我试图让我更多地了解安全的最佳实践,以我个人的知识。 其实我无法理解如果我可以信任我的服务器的设置configuration像iptable的防火墙的必要性。 在我的实际心态中,可以这样解释:如果我只知道: 侦听端口80的Web服务器 侦听端口22的ssh服务器 在端口8080上侦听的api服务器 正在我的服务器上运行,我的(唯一的)以太网适配器eth0上不使用端口80,22或8080的任何传入stream量将丢失,因为没有进程侦听这些端口。 这意味着什么都不消耗传入的数据包,所以他们只是被削弱。 考虑到这一点,我不明白configurationiptable只接受端口80,22和8080的TCP通信的必要性。 这一切都在我看这个伟大的video之前: https://serversforhackers.com/video/firewalls-basics-of-iptables 该video展示了如何设置一个iptableconfiguration来做到这一点:只接受端口80,22和8080上的传入stream量,并丢弃所有其他input数据包。 我想这是有理由的,但我实际上找不到。 你能解释为什么这个iptableconfiguration是需要的? iptable的数据包丢失与服务器上运行的任何应用程序没有“使用”的数据包之间是否存在差异? 非常感谢。
我无法从我们的服务器远程login合作伙伴服务器IP(103.xxx)。 I am getting following error telnet: connect to address 103.xxx: Connection timed out 但我可以从我们的服务器远程login其他服务器IP。 此外,我能够从其他服务器ping通伙伴服务器 会是什么原因? 我问伴侣检查天气我们的服务器IP被他们的防火墙阻止。 他们检查并告知不 我正在使用CentOS 7.2 请帮我解决这个问题 提前致谢
我将如何去白名单入站端口80/443stream量为他们的IP(在这里find – https://www.cloudflare.com/ips )只有Cloudflare,但也允许所有HTTPstream量通过这是由我们发起,比如我们需要回应的远程API请求。 在EC2上运行Amazon Linux。 谢谢
我添加了DNS服务器端口到iptables,甚至指定的服务正在监听,当我用netstat检查它,但是当我检查端口从外面closures。 iptables -n -L =>输出: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,ESTABLISHED REJECT all — 0.0.0.0/0 0.0.0.0/0 reject-with […]
我已经configuration了我的内置Windows防火墙(Windows XP SP3),以允许此框用作本地FTP服务器(FileZilla服务器)。 configuration工作,直到<插入一些最近的date>。 具体来说,我已经在Windows防火墙 – >例外选项卡上configuration了这些例外: 文件传输程序(C:\ WINDOWS \ system32 \ ftp.exe)范围“任意一台计算机” FileZilla(C:\ Program Files \ FileZilla \ FileZilla.exe)范围“我的networking(子网)只有” 只有“我的networking(子网)”的ftp-data01(端口号:TCP 2001) 。 。 。 类似的规则下到2010年的端口 如前所述,这种configuration直到最近才开始工作。 如果我查看Windows防火墙安全日志logging,可以看到从客户端到此服务器端口21的TCP SYN数据包正在被丢弃。 我应该如何configurationWindows防火墙来允许数据包? 一种解决方法是使用“高级”选项卡 – >“本地连接”设置并启用“FTP服务器”,但对话框指出打开Internet访问的例外情况。 我正在寻找一个解决scheme,只允许访问本地子网。
这是我的设置:VMWare ESXi 4.0上的两个CentOS 5.2盒子。 第一个IP地址是eth0的192.168.22.52,eth1的IP地址是192.168.99.1。 第二个盒子在eth0上运行PostgreSQL 8.3,IP地址为192.168.99.2。 这里是box1的 iptables,box2参见下面的注释。 我已经在box1上设置了端口5432转发,并且能够通过pgAdminIII或者Vista笔记本上的psql(192.168.22.1,这个子网中没有其他的盒子,它有自己的交换机并且物理隔离)在box2上连接到PostgreSQL。 我连接的数据库有两个模式,一个是“较小”(基本上只有一个表),另一个是较大的(大约30个表,100个function等)。所以我能够使用较小的模式(浏览表等),但我试图扩大更大的模式 – pgAdminIII冻结20分钟左右。 PostgreSQL日志显示有一个查询需要太长时间: 2009-06-04 21:04:46 EEST LOG: 00000: duration: 493578.874 ms statement: SELECT pr.oid, pr.xmin, pr.*, format_type(TYP.oid, NULL) AS typname, typns.nspname AS typnsp, lanname, proargnames, proconfig, pg_get_userbyid(proowner) as funcowner, description FROM pg_proc pr JOIN pg_type typ ON typ.oid=prorettype JOIN pg_namespace typns ON typns.oid=typ.typnamespace JOIN […]
有没有办法通过瞻博networkingSSG520M防火墙允许ping数据包大于1472? 在“筛选”选项下,“Ping of Death”和“Large Size ICMP Packet”保护function已被禁用。 我需要能够从信任端ping Untrust端(也许反之亦然)与数据包大于1500(即ping 192.168.1.1 -l 4096),所以我可以强制分片。
我在configuration服务器上的防火墙时遇到了一些问题。 我只希望特定范围的IP能够访问特定的端口。 例如,我有很多密码尝试我的一些服务器,所以我想通过只允许来自特定范围的域的传入连接更安全。 例: 我的IP通常是adsl-324-4.somecompany.com,所以我想允许* .somecpompany.com连接,因为我的IP是dynamic的。 这将摆脱很多尝试侵入我的服务器。 但我不知道如何屏蔽防火墙的域名。 我怎么能例如允许来自* .is的所有传入连接? 谢谢。
正在使用Free / Open BSD + pf可行选项来过滤DDoS? 哪两个在重负荷下performance更好? (SYN洪水最大1Gb的pipe道) 这甚至是一个可以考虑的select,还是需要一个完整的硬件DDoSfilter才能获得足够快的性能?
我认为有命令与netsh ….但不知道确切的命令。