proxy xx_keyword.no-ip.org 8081 /sdcard/openvpn/pass.txt basic
you can hardcode DNS server to 8.8.8.8
这基本都是因为iptable的问题. 记住tun 每个connection相关有四个IP, 只有两个能互相ping通.这之后就可以 verify routing table, try internet access (use IP only first.),if not work, fix iptable.
http://openvpn.net/index.php/open-source/faq/77-server/273-qifc
resolve. |
|
x*****n
发帖数: 1636 | 30 对啊,不用iptables的话,我觉得必须要配B为10段到A的路由,不过这样搞多麻烦,还
不如直接iptables nat呢
55.
24 |
|
b***d
发帖数: 186 | 31 谢谢大家的热烈讨论。昨晚太累了先睡了。
原问题我不知道是不是没理解清楚面试者的意思。那哥们说话又块又有口音又小声。真
是点种我语言的死穴。
问题是由ssh tunnel引过来的。我们知道在做ssh tunnel是往往是把一个port tunnel
到另外一个机器的另外一个port上。然后他就提出假设他要随机访问1w个port,难道还
一个个的建tunnel吗?我答不上来方法。他说他至少有2办法。
然后他就画了我在顶楼描述的模型。那哥们先提醒说可以用 ssh -w 的命令建一个
tunnel。这个命令我没用过,刚刚查了查好像可行。但是他说这个方法要A和B都参与进
来建立这个tunnel才行。他还有个办法可以只要一方参与。我那时已经彻底晕菜了,就
乱问 proxy?vpn?iptables?全都被否了。
另外楼上提到将B设成路由的,好像也得用iptables吧
谁用过ip tunnel add? 不知这个可不可行。 |
|
c******n
发帖数: 4965 | 32 got it working
2 steps
1) on EC2 setup /etc/hosts and use iptables to route all traffic to your
maven and svn boxes to ssh tunnel entry ports on localhost
2) from a corp box, ssh into EC2 with -Rmaven_port:real_maven_host:maven_
port EC2_hostname
and similarly for svn/git/perforce
that's it (see my previous posts for iptables for 1) ) |
|
c******n
发帖数: 4965 | 33 got it working
2 steps
1) on EC2 setup /etc/hosts and use iptables to route all traffic to your
maven and svn boxes to ssh tunnel entry ports on localhost
2) from a corp box, ssh into EC2 with -Rmaven_port:real_maven_host:maven_
port EC2_hostname
and similarly for svn/git/perforce
that's it (see my previous posts for iptables for 1) ) |
|
w*s
发帖数: 7227 | 34 那还要不要iptables ?
我的理解是iptables是封掉一些traffic,
如果完全开放,是不是pc2不用设ip fowarding了?
从UML出来的包到了PC2以后,不知道怎么返回。 |
|
s***y
发帖数: 3042 | 35 一直在用一个server,系统是ubuntu。估计很老了,开始用的好,就没有在意版本。结
果最近被网管block住了。说是发现rouge dhcp server。但是这个机器是没有开启dhcp
server。现在ssh不到机器了,其他信息也不知道。不过想问问,这个有可能是什么问
题。或者需要一些什么信息,可以进一步诊断问题所在?另外,如果用iptables是不是
可以drop掉dhcp的packet?我其实试图加了一个rule在iptables里面,但是似乎不管用
。当然也许我没有设置好。
希望高手给点意见,指导一下。我现在一头雾水,都不知道可以做什么,从何入手。
另外,曾经检查过是不是有dhcp server,用 ps aux | grep dhcp*
没有发现dhcp在运行。 |
|
|
g*******0
发帖数: 127 | 37 公司有一个proxy server,所有internet traffic都要通过这个proxy_server:8080(包
括http, https, ftp等),因此实验室里面每台电脑需要上网的程序都要手工设定
proxy_server。当然,连https时会出现让你同意这个非原始的Certificate加在中间的
要求。同意就行了。
有没有可能给实验室设一个Linux Gateway当做路由器(两个ethernet card),然后
forward所有的Traffic到proxy_server:8080,这样实验室里就不用给每台电脑设定
proxy server了。
看了看Squid3,可以将这个Gateway也设成一个http的proxy server,这样可以把所有
的http链接都发到公司的parent proxy_server上,但是https不行,如果非要设定
https的话,需要建立并使用自己的Certificate,这样对用户来说就太麻烦了,要访问
一个https的网址,需要不停地同意中间层的Certificate(实验室和公司的proxy)。
不用Squid3的话,... 阅读全帖 |
|
R******d
发帖数: 1436 | 38 我把iptables关了情况没有改变。
$iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
用ssh -v到这里就打住了
debug1: connect to address 10.2.1.100 port 22: Connection timed out
还有别的招么? |
|
A*******t
发帖数: 40 | 39 【 以下文字转载自 Database 讨论区 】
发信人: Architect (喝水喝到饱), 信区: Database
标 题: MySQL Remote Access问题求助
发信站: BBS 未名空间站 (Thu Mar 29 14:21:12 2018, 美东)
用一台老PC装了CentOS 6,按照这个步骤(https://www.if-not-true-then-false.com
/2013/install-mariadb-on-fedora-centos-rhel/)安装了MariaDB (10.2.14), 在
iptables里也加入了相应的INPUT rule, service iptables restart
可用另一台PC(192.168.1.4)怎么也看不到这个MySQL(192.168.1.11),ping可以,
但是telnet就不行
C:windowssystem32>telnet 192.168.1.11 3306
Connecting To 192.168.1.11...Could not open connection to the host... 阅读全帖 |
|
g****u
发帖数: 252 | 40 理论上说可以绕过。比如app要gps坐标的时候给个假的。
android上有个iptable软件,可以控制网络流量。
我做过一个app,就是通过iptable截获所有的http流量并
对其进行压缩的。不过折腾这些必须root才行。 |
|
a***t
发帖数: 39 | 41
It could be.
1. netstat -an | grep 25 (make sure smtp is running on your server)
2. ping serverip from other computer, make sure the connectivity is good
3. Check your ipchains or iptables settings, and see if it blocks the smtp
traffic. (type 'ipchains -L' or 'iptables -L' to list the existing rules) |
|
k**********s
发帖数: 6409 | 42 zte在这个手机里加了庞大繁琐的防火墙(iptables),你要是root了的话,试试把它
们都flush。
我碰到的问题是hotspot时ssl网站不通,开、关hotspot多次后碰巧了会通,然后就一
切正常,直到关hotspot。还不是iptables的事,不知道bug在哪。不少人反映这个问题。
买国货一定要3思、3思、再3思,尤其是价高的,损失更大。国货经常是做的其实非常
好了,但是缺个用点心的人把关。这个zte如果不是图其是全网通的双卡,我绝对不会
去碰。 |
|
k****t
发帖数: 2288 | 43 修改sip.conf
在【general】中加入
bindaddr=0.0.0.0
externip=x.x.x.x
localnet=192.168.1.0/255.255.255.0
nat=yes
增加分机【1001】:
[1001]
type=friend
host=dynamic
secret=1234
context=from-internal
allow=ulaw
qualify=yes
port=5060
nat=yes
dtmfmode=rfc2833
canreinvite=no
然后先telnet上router,cmd输入:
iptables -I INPUT -p udp --dport 5060 -j ACCEPT
iptables -I INPUT -p udp --dport 10000:20000 -j ACCEPT
这样x-lite可以注册上了:
*CLI> sip show peers
Name/username Host Dyn Nat ACL Port Status
nonoh/kermit |
|
