我试图学习如何使用思科ASA防火墙,我真的不知道我在做什么。 我试图设置一些出口过滤,目的是只允许最小量的networkingstream量,即使它来自内部接口。 换句话说,我试图设置dmz_in和inside_in ACLs,好像内部接口不太可靠。 我还没有完全掌握所有的概念,所以我有几个问题。 假设我们正在使用三个接口:内部,外部和DMZ。 假设我有一台服务器(XYZ1),它必须响应PING,HTTP,SSH,FTP,MySQL和SMTP。 我的ACL看起来像这样: access-list outside_in extended permit icmp any host XYZ1 echo-reply access-list outside_in extended permit tcp any host XYZ1 eq www access-list outside_in extended permit tcp any host XYZ1 eq ssh access-list outside_in extended permit tcp any host XYZ1 eq ftp access-list outside_in extended permit tcp any host XYZ1 […]
好吧,假设我有一个入口访问列表,如下所示: access-list outside_in extended ip permit any XYZ1 eq 25 access-group outside_in in interface outside 我想做出口过滤。 我想允许内部计算机响应端口80,我想允许端口超过1024.鉴于防火墙是有状态的,我需要有规则 access-list inside_in extended ip permit XYZ1 any eq 25 在我的inside_in ACL中,还是我可以逃脱只是 access-list inside_in extended ip permit any any gt 1024 access-group inside_in in interface inside 换句话说,如果我应用出口访问列表,是否必须明确允许机器响应入口访问列表允许的请求,或者防火墙的状态满足我的要求? 谢谢!
configurationAmazon Security Groups以实现多层体系结构的首选方法是什么? 我的每个实例都有自己的安全组,我只想使用特定于实例的规则。 我想保留适用于单独安全组中多个实例的任何规则,然后根据需要将其分配给实例安全组。 例如,我设置了一个名为“admin”的组,它允许从我的IP进行pipe理访问。 我将“admin”组添加为每个实例安全组的源。 但是,我仍然无法从我的IP访问实例,而无需将规则直接添加到实例组。 我错过了什么吗? 虽然看起来多层安全体系结构应该是可能的,但似乎并不奏效。
我有一个电缆连接运行到我们的FW。 我们正在取代与另一个光纤连接在一个单独的局域网上使用的连接。 电缆连接和局域网运行良好。 如果我连接光纤连接(他们正在NAT公共IP到他们给我们的私人),并设置IP地址掩码按照指示(他们给我们的本地IP地址)到笔记本电脑,它的工作,我可以冲浪如预期。 但是,我无法通过我们的FW获得连接。 我已经尝试了许多不同的configuration。 X0 < – 电缆 X1 < – lan X2 < – 纤维 X3 < – fiber_lan X0是广域网,我已经尝试X2作为广域网和作为单独的接口与静态IP设置为他们指示的本地IP – 不知道哪一个是正确的 – 都没有工作(可能是因为别的东西被错误configuration)。 然后路线: 这部分是令人困惑的…当被问到来源时,我假定交通将从哪里进入FW。 目的地,我假设数据包应该去的地方。 网关,我假设它应该去(?)的接口的GW。 接口,好吧,我想我假设应该使用的接口(不是它来的地方)。 所以X2的路线是这样的: 来源:X2 目标:X3子网 Svc:任何 网关:X3 GW 接口:X3 那么X3: 来源:X3 目的地:任何 Svc:任何 网关:X2 GW 接口:X2 根据数据包监视器,数据包看起来像从fiber_lan到WAN的正确目的地,但是没有任何东西回来。 此外,是否需要多播支持才能正常工作? 我们正在计划使用VOIP,所以如果重要的话,计划QoS。 谢谢。
所以我从Watchguard购买了一个新的XTM 21设备。 无论我在防火墙设置中应用什么规则,这个神兮兮的东西都不会路由任何stream量。 当系统日志没有崩溃,因为我正在查看它,我可以看到所有的stream量被一个叫做“内部策略”的策略阻止,这个策略在任何地方都不存在。 任何人有什么想法是怎么回事? 感谢:D
如何通过使用iptables为每个连接(实时)创build自定义规则来自动阻止所有传入stream量? 为了澄清 – 情况是,我的Linux机器正在通过端口80 DDOSed,我想设置iptables捕捉和阻止所有攻击机器人。 几个小时后(希望所有的僵尸程序都用完了),我解除策略,让合法的wwwstream量进入。 编辑:或者,如果你可以build议任何其他方式保护自己(可能)分布的SYN洪水。
我在VDS上运行一个普通的Apache + mod_wsgi + nginx网站,遇到一个奇怪的问题。 该网站从我的电脑,也从我们的经理人(谁使用不同的互联网服务提供商)正常工作。 但是,我们的一些网站用户向pipe理人员报告说,他们无法在浏览器中打开它很长一段时间,而同时它却是从我的电脑和pipe理人员那里得到的。 问题是:如何诊断(如果这个错误甚至是我的错误),如果我不可能(即使我想要)去问有问题的用户并从他们的电脑? 更新:谢谢你们的支持! 我将通过我们的经理与有问题的客户联系,在线进行build议的testing,然后在必要时提供更多信息。 更新#2:我设法联系有问题的客户之一,并与wireshark执行诊断。 事实certificate,这个麻烦是由于Firehol臭名昭着的get-iana.sh脚本中的一个bug造成的。 因此,某个IP地址范围被错误地标识为“已保留”。 一切工作正常…直到我们的本地ISP开始使用这些IP地址为他们的dynamicIP池和一些网站用户被locking。 作为善后事宜,我似乎不应该使用Firehol,因为它不再被维护,也不支持IPv6。 再次感谢大家的答案。
我在同一防火墙/路由器后面有两台机器 – 一台是Windows 7工作站,另一台是Windows 2003服务器。 问题是在Windows 2003服务器上使用FileZilla FTP 客户端 (注意:不是服务器)的传出 FTP访问。 使用Win7工作站上的FileZilla客户端,我可以使用被动模式连接到外部FTP站点,而不会出现问题。 但是,当我尝试从Windows 2003服务器上的FileZilla客户端尝试相同的事情时,它试图检索目录列表时挂起。 日志输出如下: Status: Resolving address of xxxxx.com Status: Connecting to xxx.xxx.xxx.xxx:21… Status: Connection established, waiting for welcome message… Response: 220———- Welcome to … Command: USER … Response: 331 User … OK. Password required Command: PASS ************* Response: 230 OK. Current directory is […]
当写一个iptables(1)脚本,如果你打算检查无效的源IP地址,你应该这样做之前或之后接受build立的stream量,为什么?
我正在考虑将Rackspace云服务器用于某些基于Windows的虚拟主机,而之前使用Amazon EC2进行过类似的项目,我很失望地发现Rackspace不采用基于EC2安全区域的防火墙方法。 我认为可以在Rackspace环境中添加一个低规格(廉价)的Linux机器,并将其设置为Windows机箱的防火墙/网关,以便Linux机箱的外部IP成为单一入口Windows机器,但是我现在无法快速完成任务。 这可能是我缺乏Linux知识,但经过一天的Linux桌面提供的各种味道的iptables修补,我不能得到像转发80端口的请求到我的Windows Web服务器的内部地址工作简单的东西。 有没有其他人有这样的设置成功,或有任何想法更好的策略?