我有一个远程位置的HP ProCurve 2610,通过SHDSL连接到networking的其余部分。 这个网段有两个三层networking。 ACL设置为拒绝一个子网(192.0.2.0/24)由于应用于连接到上游连接的端口而离开交换机。 另一个子网应该被允许自由离开交换机。 两个子网都在同一个VLAN上。 不幸的是,SFlow非常清楚地显示了上行连接上来自192.0.2.0/24的广播stream量。 ProCurve ACL并不是我的强项,但我觉得我错过了一些非常简单的东西。 ip access-list extended "Filter for Camera Network" deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit interface 24 name "DSL – UPLINK" access-group "Filter for Camera Network" in exit 除非我误认为来自192.0.2.0/24的stream量应该通过上行链路端口(int 24)而被丢弃,而所有其他stream量将由以下默认允许规则来允许。 我在这里错过了什么? 编辑: 首先,为什么你在同一个VLAN中包含两个子网? 因为这是以前的pipe理员configuration的方式,虽然从概念上讲,单个子网“映射”到单个VLAN,但没有任何技术上的限制,我知道这是必须的。 您应该过滤出站stream量,而不是在您的上行链路上过滤入站stream量。 HP2600系列只能过滤接口上的入站stream量。 我应该改变我的filter否认任何192.0.2.0/24?
以下是我的防火墙规则。 eth1是WAN接口,其他都是LAN接口。 我只想在eth1 (WAN接口)上过滤INPUT和FORWARD链。 所有其他interfces不需要防火墙。 我的代码示例如下工作正常。 但是我觉得我不需要这么多的规则就可以在eth1启用过滤function。 那么我怎么能只使用less量的iptables规则在eth1上启用过滤呢? iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A […]
为什么要在使用“port”时在“tcpdump”filter中强制“tcp”,因为端口号是在TCP Headers(而不是IP)中定义的, 换句话说,是的 tcpdump tcp and port 10000 同义词 tcpdump port 10000
我试图过滤掉我的本地机器的IP地址192.168.5.22 。 我用ip.src != 192.168.5.22|| ip.dst !=192.168.5.22 ip.src != 192.168.5.22|| ip.dst !=192.168.5.22 ,我一直看到我的地址popup。
什么是configurationIIS阻止对服务器的直接IP访问的最佳方式? 直接IP访问只能被恶意扫描器使用,恶意扫描器会通过ip查找容易受到攻击的服务器来恶意攻击整个互联网。 我昨天站了起来,只是昨天没有在互联网上的任何地方使用服务器,并已经在我的错误日志中find“/MyAdmin/scripts/setup.php”。
让我认定我是一名开发人员,所以我可能是天真的。 我有一个程序,需要我们的本地networking上的TCP通信,并且这个盒子不需要是安全的。 过去我有一些API供应商build议我closuresBFE服务,因为在我们前面提到的情况下这是不必要的。 尽pipe如此,我们的pipe理者关心的是风险。 开启或closures有什么风险? 我需要可靠的TCP。 我不相信BFE和Windows防火墙。
在Wireshark版本1.12.4中,我试图用SSDP协议来过滤掉数据包。 当我单击filter字段旁边的expression式button,select“HTTP”(作为字段名称)和“存在”(作为关系),我仍然得到SSDP。 大多数消息是SSDP,所以很难排除我在意SSDP在列表中的请求和响应数据包。 https://www.wireshark.org/download.html
我没有太多的工作与SNORT或做了太多的研究,但这听起来有可能。 如果我设置一个服务器,并运行snort。 那么是否有可能将所有的stream量通过它像一个防火墙路由到我的网站? 这是否允许我有一个中心点来过滤掉所有不好的stream量? 至于转发去,我应该使用GRE隧道还是有更好的方法? 如果可能,我想尽量保持客户的知识产权。 因此,我可以运行HA Proxy / nGinx作为转发网站stream量的方式,将客户端IP保留在数据包中,而不是以每个客户端作为代理服务器的IP。
在我发布这个问题之前,我在网上阅读了几个设置指南,鱿鱼docs,c-icap docus和ICAP RFC(3507)。 不幸的是,SQUID和C-ICAP的文档在涉及到URL过滤方面并没有提供太多的例子,只是涉及到使用ClamAv的简单设置。 所以,我想弄清楚如何使用Squid和C-ICAP服务器设置简单的URL过滤。 具体来说,我开始尝试使用SquidGuard数据库(而不是Squidguard程序)作为黑名单的来源。 我有Squid设置和运行(代理)就好了,我有C-ICAP设置和运行(响应选项请求)就好了。 不过,我不知道为什么URL过滤没有运行,因为我已经尽可能地遵循了这些示例。 对于ICAP,我的squid.conf设置如下: #Icap Options icap_enable on icap_service svcBlocker reqmod_precache icap://127.0.0.1:1344/srv_url_check bypass=off 在c-icap.conf文件的底部,我已经包含了我想要使用的icap服务: # End module: ldap_module #URL Check Services Include srv_url_check.conf 我已经按照c-icap文档设置了srv_url_check.conf文件: # Default: #None set #Example: url_check.LoadSquidGuardDB audio-video /home/dranfu/Downloads/blacklists/audio-video/ 当我向C-ICAP发送选项请求时,它工作正常: ICAP server:localhost, ip:127.0.0.1, port:1344 OPTIONS: Allow 204: Yes Preview: 1024 Keep alive: Yes ICAP HEADERS: ICAP/1.0 200 […]
我想在(VirtualBox)虚拟机中使用m0n0wall来玩玩,看看它能做什么。 最终的目标是让大量虚拟机连接到内部虚拟networking,并通过m0n0wall虚拟机,然后通过NAT或主机上的桥接addaptor将m0n0wall虚拟机连接到互联网。 我可以找出如何设置局域网和广域网地址,但是这似乎只是将m0n0wall用作连接到另一个路由器的路由器。 我们来看看是否可以这样描绘: [虚拟机] – > – > – 内部虚拟机networking – > – > – [m0n0wall虚拟机] – > – > – 桥接/ NAT添加器 – > – > – [“真正的路由器” – > – > – Internet 。 任何人都可以build议我应该怎么做,或者我认为m0n0wall是不是要这样使用?