我想知道在多个服务器上pipe理一个IP地址白名单的最佳做法是什么? 我们希望允许我们的用户群通过网页界面添加他们希望列入白名单的IP地址,然后将该IP地址添加,删除或修改为所有服务器。 我正在考虑编写一个脚本来通过python或者bash来实现,并且使用无密钥的sshlogin到每个服务器,并且应用这些规则,但是一定有一个更好的方法来实现这个。 有什么build议? 谢谢大家!
我在专用服务器上有一个MySQL数据库,我想要复制到Amazon RDS以始终拥有最新的备份。 为此,Amazon RDS需要能够连接到我的主MySQL服务器。 我不想将MySQL端口3306打开到全世界,因为即使MySQL有自己的权限,如果在MySQL中发现安全问题,我认为这是额外的安全风险。 所以我想添加一个规则到iptables允许来自*.rds.amazonaws.com所有连接。 但据我所知,即使iptables允许指定一个主机名而不是一个IP地址,它会在创build规则时解决,而不是在检查数据包时解决。 而由于RDS的devise方式,RDS实例主机名背后的IP地址可能会在其生命周期中发生变化,所以这不是一个好的解决scheme。 我有什么替代品只能打开我的MySQL服务器到RDS?
我有一个pfSense防火墙,有一个广域网与多个公共IP地址。 我使用NAT将某些外部IP端口转发到内部IP。 除了同一个国家,我可以连接任何地方 当我国内的任何人尝试连接到任何外部IP地址和端口时,它们都不成功。 我已经捕获了广域网接口上的数据包,我看到他们进来。 我已经加倍检查,确实有一个广域网规则,允许访问的端口NAT到我打算他们的服务器。 我们没有Geo IP检查或任何基于IP地址的规则来阻止到这些服务器的stream量。 – 我注意到了工作连接和非工作连接的区别 在pfSense上使用数据包捕获(用###。###replace一些数字,这些数字全部是相同的数字) Non working connection: 22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0 22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28 Working Connection: 22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0 22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460 从另一个端口上的一个PC到另一个WAN IP地址(Same PFSense)的另一个连接 Non Working computer 09:39:05.612067 IP 190.87.162.111.2463 […]
我最近安装了一个ASA 5505.但现在我有用户被阻止/从互联网上踢。 我能做些什么来防止这种情况? 这里是运行configuration: 命令结果:“sh run” : Saved :ASA Version 9.0(1) ! hostname ciscoasa enable password ————- encrypted passwd ———— encrypted names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! interface Vlan1 nameif inside […]
考虑到数千台embedded式服务器以及系统pipe理员希望远程访问的防火墙后面的服务器集群的全球分布。 重点是login和诊断操作的远程访问,反向代理或vpns可以工作,但可能无法扩展到20K +设备。 我不了解服务器监控解决scheme如何“知道”连接到远程服务器代理。 我在想,某种forms的周期性“我在这里”消息给系统pipe理员操作中心可以通过远程防火墙提供访问路由。 也许周期性的反向SSH隧道可以提供一个半永久性的会话,以便opcenter(网关)的系统pipe理员可以随时连接到设备。 在这种情况下,网关服务器不需要处理数千个并发的“端口”连接。 这个function的一个类比是Teamviewer服务,您可以看到已知远程设备的列表。 任何有关SSH的类似解决scheme的build议,非常感谢。
我无法理解,为什么在过去的几天里,我的服务器的防火墙吞吐量显着增加,而包括stream量在内的其他一切都保持在正常的水平。 什么情况下可以导致稳定的stream量,但增加防火墙吞吐量 我给你看两个每月的慕尼黑图: 在aprox偷看。 每天凌晨4点来自夜间工作。 他们是正常的。 防火墙吞吐量从之前的小于15包/秒增加到现在的30+包/秒,而stream量仍然保持在正常水平,这并不是正常的。 我的服务器是远程服务器场中的虚拟根服务器。 操作系统是Linux Ubuntu 14.04 LTS。 Webserver是Apache。 邮件服务器后缀。 所有模块在其最新版本。 在过去的几周里,我没有改变任何设置。 最后一次重启(更新所有软件包后)是在2月4日。奇怪的行为开始于2月9日上午。我再次更新所有软件包昨天(不重新启动),但这并没有影响高防火墙的吞吐量。 编辑 (回答评论): 这是'iptables -nvL'的结果: root@myServer:~# iptables -nvL Chain INPUT (policy ACCEPT 10M packets, 2883M bytes) pkts bytes target prot opt in out source destination 3860K 499M fail2ban-apache-nohome tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 3860K 499M […]
如果firewalld服务无法在CentOS 7启动,会发生什么? networking仍然会运作吗? 防火墙规则是否仍会部分执行? 如果防火墙规则没有执行,是否有办法自动closuresnetworking服务?
在我的VM主机上,我有两个libvirt虚拟networking: virbr0:192.168.122.1/255.255.255.0 virbr1:192.168.130.1/255.255.255.0 我在每个虚拟networking背后都有一个虚拟机。 机器可以看到主机,并看到互联网。 但是,当我尝试从一个networking连接到另一个networking时,即使连接到我所知道的端口,我也会得到“拒绝连接”。 我禁用UFW(主机是Ubuntu),仍然失败。 没有logging,所以我不知道哪个规则阻止它。 我的FORWARD块(我假设由virtlib创build)是: Chain FORWARD (policy ACCEPT) target prot opt source destination DOCKER all — anywhere anywhere ACCEPT all — anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all — anywhere anywhere ACCEPT all — anywhere anywhere ACCEPT all — anywhere 192.168.122.0/24 ctstate RELATED,ESTABLISHED ACCEPT all — 192.168.122.0/24 anywhere ACCEPT all — […]
我正在7000端口上运行一个应用程序,它是networking的一部分。 所以它必须通过端口7000与networking的所有其他服务器(不是局域网,dynamicIP)进行通信。 它也有一个web前端,你可以在http://my.ser.ver.ip:7000访问,但我想阻止访问Web前端。 如何不阻止我的应用程序呢?
ASA 5505被用于在两个networking之间进行路由,因为它包含了到所有事物的路由。 以下描述了networking拓扑。 我已经尝试了访问列表的各种组合,例如: access-list INSIDE_TO_INSIDE extended permit ip any any 要么 access-list INSIDE_TO_INSIDE extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0 以及: access-group INSIDE_TO_INSIDE in interface inside 我无法ping通或从.30networking上的PC连接到.10networking上的一台PC。 我的日志有这样的事情: iscoasa# %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags […]