iptables

这几天在海关做项目，需要内外网两个环境，内网IP访问需要外网进行转发 内网：172.16.102.8 外网：10.99.115.211 #echo 1 > /proc/sys/net/ipv4/ip_forward #iptables -t nat -A PREROUTING -p tcp -i eth0 -d 10.99.115.211 --dport 1521 -j DNAT --to 172.16.102.8:1521 #service iptables save 来源： oschina 链接： https://my.oschina.net/u/4276629/blog/4871308

问题描述： 今天跳板机的一个guacamole用docker重新启动报错了 [root@localhost opt]# docker start d82e9c342a Error response from daemon: driver failed programming external connectivity on endpoint jms_guacamole_test (159da3efb3893156f4d9bba946a9b): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0 / 0 --dport 8081 -j DNAT --to-destination 172.17 . 0.2 : 8081 ! -i docker0: iptables: No chain/target/ match by that name. (exit status 1 )) 问题原因： docker服务启动时定义的自定义链DOCKER由于某种原因被清掉 重启docker服务及可重新生成自定义链DOCKER Chain PREROUTING (policy ACCEPT) target prot opt source destination DOCKER all -- 0.0 . 0.0 / 0 0.0 . 0.0

运行容器时出现以下报错： docker: Error response from daemon: driver failed programming external connectivity on endpoint elegant_ptolemy (7fe85ca6bd744449ff82b81c1577d73b6821c4e51780c8238fad6aa0cb940522): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8004 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name. (exit status 1)). 原因是：docker服务启动时定义的自定义链docker由于某种原因被清掉 重启docker服务及可重新生成自定义链DOCKER docker:来自守护进程的错误响应:驱动程序在端点elegant_ptolemy (7fe85ca6d744449ff82b81c1577d73b6821c4e51780c8238fad6aa0cb940522)上的外部连接编程失败(iptables失败:iptables——等待-t nat

一、iptables防火墙 1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on　　 2、开启80端口 vim /etc/sysconfig/iptables # 加入如下代码 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 保存退出后重启防火墙 service iptables restart 二、firewall防火墙 1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 出现 Active: inactive (dead)灰色表示停止，看单词也行。 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start #

1.操作系统版本：CentOS 6 CM版本：CM5.x CDH版本：CDH5.x 2.安装操作系统，对系统盘做 RAID1； 配置静态IP、hostname信息：vim /etc/sysconfig/network-scripts/ifcfg-eth0 并配置所有节点的静态DNS解析: vim /etc/hosts 若启用集群的Kerberos认证功能，则一定要配置集群的DNS域名，可以是假域名：vim /etc/sysconfig/network, /etc/hosts处主机名也要加带域名的主机名，如: 192.168.0.3 sb-node1.example.com sb-node1 如果机器配置有双网卡，可以做双网卡绑定 关闭并禁用iptables： service iptables stop chkconfig iptables off 关闭SELinux echo "SELINUX=disabled" > /etc/sysconfig/selinux 重启网络服务 /etc/init.d/network restart 启用nscd（DNS缓存） yum install -y nscd service nscd start chkconfig nscd on 修改transparent_hugepage参数，这个参数默认值可能会导致CDH性能下降 #在/etc/rc

随着互联网技术的方兴未艾，各种网络应用层出不穷，网络攻击、黑客入侵也成了网民畅游互联网的心头大患，互联网安全也愈加受到了人们的重视。网络防火墙，作为一种简单高效的互联网防御手段，逐渐成为了网民畅游网络世界的保护伞。下面笔者介绍下Linux系统的守卫者——iptables/netfilter。 一 兄弟齐心，其利断金 iptables/netfilter就像一对兄弟，netfilter是大哥，善使长钩；iptables是小弟，擅长书记。这两兄弟一武一文，掌握着守城重任。 netfilter大哥师承名门，身负五把长钩，每一个流经他的数据流都逃不过他的法眼，只见得五把长钩上下翻飞舞得水泄不通，将那不符合规则的数据包挑落马下。这五把长钩埋伏在城门的五个位置，分别是：NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_POST_ROUTING、NF_IP_LOCAL_OUT。他们分别对应了下图的五个位置。 iptables小弟学富五车，手拿生死簿，记载了乱臣贼子的具体情况，netfilter大哥就是按照生死簿的记载检查每个数据包，以辨忠奸。 二 四章生死簿 生死簿内所载内容分为四个章节：raw、mangle、nat、filter raw、mangle记载了极高深的内容，正所谓曲高和寡，平常极少用到。filter里记录了过滤规则

