我重新安装了一个基于CentOS的ClearOS盒子。 以前的安装运行良好3年,没有一个小故障,但我可能会错误地configuration这个安装的东西,因为事情不能正常工作。 禁用内容过滤时,浏览互联网不起作用。 我以前能够浏览而无需通过代理,但是这不再工作,除非启用了Web代理。 同样sshstream量。 这更严重:本地networking无法连接到外部ssh服务器。 看来端口22是不被允许出来,但我有防火墙设置为允许所有外部stream量。 相关的configuration发布如下,路由和iptables列表。 iptable的: [root@alcastraz ~]# iptables –list -n -v Chain INPUT (policy DROP 223 packets, 9229 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all — eth0 * 0.0.0.0/0 46.241.27.20 0 0 DROP all — eth0 * 46.241.27.20 0.0.0.0/0 0 0 DROP all — […]
我在两个独立的VLAN中有两个域控制器。 DC(域控制器)之一是赢得2003年和其他赢得2008年r2.Win 2008 r2是只读域控制器,并在相同的域作为赢得2003年。现在我想configuration防火墙,以便在VLAN之间的防火墙复制安全请帮忙? 我指的是我应该打开哪个端口和连接的方向? 谢谢
我正在使用IPtables作为基本的防火墙,我在这些IP上尝试了FTP,SSH等等。 为了确保我的监控服务,我的静态IP地址和DNS不会被不好的规则阻止,我已经接受了顶部的规则。 在下面我有我的拒绝和日志规则。 我有一些IP地址,我看到通过端口80build立一些随机的PERL连接,我有他们在日志中。 我已经放在这些IP的块,但他们继续连接到我的服务器,有什么想法? 我已经检查了规则集,除了底部允许所有规则外,没有看到任何其他的允许。 日志条目 Mar 16 04:00:01 srv01 kernel: IN=eth0 OUT= MAC=00:14:22:73:02:3d:68:ef:bd:2c:67:bf:08:00 SRC=91.121.123.94 DST=174.133.52.170 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=TCP SPT=80 DPT=52560 WINDOW=5792 RES=0x00 ACK SYN URGP=0 Mar 16 04:00:46 srv01 last message repeated 7 times Mar 16 04:01:34 srv01 last message repeated 2 times Mar 16 04:03:10 srv01 kernel: IN=eth0 […]
我试图调整我的iptables防火墙,以提高我的服务器的安全性,我发现这里有点问题:我必须设置input策略ACCEPT ,此外,有一个规则说iptables -I INPUT -i eth0 -j ACCEPT 。 这里是我的脚本(手动启动testing): #!/bin/sh IPT=/sbin/iptables echo "Clearing firewall rules" $IPT -F $IPT -Z $IPT -t nat -F $IPT -t nat -Z $IPT -t mangle -F $IPT -t mangle -Z $IPT -X echo "Defining logging policy for dropped packets" $IPT -N LOGDROP $IPT -A LOGDROP -j LOG -m limit […]
无法从与外部IP对应的其他内部主机位于同一networking的内部主机访问外部IP,这是否正常? 例如:说我正在一个内部networking的小部件公司,并希望访问一个名为widget1.local的内部主机与一个NAT的公共IP的widget.com。 不能这样做是正常的吗?
我想在我的EC2实例上运行一个Java应用程序。 应用程序接受端口54321上的套接字连接。如果我尝试连接到它,超时。 我的安全组设置为: TCP Port (Service) Source Action 21 0.0.0.0/0 Delete 22 (SSH) 0.0.0.0/0 Delete 80 (HTTP) 0.0.0.0/0 Delete 20393 0.0.0.0/0 Delete 54321 0.0.0.0/0 Delete 还有什么我需要做的? # iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts […]
我们的客户有一台Cyberoam CR 50ia设备,可随时从局域网中卸下。 该设备的Web界面无法访问,它失去了互联网连接,并且不能通过局域网ping通。 我们将固件从10.01.2 build 133更新到10.01.2 build 158,但是这并没有帮助。 事实上,它更频繁地脱机,所以我们恢复到10.01.2版本133。 有人可以帮我解决这个设备? 是否有一些可以调查的后端日志?
例如有这些命令: policy-map type inspect IN-OUT_PlcyMAP class type inspect IN-OUT_ClassMAP inspect <—— policy-map type inspect IN-OUT_PlcyMap class type inspect IN-OUT_ClassMAP pass <—— zone security INSIDE zone security OUTSIDE zone-pair security IN->OUT source INSIDE destination OUTSIDE service-policy type inspect IN-OUT_PlcyMAP “inspect”,“pass”,“drop”,“log”和“reset?”之间有什么区别? 我在Google上找不到关于此的任何信息。
我已经使用Debian pptpd安装了一个VPN服务器。 这一切都有效,但我想限制传入的连接,以便他们只能访问VPN服务器上的端口,而不能访问VPN服务器本地networking上的其他机器。 我猜这是防火墙规则? 但我是新来的Linux,所以我挣扎了一下… – – 附加信息 – – – VPN服务器也托pipe一个SVN服务器,这是它的真正目的,也是我希望它暴露给传入连接的唯一服务。 我想我可以直接暴露SVN服务器,但是我并不确定我能否正确保证这一点,所以VPN似乎给了额外的安全层。
我试图在防火墙(ASA 5505,v8.2)中打开一个漏洞,允许外部访问Web应用程序。 通过ASDM(6.3?),我添加了服务器作为一个公共服务器,它创build一个静态的NAT条目[我使用公共IP分配给'dynamicNAT – 传出'的局域网,经过确认思科论坛,它不会把每个人的访问崩溃]和一个传入的规则“任何… public_ip … https …允许”,但交通仍然没有通过。 当我查看日志查看器时,它表示拒绝访问组outside_access_in,隐式规则,即“any any ip deny” 我没有太多的思科pipe理经验。 我无法看到我错过了什么让这个连接,我想知道是否还有什么特别的,我不得不补充。 我尝试在该访问组中添加一个规则(几个变体)以允许https访问服务器,但是它从来没有改变。 也许我还没有find正确的组合? :P 我也确保Windows防火墙在端口443上是开放的,虽然我很确定目前的问题是思科,因为日志。 🙂 有任何想法吗? 如果您需要更多信息,请告诉我。 谢谢 编辑:首先,我有这个落后。 (对不起)访问组“inside_access_out”阻止了stream量,这首先使我感到困惑。 我想我在input问题的时候再次迷茫了自己。 我相信这里是相关的信息。 请让我知道你看错了什么。 access-list acl_in extended permit tcp any host PUBLIC_IP eq https access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any access-list acl_in remark Allow Vendor connections to LAN access-list […]