В первую очередь, я предполагаю что знак #
прежде чем каждое правило не присутствует на конфигурационных файлах (оно комментирует что строка, делая это бесполезным).
Попытайтесь контролировать Вас сетевой трафик на прокси-сервере в обоих интерфейсах, общедоступных и частных. На общедоступной стороне:
# tcpdump -n -i <public interface> port 80
На частной стороне:
# tcpdump -n -i <private interface> port 80 and host 192.168.1.128
При выполнении запросов от внешнего мира Вы надеваете, видят любой трафик в частной стороне, затем необходимо проверить дважды:
Ядро позволяет передавать трафик (должен быть один):
cat /proc/sys/net/ipv4/ip_forward
Если это возвращается 0:
echo 1 > /proc/sys/net/ipv4/ip_forward
Политика по умолчанию для FORWARD
цепочка на таблице фильтра
iptables -nL | grep 'Chain FORWARD'
(согласно информации Вы, если, вместо ВПЕРЕД Вас должен видеть его на net2loc цепочке),
Если политика по умолчанию является ОТКЛОНЕНИЕМ / ОТБРАСЫВАНИЕ, ищите правило о ВПЕРЕД цепочка, которая позволяет передавать трафик на Сервер HTTP:
iptables -vnL FORWARD | grep 192.168.1.128
(снова, если ничто многозначительное не прибывает во ВПЕРЕД, проверьте net2loc).
Если это не возвращает строку (и политика является ОТКЛОНЕНИЕМ / ОТБРАСЫВАНИЕ), затем, Вы пропускаете правило, которое позволяет, Вы для передачи трафика... проверяете shorewall конфигурацию дважды. Установите loc
журнал к info
на конфигурационном файле политики вызовите правило:
iptables -A net2loc -i <public iface> -o <private iface> \
--dst 192.168.1.128 -p tcp --dport 80 -j ACCEPT
И посмотрите то, что происходит.
Альтернатива, при выполнении запросов от внешнего местоположения, и Вы видите его на частной стороне, которая подразумевала бы, что что-то еще неправильно (проверьте linksys политику переадресации маршрутизатора, маршруты, и т.д.).
Я не сделал бы то, что рекомендует @Alex, поскольку им рискуют. Вы освобождаете каждую трассировку того, кто получает доступ к Вам сервис поэтому, Вы освобождаете статистику. Если существует какое-либо нападение на Ваш сайт, невозможно определить, куда это прибывает из, просто смотря на Ваши журналы веб-сервера и много других причин. Обычно SNAT
от сетей общего пользования до частных мест назначения высоко препятствуется.
keytool
требует, чтобы цепочки сертификатов были предоставлены в формате PKCS # 7 (обычно .p7b
расширение файла), но он у вас есть как файл PEM (который скорее используется программным обеспечением, таким как Apache , nginx и т. д.).
Из руководства keytool
(опция -importcert
):
-importcert:
Читает сертификат или цепочку сертификатов (, где последний предоставляется в виде ответа в формате PKCS # 7 ) ...
Для преобразования файла вы можете использовать утилиту openssl
(если он у вас под рукой):
openssl crl2pkcs7 -certfile cert.pem -out cert.p7b -nocrl
Где cert.pem
- это ваш текущий файл сертификата, а cert.p7b
- тот, который нужно использовать для импорта.