iptables

如果希望在服务器上提供服务，诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙，它们默认的防火墙规则十分严格。因此，如果你安装了任何定制的服务（比如web服务器、NFS和Samba），那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过

在核心中netfilter 架构里有五个hooks点，NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING、NF_IP_LOCAL_IN、NF_IP_LOCAL_OUT、NF_IP_FORWARD，这些hooks应该就是iptables使用的五个chains，但不知这些chains跟hook 点是什么关联? 以下是我的理解: 比如当执行 iptables 指令设定到了INPUT chain时，就等于将INPUT的规则设至NF_IP_LOCAL_IN这个hook 点上，并挂上相关的模组，这样当封包进入后，即可透过模组对封包进行检查过滤的动作。 比方这篇内.. 这张图： 若要讨论程式面，要翻阅 source code 会比较清楚。

最近发现家里网络被人蹭了，家里用的路由器刷了OpenWrt，要过滤无非还是用iptables或wifi mac过滤下，不过也顺带联想到，到底被蹭了多少带宽/流量。因此找了下OpenWrt的相关网络监控的模块。整体实践下来，也就nlbwmon的相关UI比较现代化，而且有luci界面，省去还有构建UI之类的，因此最后还是选择了nlbwmon

公司使用docker在部署一些实际的项目时候时常出现一些灵异的网络问题导致服务不可用之类的。 根据资料查询结合自己已知的centos7的防火墙默认为 firewall但firewall 的底层是使用iptables进行数据过滤的而docker也是使用iptables来进行网络隔离和管理。正好最近出问题是因为添加防火墙策略相关操作之后发生的

一台物理机托管到机房，国内一般也就给 1 个 v4 公网 IP。所有业务都将通过使用不同端口的方式来复用这个 IP，那么就有以下两种方案： 1）把所有业务放在同一个系统内跑。显然，这种把鸡蛋放在同一个笼子里的方案不够优雅，即便使用容器等虚拟化技术进行隔离，系统内核也始终是共享的，非常不灵活

啊，发现一只野生程序员！(๑•̀ㅂ•́)و✧ 通常情况redis服务器总是放在内网并只允许内部服务器访问的，所以redis生来就不怎么关注安全问题，默认的redis-server配置允许任何访问。但总会有某些情况下，我们需要将redis暴露给外网，这时候就需要给redis-server加上些安全措施，你总不会希望有其他人能访问你的redis-server吧。 在redis服务器的防火墙（或者iptables）上设置只允许受信任的主机访问redis端口

关于内网通过公网地址访问服务器的另类解决方法，iptables重定向IP 最近遇到个需求，就是内部服务器需要通过公网地址来访问其他的内部服务器。一开始采用的是在路由器内网接口做NAT的方式来解决的，后来多ISP接入后，一些映射的服务器就需要采用源进源出来达到出入一致。但是NE路由器本身不支持源进源出，通过MQC重定向的方式来实现的，但是最终需要在出口的NAT实例中再次做重定向，这样就会导致其他服务器无法通过公网地址访问内部服务器了，导致了内网接口上的NAT失效

请注意，本文编写于 1422 天前，最后修改于 1422 天前，其中某些信息可能已经过时。 上篇文章《linux/VPS使用WonderShaper限制网卡上传/下载带宽速率》介绍了使用WonderShaper对服务器自身的上传带宽\下载带宽进行限流，比较适合长期大量占用带宽而可能被IDC定义为服务滥用最终导致被停机的一种使用场景，可以有效的进行规避。今天主要记录下如何使用 iptables 对访问和请求的IP/端口进行限流或限制并发量，基于公平原则改善网络访问体验，并缓解CC攻击对服务器造成的影响