供应商正在请求允许DMZ中的服务器与内部networking之间的持续tcp(而不是端口80)连接。 我对这个设置没有太多的经验。 任何人都可以阐明允许持久连接的缺点吗? 指导是非常apprciated。
我有一个与媒体寺庙和plesk防火墙模块的dv服务器造成了一吨的悲痛,它用于工作,不再是…无法通过模块编辑防火墙规则等 卸载这个模块,我认为是什么被称为psa-firewall服务,防止防火墙工作? 其运行centos 5和防火墙看起来是iptables。
我们最近从WatchGuard X5500e Peak防火墙设备升级到Cisco CSA模块的Cisco 5500 ASA。 ASA运行8.2软件,CSC运行在6.3.1172软件上。 几周后,我们终于得到了一切稳定,拉了头发,咬牙切齿,现在正试图设置一些优先级较低的项目。 有了这个防护装置,我们就可以用浏览器访问一个内部网页,并通过防火墙进行身份validation,从而绕过filter。 当这里的教室需要访问stream媒体或执行官需要我们下载video时,这很有用。 我正在尝试设置类似的东西,但是我对ASA这样的思科设备相当缺乏经验,所以我不确定它是否被视为VPN连接或某种ACL。 理想情况下,我们希望设置多个限制曝光,而不是一个使用时打开。 我做了一个search,找不到与这里提到的其他问题有关的任何东西,而且我也没有运气。
我虽然我过滤了25端口smtp,但是当我运行iptables -L列出活动防火墙规则,我仍然在我的结果中得到以下内容: ACCEPT tcp — anywhere anywhere tcp dpt:smtp 不应该被删除,我在我的shell脚本中注释了以下规则,保存并重新加载iptables # iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT # iptables -A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT 更新:我使用的脚本是在这里,唯一的区别是,我注释了端口25行http://linode.com/wiki/index.php/CentOS_IPTables_sh
我有一个完美的工作iptables,但服务器重新启动后,不会开始给我Setting chains to policy ACCEPT: security raw nat mangle fi[FAILED]错误。 我没有改变/etc/iptables任何东西。 我卸载iptables yum uninstall iptables ,并再次安装它。 现在更糟糕:(我得到: Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: security raw nat mangle fi[FAILED] Unloading iptables modules: Opening /proc/modules: No such file or directory grep: /proc/modules: No such file or directory Opening /proc/modules: No such file […]
我正在设置Zabbix来监视我们的networking。 到目前为止,一切进展顺利,代理安装在所有服务器上。 除Forefront之外的所有服务器都与Zabbix服务器进行通信。 我无法通过端口10050上的Telnet连接到Forefront计算机,这是Zabbix Agent工作所需的。 在我的Forefrontpipe理器中,我添加了一个名为Zabbix-Agent的协议,它具有TCP 10050,入站和UDP 10050,接收发送 。 然后我创build了一个新的访问规则 ,称为Zabbix 。 在“ 协议”选项卡下,我select了选定的协议,并添加了之前添加的Zabbix-Agent协议。 在“ 发件人”标签上,我添加了“ 内部” 。 在To *选项卡上,我添加了**本地主机 。 这是规则没有。 1在我的configuration。 当我去疑难解答和交通模拟器 ,我的模拟情况是非Web访问从我的Zabbix服务器的IP地址,到端口10050,我的Forefront服务器的IP地址。 testing拒绝stream量如下所示: 被拒绝的交通 规则名称:默认规则 规则顺序: 6 附加信息 来自:内部 到:本地主机 networking规则名称:无 – 隐含路由(本地主机stream量) networking关系:路线 协议:不明身份的IPstream量 规则应用filter: 这里给我的感觉是它将协议视为“ 未知IPstream量” ,而我明确定义了该协议。 我做错了什么是阻止我需要的访问?
