主页 / user-17231

Scott Forsyth's questions

Martin Hope
Scott Forsyth
Asked: 2014-01-31 12:40:43 +0800 CST
  • 1

我想根据源或目标 IP 地址以自动方式删除一些 NAT POSTROUTING 规则。

我知道源 IP 和目标 IP,但我不一定知道哪些策略已经存在。

例如,我可能有这个:

-A POSTROUTING -s 10.10.10.10/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 1.2.3.4
-A POSTROUTING -s 10.10.10.10/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 1.2.3.4
-A POSTROUTING -s 10.10.10.10/32 -j ACCEPT

或者我可能只有这个:

-A POSTROUTING -s 10.10.10.10/32 -j SNAT --to-source 1.2.3.4

我想从旧计算机取消分配该 NAT 地址并将其分配给新计算机。这都是自动化的,所以我无法手动查找。

删除该 IP 的旧策略的最佳方法是什么?我可以使用 list + grep 命令吗?我通常在 Windows 世界中闲逛,所以我不确定在这里处理这个问题的最佳方法。

iptables
Martin Hope
Scott Forsyth
Asked: 2014-01-23 21:01:26 +0800 CST
  • 2

我想设置一些 NAT 策略,以便某些机器只能对 http/https 进行出站访问。他们应该不能从他们的机器上进行端口扫描或其他任何事情。

目前我的 NAT 规则是:

-A PREROUTING -d 1.2.3.4 -j DNAT --to-destination 10.10.1.10
-A POSTROUTING -s 10.10.1.10 -j SNAT --to-source 1.2.3.4

我有这个共同的规则:

-A POSTROUTING -o eth0 -j MASQUERADE

1.2.3.4是公网IP,10.10.1.10是内网IP。

这允许所有入站和出站访问直接通过 NAT。

我尝试了以下 POSTROUTING 规则而不是上面的规则:

-A POSTROUTING -s 10.10.1.10 -p tcp --dport 80 -j SNAT --to-source 1.2.3.4:80

然而,这似乎并没有奏效。添加该规则后,我仍然可以从工作站使用 RDP。

回顾一下,我的目标是允许某些工作站只能通过 http/https 访问 Internet。应阻止所有其他出站流量。应该允许所有流量。我希望网络中的所有其他工作站都使用现有的 NAT 策略来允许对所有出站流量进行 NAT。

更新 基于@Zoredache 的回复,我现在有以下后路由规则。

-A POSTROUTING -s 10.10.1.10/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 1.2.3.4:80
-A POSTROUTING -s 10.10.1.10/32 -p tcp -m tcp --dport 443 -j SNAT --to-source 1.2.3.4:443
-A POSTROUTING -s 10.10.1.10/32 -p tcp -m tcp --dport 53 -j SNAT --to-source 1.2.3.4:53
-A POSTROUTING -s 10.10.1.10/32 -p tcp -m udp --dport 53 -j SNAT --to-source 1.2.3.4:53
-A POSTROUTING -s 10.10.1.10/32 -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE

他们还没有完全工作,但他们正在接近。我在下面对@Zoredache 的回复中有更多内容。

iptables
Martin Hope
Scott Forsyth
Asked: 2010-01-26 20:07:05 +0800 CST
  • 4

我在 Ubuntu 服务器上使用 iptables 将公共 IP 路由到私有 IP。我想对所有流量进行 nat,包括 80、443 和 ICMP。

但是,ICMP 似乎没有路由。我有一个稳定的 ping 到公共 IP 并且它永远不会停止,即使 NAT 指向一个虚假的 IP。

以下是我正在使用的规则:

iptables -t nat -I PREROUTING -d 206.72.119.76 -j DNAT --to-destination 10.240.5.5  
iptables -t nat -I POSTROUTING  -s 10.240.5.5 -j SNAT --to-source 206.72.119.76

我专门尝试了 ICMP 规则,但没有这样的运气: 

iptables -t nat -I PREROUTING -d 206.72.119.76 - icmp --icmp-type echo-request -j DNAT --to-destination 10.240.5.5

有任何想法吗?

router nat iptables icmp
Martin Hope
Scott Forsyth
Asked: 2010-01-11 22:27:12 +0800 CST
  • 3

我想为服务器上的 所有新用户将 IE 安全区域设置为中高。

这是一台独立的机器,最终我需要编写脚本。我不介意更改注册表或更新本地安全策略。

我在更新 HKCU 方面取得了一些成功

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\CurrentLevel

但这仅适用于当前用户。我看到可以将 IE 设置为仅对所有用户使用 HKLM,但我不想改变它。我想让它继续使用 HKCU。

创建新用户时使用的默认密钥在哪里?或者,我可以使用本地安全策略,例如:计算机配置\管理模板\Windows 组件\Internet Explorer\something?

internet-explorer
Martin Hope
Scott Forsyth
Asked: 2009-10-13 19:59:10 +0800 CST
  • 3

我想让 sysprep 向某处的服务器(SCCM、MDT 等)发出呼叫,该服务器在启动期间提供答案以获取要使用的计算机名称和 IP 地址。关于使用哪种技术或方法的任何指示?

更多信息:我希望能够在 VHD 上创建基本黄金映像并对其进行 sysprep 以使其断电。然后差异磁盘将指向这个休眠的 sysprep 映像。但是,在启动每个新虚拟机时,我想要一种方法来唯一地设置计算机名称和 IP,最好是通过 MAC 地址。

我可以在开机前挂载 VHD 并编辑 unattend.xml,但似乎 unattend.xml 已在上次关机时运行,并且未在启动时使用。

我的故障恢复计划是在启动后运行一个脚本,将其重命名,设置 IP 并重新启动。但是,如果可能的话,我想避免额外的重启。

sccm