1 firewalld和netfilter 2 netfilter5表5链介绍 3 iptables语法 4 iptables filter表案例 5 iptables nat表应用 1 firewalld和netfilter centos6防火墙名字叫netfilter，iptables仅仅是防火墙工具 关闭firewalld步骤 firewalld 取消开机启动，停止服务 开启netfilter步骤 netfilter yum安装iptables-servers 先enable iptables 再开启iptables 临时关闭selinux setenforce 0 查看selinux状态，Permissive表示遇到需要需要阻断时不去阻断，而是去记录信息 永久关闭selinux，编辑配置selinux文件，将标记位置改为disabled及可永久关闭 vi /etc/selinux/config centos7之前版本叫netfilter centos7叫firewalld，都支持iptables命令 关闭firewalld开机启动 systemctl disable firewalld 关闭防火墙服务 systemctl stop firewalld yum安装iptables服务 yum install -y iptables-services 开启iptables服务

0. 写在前面 从事技术工作已经有一些时间了，平时也有做些笔记、写些文档，但一直没有认真的写过一篇技术博文。平时遇到问题时，在网上搜索的解决方法大多都是在博客里，突然觉得自己也有必要将一些熟悉的技术撰写成文，为网友们贡献一点绵薄之力。由于自己的知识有限，文中难免存在一些纰漏或认知方面的错误，还请各位大神留言指正，非常感谢！ 1. 概览 Rrsync（Remote synchronization）是一款开源的、快速的、多功能的、全量和增量的、远程或本地的、文件级别的数据同步工具。不仅适用于 Linux 平台，还可以在Unix和windows上进行部署和使用。它的远程复制功能类似于ssh的scp，但优于scp，因为scp每次拷贝都是全量的，而rsync则可以做到增量复制；它还可以用于本地不同目录间的文件复制，类似于cp命令，但同样优于cp，因为它实现的是增量复制；rsync 还可以使用—delete选项来实现类似rm命令的功能，能够对某个目录进行删除操作。rsync在进行数据同步时，使用其独有的quick check 算法 ，实现仅同步变更的权限信息和文件内容，进而实现快速的数据同步备份功能。在CentOS5系列的系统中，默认使用的是rsync2.x，它的工作原理是先进行文件对比，然后再进行数据同步；而在CentOS6.x系列的系统中，默认使用的rsync3.x则是边进行文件对比

firewald 一 iptables 1 )三张表五条链 1 filter： input：通过路由表之后目的地为本机 output：由本机产生，向外转发 forward：通过路由表之后，目的地不为本机 2 nat： prerouting：数据包进入路由表之前 postrouting：数据包进入路由表之后 input output 3 mangle：prerouting,postrouting,input,output,forward 2 )配置 在配置 iptables之前如果firewalld使开启的，要先stop和disables，不然会出现问题 iptables -L ：列出指定表的策略 -n ：不做解析 -A ：添加策略 -t ：指定表名称 -F ：刷掉表中的所有策略，不用 -t指定表名称时，默认为filter表 -p ：网络协议 --dport ：端口 -s ：数据来源 -j ：动作 -N ：增加链 -E ：改变链的名称 -X ：删除链 -D ：删除策略 -I ：插入策略 -R ：修改策略 -P ：修改默认策略 ACCEPT ：允许 REJECT ：拒绝 DROP ：丢弃 iptables -nL ###没有指定表，默认为filter表，查看filter表的策略### iptables -t filter ###指定表名称为filter表### iptables -F

Introduction 　　 OpenVPN是一个开源代码的VPN应用程序，可让您在公共互联网上安全地创建和加入专用网络。相比pptp，openvpn更稳定、安全。 　　本篇博客主要介绍下面两点： 　　1. Centos 7下安装与配置OpenVPN； 　　2. 客户端连接OpenVPN服务器(window 、Ubuntu、 Ios、 Android) Prerequisites 　　 1. 公网服务器IP或者国外VPS及root权限； 　　2. 由于OpenVPN在默认的CentOS软件库中不可用，需要安装EPEL； 　　yum install epel-release OpenVPN Server Install 　　 1. 安装OpenVPN 　　yum install openvpn easy-rsa -y 　　2. 配置OpenVPN 　　OpenVPN在其文档目录中有示例配置文件，拷贝该示例配置文件到配置目录 　　cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn 　　修改该示例配置文件。 　　vi /etc/openvpn/server.conf 　稍后我们生成密钥时，Easy RSA的默认Diffie- Hellman加密长度将为2048字节