标签: shorewall

我在我的服务器上使用Shorewall作为简单的独立防火墙，并且也想使用Docker。

通过使用 Docker 容器及其端口重定向， docker 设置了自己的 iptables 规则/链，如果 shorewall 重新启动，这些规则/链将被终止。所以容器将变得无法访问。

有没有人在 shorewall 重启后设法保存/恢复 docker 规则，或者有没有其他解决方法？

也可以看看：

• 有类似问题的 Shorewall 邮件列表
• GitHub 问题 #2801 @ dotcloud/docker

使用 IP 别名，一个 linux 机器已经在同一个 NIC 上绑定了来自同一个子网的多个 ip 地址。所以 ifconfig 显示设备 eth0 with , eth0:1 with 和 eth0:2 with 。

Linux 如何确定用于传出 ip 流量的 IP 源地址？有没有办法定义某些传出流量应该使用哪个源 IP 地址？

我正在运行带有shorewall防火墙的Ubuntu Server 14.04系统。Shorewall 本质上是iptables的前端，它是 iptables 通过 Netfilter 进行日志记录（目前我的理解）。

我的问题是我无法理解有关登录到不同目的地的shorewall 文档。这是我走了多远：

• 我安装并启动 ulogd
• 我定义了一个变量/etc/shorewall/params：LOG=NFLOG
• 我将所有出现的都更改info为$LOGin/etc/shorewall/shorewall.conf
• 我将日志目的地设置为/etc/shorewall/shorewall.conf：LOGFILE=/var/log/shorewall

这应该完成以下操作： Netfilter 将日志记录到NFLOG（后继ULOG）目标，这意味着 Netfilter 日志消息由 处理ulogd2。

我不知道的是如何ulogd2将所有 shorewall 消息写入我想要的日志文件/var/log/shorewall。

正如此论坛帖子所证明的那样，文档对此相当不清楚。我发现的这篇博文同样含糊不清，关于ulogd2的日志重定向。

总之：

1. 我重定向 shorewall 日志消息的方法是否完全ulogd2正确？
2. 如何配置ulogd2以将 shorewall 的消息重定向到/var/log/shorewall？

PS：我不是在 AskUbuntu 上问这个问题，因为这与其他 Linux 发行版同样相关。

我有一个垃圾邮件机器人，它喜欢向我的网站发送垃圾邮件。我发邮件给abuse@isp，但他不理我。

攻击总是来自同一个 IP，我使用IISIP将垃圾邮件发送者 IP 添加到我的所有网站。

我想知道，因为我正在使用带有 shorewall 作为防火墙的 linux 盒子......也许在那个级别过滤更好？

在列表可能会增长并变得庞大时，哪一个具有更好的性能？IIS 向垃圾邮件发送者提供 403 页面，还是 shorewall 断开连接？

我收到了一封来自 logcheck 的电子邮件，其中包含与 UDP 端口 60059 的许多尝试连接。

This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Jul 29 04:42:02 myserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=fe:fd:42:e4:26:54:88:43:e1:7c:75:3f:08:00 SRC=91.121.95.131 DST=my.ip.add.ress LEN=171 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=58250 DPT=60059 LEN=151
Jul 29 04:42:03 myserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=fe:fd:42:e4:26:54:88:43:e1:a4:04:ff:08:00 SRC=91.121.95.131 DST=my.ip.add.ress LEN=171 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=58058 DPT=60059 LEN=151
Jul 29 …

如何将来自不同子域的流量路由到不同的内部 IP 地址？

我已经设置了一个 Debian 路由器，它有一个公共 IP 和一个指向该 IP 的域名，我想让不同的子域到达不同的内部机器。

我在这里谈论的是 HTTP、SSH 和 FTP 流量，我在路由器上安装了 Shorewall 和 dnsmasq。

例如，URL：ftp.example.com 我想指向一台内部 IP 为 192.168.1.10 的机器，然后 dev.example.com 我想访问另一个内部 IP。说 192.168.1.200

如果我可以指定在哪些子域上允许使用哪些协议并将每个协议和端口明确路由到内部机器，那就太好了。

目前我们有 shorewall 作为我们的防火墙运行，但我们正在将我们的网络切换到更轻的网络。我们正在考虑使用Linksys E2000并安装 DD-WRT。我们有一个带有三个指定 IP 的有线互联网连接。作为我们内部网络的一部分，我们拥有三台进入 DMZ 的服务器。目前 10.1.3.X 子网上的所有机器都在 DMZ 中。10.1.4.X 子网上的所有机器都是本地基础设施，如域控制器、内部开发、数据库服务器。

在网络上的机器上向外界开放各种端口。这里有一个网络服务器，那里有一个邮件服务器。

这对于 WRT 来说是不是太多了？关于如何做到这一点的任何指示？路由器的选择是否合适？

编辑：我应该补充一点，最好是其中一个端口是 DMZ。那可能吗？