我已经在Internet服务器上运行8090端口上的专有服务(实际上运行在VBoxHeadless虚拟机上并从主机捕获此端口)。 Nmap显示端口8090在主机和虚拟机上均打开。 服务看起来开始(如果问,停止)好的。 Telnet能够从远程客户端连接到端口(但是没有数据显示在telnet中,所以我可以确定它是否在工作)。 其他服务(如Postfix和Dovecot)也在虚拟机上工作(Debian Lenny虽然,而我感兴趣的主机和客户运行Ubuntu Lucid)工作正常,在同一个虚拟机上的Samba共享工作正常。 但是一个客户端(Windows,通过OpenVPN连接到主机(Samba正常工作 – 通过Internet正常工作))说它不能在8090端口上访问那个服务。 什么可以阻止它? 可能是一些应用程序装甲/ selinux / hosts.allow事情呢? 该服务是100%手动安装(按照手册),没有脚本)。 更新 ,更具体。 我刚刚设置了大部分默认configuration,没有特别的路由/防火墙。 OpenVPN的客户端和服务器configuration是来自OpenVPN的文档(他们一次工作,当我不使用虚拟机),iptables规则(主机和虚拟机)现在设置接受所有,什么也不做特别的,我只打算保护他们在我得到系统工作之后。 hosts.allow / deny似乎是空的(所有东西都是#-ed,因为它离开盒子)。 正如我上面指定的,OpenVPN tunnell似乎工作正常,因为ping到那里没有问题,访问Samba超过445端口工作正常(虽然它不能通过互联网工作,如果没有使用OpenVPN的话)。 在OpenVPNconfiguration中没有设置特殊的访问/路由规则,在iptables中也没有。 路由scheme很简单 – 客户端请求服务器主机(可以通过它运行的OpenVPN访问,也可以直接通过互联网访问),然后VirtualBox的natpf规则捕获特定的端口并把它们带到虚拟机(有2个虚拟机,没有冲突,一个运行邮件服务器,另一个运行Samba + FireBird + AbraAppServer(最后一个是实际有问题的服务))。 关于app-armor / selinux或者Ubuntu Lucid中的任何东西,我都没有什么知识 – 可能是这样吗? 请记住,如果它在那里,它默认设置,就像在Ubuntu 10.04服务器的开箱即用。
我启用我的Windows 7防火墙默认情况下阻止所有出站连接。 我在“具有高级安全性的Windows防火墙”mmc中configuration每个需要networking访问的程序。 问题有时我不能find需要networking访问的程序。 我启用了防火墙日志logging,但该日志文件不包含被阻止的进程的PID。 2010-08-26 17:57:33 DROP TCP 192.168.1.200 24.143.204.147 64883 80 0 – 0 0 0 – – – SEND 2010-08-26 17:57:33 DROP TCP 192.168.1.200 24.143.204.129 64884 80 0 – 0 0 0 – – – SEND 2010-08-26 17:58:10 DROP TCP 192.168.1.200 24.143.204.147 64885 80 0 – 0 0 0 – – – […]
升级一个正在运行的5.3.1的Pix到8.0.4。 内存/ IOS升级进行得很顺利,但8.0.4configuration并不完全正常。 它所基于的5.3.1configuration工作正常。 基本上,我有三个networking(内部,外部,DMZ)与dmz静态映射到外部地址上的一些地址。 问题似乎是,这些地址无法发送或接收来自外部(互联网)的stream量。DMZ上没有静态映射的东西似乎工作正常。 所以,基本上: 内部 – >外部:工程内部 – > DMZ:工作DMZ – >内部:工作,在规则允许DMZ(非静态) – >外部:工程 但: DMZ(静态) – >外部:失败外部 – > DMZ:失败(所以说,udp 1194stream量到.102,http到.104) 我怀疑有一些我configuration的NAT /全局部分,但不能为我的生活弄清楚什么。 帮助,任何人? 完整的configuration如下。 感谢您的任何想法! ! PIX版本8.0(4) ! 主机名防火墙 域名asasdkpaskdspakdpoak.com 启用密码xxxxxxxxencryption passwd xxxxxxxxencryption 名 ! 接口Ethernet0 外面的名字 安全级别0 IP地址XX.XX.XX.100 255.255.255.224 ! 接口Ethernet1 名称里面 安全级别100 IP地址192.168.68.1 255.255.255.0 ! 接口Ethernet2 名称dmz 安全级别10 […]
我有hmailserver设置和接受projectattack.co.uk域的电子邮件 – 我可以连接到服务器端口110 pop3同时使用gmail和mail.app在OSX上 我有一个cname指向smtp projectattack.com并打开端口25接受传入的stream量:smtp.projectattack.co.uk 我的服务器托pipe公司提供一个中继,不需要authentication,因为他们只接受消息从ips在他们的networking中继。 此中继已在pipe理员应用程序的“邮件/ SMTP关联者传送”下configuration 我的服务器有一个静态IP 我不能让我的电子邮件客户端连接到传出的SMTP服务器的hmailserver。 有什么超出我在这里提到的,我需要configuration?