iptables

最近把网站的服务器从apache切换到nginx，切换的一个目的是解决dashboard开启非常慢的问题。但是等我切换完之后点dashboard仍旧很慢，我的第一反应是dashboard打开异常慢的原因并不在应用服务器。联系到我之前在服务器上aptitude install less没成功，我突然明白dashboard打开慢和aptitude install失败的原因有可能是同一个，就是iptables禁止了访问外部的HTTP/HTTPS/DNS请求

Linux 2.4内核以后提供了一个非常优秀的防火墙工具：netfilter/iptables，他免费且功能强大，可以对流入、流出的信息进行细化控制，它可以 实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。 但LInux原始的防火墙工具iptables由于过于繁琐，所以ubuntu系统默认提供了一个基于iptable之上的防火墙工具ufw

最近把网站的服务器从apache切换到nginx，切换的一个目的是解决dashboard开启非常慢的问题。但是等我切换完之后点dashboard仍旧很慢，我的第一反应是dashboard打开异常慢的原因并不在应用服务器。联系到我之前在服务器上aptitude install less没成功，我突然明白dashboard打开慢和aptitude install失败的原因有可能是同一个，就是iptables禁止了访问外部的HTTP/HTTPS/DNS请求

在核心中netfilter 架构里有五个hooks点，NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING、NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_FORWARD，这些hooks应该就是iptables使用的五个chains，但不知这些chains跟hook 点是什么关联? 以下是我的理解: 比如当执行 iptables 指令设定到了INPUT chain时，就等于将INPUT的规则设至NF_IP_LOCAL_IN这个hook 点上，并挂上相关的模组，这样当封包进入后，即可透过模组对封包进行检查过滤的动作。 比方这篇内.. 这张图： 若要讨论程式面，要翻阅 source code 会比较清楚。

公司使用docker在部署一些实际的项目时候时常出现一些灵异的网络问题导致服务不可用之类的。 根据资料查询结合自己已知的centos7的防火墙默认为 firewall但firewall 的底层是使用iptables进行数据过滤的而docker也是使用iptables来进行网络隔离和管理。正好最近出问题是因为添加防火墙策略相关操作之后发生的

啊，发现一只野生程序员！(๑•̀ㅂ•́)و✧ 通常情况redis服务器总是放在内网并只允许内部服务器访问的，所以redis生来就不怎么关注安全问题，默认的redis-server配置允许任何访问。但总会有某些情况下，我们需要将redis暴露给外网，这时候就需要给redis-server加上些安全措施，你总不会希望有其他人能访问你的redis-server吧。 在redis服务器的防火墙（或者iptables）上设置只允许受信任的主机访问redis端口

关于内网通过公网地址访问服务器的另类解决方法，iptables重定向IP 最近遇到个需求，就是内部服务器需要通过公网地址来访问其他的内部服务器。一开始采用的是在路由器内网接口做NAT的方式来解决的，后来多ISP接入后，一些映射的服务器就需要采用源进源出来达到出入一致。但是NE路由器本身不支持源进源出，通过MQC重定向的方式来实现的，但是最终需要在出口的NAT实例中再次做重定向，这样就会导致其他服务器无法通过公网地址访问内部服务器了，导致了内网接口上的NAT失效

请注意，本文编写于 1422 天前，最后修改于 1422 天前，其中某些信息可能已经过时。 上篇文章《linux/VPS使用WonderShaper限制网卡上传/下载带宽速率》介绍了使用WonderShaper对服务器自身的上传带宽\下载带宽进行限流，比较适合长期大量占用带宽而可能被IDC定义为服务滥用最终导致被停机的一种使用场景，可以有效的进行规避。今天主要记录下如何使用 iptables 对访问和请求的IP/端口进行限流或限制并发量，基于公平原则改善网络访问体验，并缓解CC攻击对服务器造成的影响