我有一个奇怪的情况,我不知道如何解决。 通常这可以通过子网ACL来实现 – 但是它们不是有状态的。 我需要“回复”build立的数据包,以允许返回(如典型的防火墙) 我有一个公共和私人子网。 公众需要连接到互联网,所以我有出站允许0.0.0.0/0,但我想限制出站的特定子网(例如10.100.1.0/24和10.150.2.0/24) 我当然可以在ACL中设置它,因为它允许“拒绝”,但是它不允许回复数据包,因为它不是有状态的。 是在其他内部子网上用“入站”规则来控制这个唯一的select吗? 对于我们不同的networking来说,这样做会有更多的规则,因为只要将其限制在出站networking上就会更清洁。 任何想法都是受欢迎的,包括重新devise整个事情(这是绿地) 下面的评论要求进一步澄清环境需求,所以这里是要求我build立的环境: 把它想象成一个地方和DMZ: 公共子网10.200.0.0/24中的实例无法启动到私有子网10.100.0 / 24的新的出站连接。 私有子网10.100.0.0/24中的实例可以启动到公有子网的新的出站连接(ssh,部署代码等)。 公共子网需要自由发起到互联网的出站stream量 由于ACL的限制,如果我阻止从public> private出站,它将不允许返回数据包(因为它不是有状态的) 现在我唯一能想到的是在实例本身中依赖于iptables和windows防火墙,这是可能的,但是很难pipe理。 另一个想法是在EC2(更多$$)内部署软件防火墙,以有状态的方式允许/拒绝stream量。 另一台机器来pipe理。 另一个想法是让安全组拒绝来自公有子网的入站stream量进入专用子网的stream量,这个子网必须在私有子网内的所有实例上被允许。 问题是安全组没有拒绝规则。 再次不理想。 要么具有有状态ACL,要么允许安全组拒绝规则将完全解决问题。 不幸的是,在当前的AWS基础架构中都不可能。
在10.12服务器上设置macOS afctl(自适应防火墙)。 我们在10.11服务器上遇到了这个问题,许多在线讨论都报告说,这个东西在10.10和10.11上没有发挥作用。 所以我在10月12号踢轮胎 (是的,我们知道10.13已经出来了,我们已经决定让其余的人成为下一天的试验品)。 我有手动添加IP地址的工作,但我需要触发afctl规则与login错误,以确保新的malefactor被添加。 我不知道如何做到这一点。 我只是故意搞砸了一个SSHlogin几次,但它并没有阻止我的IP。 所以我正在考虑编写一个ssh攻击脚本,或者可能会ping服务器(今晚晚些时候,没有人会介意是否会减慢办公室networking的速度)。 任何想法,我怎么能做到这一点? 是的,这只是为了白帽的目的。
我有一个Ubuntu 16.04服务器运行多个以太网卡都连接到互联网与不同的IP地址。 我想configuration特定的用户使用特定的卡,以便他们将有不同的IP公开。 我怎么设置呢? 我能find的最接近的是做SourceBasedRouting,但我不知道我是否在正确的轨道上。
我在Centos 7.4上有一个TFTP服务器。 TFTP服务器启动并运行,并尝试访问文件,连接本地主机上运行良好。 但是,如果我尝试从另一台服务器访问TFTP服务器,我会得到一个时间。 防火墙configuration正确,端口可以访问。 cat /etc/xinetd.d/tftp service tftp { socket_type = dgram protocol = udp port = 69 wait = yes user = root server = /usr/sbin/in.tftpd server_args = -s /tftpboot disable = no per_source = 11 cps = 100 2 flags = IPv4 } cat /etc/xinetd.conf defaults { log_type = SYSLOG daemon info […]
我有一个运行CentOS 7的x86_64系统。 我已经安装并configuration了 R和RStudio Server ,但是无法通过http://<server-ip>:8787访问它,正如文档中的build议 。 我在Google Chrome上遇到以下错误: This site can't be reached <server-ip> refused to connect. Search Google for 206 196 8787 ERR_CONNECTION_REFUSED 我尝试并validation了许多networking,防火墙设置。 但是,似乎没有任何工作。 R在系统上工作 ~$ R R version 3.4.1 (2017-06-30) — "Single Candle" Copyright (C) 2017 The R Foundation for Statistical Computing Platform: x86_64-redhat-linux-gnu (64-bit) R is free software and comes […]
那么我已经花了最后48小时试图debugging,但我现在要放弃了。 在我国的移动运营商有一个日常的社交捆绑,我们可以只使用whatsapp,facebook和snapchat&twitter无限。 所有其他域和IP都可以通过这个包进行访问。 这意味着他们有某种防火墙或URL过滤,只允许这些特定的URL。 但是有一个付费的android VPN可以通过他们的防火墙成功连接。 所以我configuration了我自己的OpenVPN服务器,但是无法连接到这个包上的目标VPN服务器。 我无法从防火墙ping通IP。 通常我的openvpn就像wifi和其他没有这种防火墙的数据包一样的魅力。 所以我的问题是这个其他支付VPN是如何绕过ISP防火墙的,只允许像whatsapp facebook这样的域名。 我认为必须有某种代理或防火墙漏洞。 我怎么能从其他VPNfind这个洞? 我试图捕获来自android的数据包,但无法看到任何数据包,因为数据包捕获工具还安装vpn像监视器在android&他们不能捕获这样的数据包。
从NEredirect, 我在使用websocketbuild立连接时遇到问题。 netstat控制台输出 仅供参考,我们希望连接的目标是10.121.244.17:45678这是一个套接字服务器的实例。 有问题的可执行文件覆盖在红色,让说,代表ABC.exe。 正如你在控制台中看到的,这两个连接到套接字服务器的请求都被redirect到了116.206.196.77:3128,我不确定它是否是防火墙。 这是因为我已经使用puttyTel.exe来testing套接字服务器的连接,并且它可以在控制台输出中看到。 另外,ping到116.206.196.77的地址返回请求超时。 因此,有什么办法可以知道什么时候SYN请求被redirect到这个地址?
这是我目前在FreeBSD 11.1-RELEASE上的pf.conf 。 它允许来自OpenVPN / UDP和SSH的传入连接,并允许private / vpnnetworking上的所有内容(分别为vtnet1和tun0 )。 麻烦的是,我无法通过ipv6连接到OpenVPN或SSH。 如果我观察openvpn日志或在SSH上使用-v ,则会看到IPv6地址超时,然后下降到IPv4。 block all # allow all from host itself pass out inet all keep state pass out inet6 all keep state # allow all from private pass in quick on vtnet1 inet from any to any keep state # openvpn pass in quick proto […]
在为预算有限的相对较小的办公室(15-20名用户)devise和设置dmz时需要考虑什么? 通过dmz的networkingstream量将是入站smtp(毫秒交换),入站http / s(owa),出站互联网stream量。
我们的E1连接正在被我们的防火墙*closures。 它每隔几天就会间歇性地发生。 我发现像这样的日志条目大约在退出的同一时间: Jun 2 09:53:35 sg580 kernel: Flood – dropped: IN=eth1 OUT= MAC=00:d0:cf:04:7c:13:00:15:2b:ff:97:68:08:00 SRC=61.162.229.252 DST=221.133.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0 总是从相同的SRC IP呢! 我们被DOS攻击了吗? 我们能做些什么呢? 谢谢, 阿什利 *我们的防火墙是SnapGear SG580