位置: 编程技术 - 正文
防止Xen VPS用户自己修改IP地址的方法(vps禁用ipv6)
编辑:rootadmin推荐整理分享防止Xen VPS用户自己修改IP地址的方法(vps禁用ipv6),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:vps防止ip被墙,vps安全防护,vps怎么关闭防火墙,怎么开启vps防火墙的端口,vps防护,vps怎么关闭防火墙,vps防护,vps防护,内容如对您有帮助,希望把文章链接给更多的朋友!
作为 Xen VPS 服务商,我们分配独立的 ip 地址给 VPS,我们不希望 VPS 用户自己能随便修改 IP 地址,因为这样有可能和其他用户的 IP 地址造成冲突,而且造成管理上的不便,所以需要绑定 IP 给某个 VPS.
解决这个问题的办法有很多,从路由器、防火墙、操作系统、Xen 等层面都可以做限制。这里介绍的两个简单方法都是从 dom0 入手:一个是在 dom0 上利用 Xen 配置;一个是在 dom0 上利用 iptables.
利用 Xen 配置
Xen 上有个 antispoof 配置选项就是来解决这个问题的,不过默认配置没有打开这个 antispoof 选项,需要修改:复制代码代码如下:# vi /etc/xen/xend-config.sxp...(network-script 'network-bridge antispoof=yes')...修改 /etc/xen/scripts/vif-common.sh 里面的 frob_iptable() 函数部分,加上 iptables 一行:复制代码代码如下:# vi /etc/xen/scripts/vif-common.shfunction frob_iptable(){ ... iptables -t raw "$c" PREROUTING -m physdev --physdev-in "$vif" "$@" -j NOTRACK}修改完 Xen 配置后还需要修改 domU 的配置,给每个 domU 分配固定 IP 和 MAC 地址,还有 vif 名字:复制代码代码如下:# vi /etc/xen/vm...vif = [ "vifname=vm,mac=::3e:7c:1f:6e,ip=...,bridge=xenbr0" ]...很多系统上 iptables 在默认情况下都不会理会网桥上的 FORWARD 链,所以需要修改内核参数确保 bridge-nf-call-iptables=1,把这个修改可以放到 antispoofing() 函数里,这样每次 Xen 配置网络的时候会自动配置内核参数:复制代码代码如下:# vi /etc/xen/scripts/network-bridgeantispoofing () { echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables...}修改完毕后测试的话需要关闭 domU,重启 iptables 和 xend 服务,再启动 domU.复制代码代码如下:# xm shutdown vm# /etc/init.d/iptables restart# /etc/init.d/xend restart# xm create vm上面的方法在 Xen 3.x 上 测试有效,有人说在 Xen 4.x 上行不通,我们下面将要介绍的方法绕开了 Xen 配置,直接从 iptables 限制,在 Xen 3.x 和 Xen 4.x 上应该都可以用。
利用 iptables
首先在 dom0 上确定 iptables 已经开启,这里需要注意的是一定要在每个 domU 的配置文件中的 vif 部分加上 vifname, ip, mac,这样才能在 iptables 规则里面明确定义:复制代码代码如下:# /etc/init.d/iptables restart</p><p># vi /etc/xen/vm...vif = [ "vifname=vm,mac=::3e:7c:1f:6e,ip=...,bridge=xenbr0" ]...</p><p># vi /etc/iptables-rules*filter:INPUT accept [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [0:0]# The antispoofing rules for domUs-A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-out vm -j ACCEPT-A FORWARD -p udp -m physdev --physdev-in vm -m udp --sport --dport -j ACCEPT-A FORWARD -s .../ -m physdev --physdev-in vm -j ACCEPT-A FORWARD -d .../ -m physdev --physdev-out vm -j ACCEPT# If the IP address is not allowed on that vif, log and drop it.-A FORWARD -m limit --limit /min -j LOG --log-prefix "Dropped by firewall: " --log-level 7-A FORWARD -j DROP# The access rules for dom0-A INPUT -j ACCEPTCOMMIT</p><p># iptables-restore < /etc/iptables.rules当然,别忘了:复制代码代码如下:# echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
Linux查看系统日志的一些常用命令总结 last-a把从何处登入系统的主机名称或ip地址,显示在最后一行。-d指定记录文件。指定记录文件。将IP地址转换成主机名称。-f记录文件指定记录文件。-n
awk命令实现求和、求平均值、求最大值、求最小值 网络中这类文章很多,很难找到是哪位原作者总结的,就不贴转载链接了。1、求和复制代码代码如下:catdata|awk'{sum+=$1}END{print"Sum=",sum}'2、求平均复制代
Linux如何提高大文件的拷贝效率以节约时间 Linux系统操作中,当你在进行机器直接的拷贝时,遇到大文件的时候非常浪费时间,特别是将文件同时拷贝到多台机器上的时候,那么有什么好的方法能
标签: vps禁用ipv6
本文链接地址:https://www.jiuchutong.com/biancheng/367610.html 转载请保留说明!
