我正在尝试在我的xen主机服务器上设置IPTABLES,它将阻止对同一台机器上的xen客户端的传入和/或传出访问。 具体来说,我需要阻止输出端口25的stream量和input端口53的stream量到一个特定的容器。 常规的IPTABLE规则只会影响到主机的stream量 – 而不是xen客户端。 对于我的服务器,eth0是内部networking,eth1是外部networking。 下面的规则集似乎应该工作,但容器根本不受影响: iptables -A OUTPUT -p tcp -m状态-state新build立,相关-sport 25 -d -j拒绝 iptables -A INPUT -p tcp -m状态-state新build,相关-dport 53 -d -j拒绝 iptables -A INPUT -p udp -m状态-state新build,相关-dport 53 -d -j拒绝 所以基本上,我如何设置一个IPTABLE规则,将适用于Xen客户端而不是Xen主机? 谢谢
我有一个CentOS 6服务器需要rsh访问我们的一个旧的服务器不支持ssh。 RSH连接到远程服务器上的端口514,然后在512到1023之间的端口上创build另一个连接返回到客户端。 我目前的防火墙技能级别是“端口开放/端口closures”,开放所有这些都不会留下太多的防火墙。 什么是最严格的方式来允许传出的RSH连接?
这篇文章与SonicWALL NSA 2400的远程访问多个子网的configuration不完全相同。 但是,我几乎是逐字地有这个问题。 不幸的是,我们甚至已经支付了SonicWALL的支持,甚至是通过循环抛出。 我们不同的是,我只是试图使用第2层桥接模式。 没有NAT,没有路由。 我们的愿望是使SonicWALL除了监听networking之外,除了selectUDP和TCP端口之外,还可以阻止所有stream量,并为所有其他不受欢迎的stream量提供状态检查,如拒绝服务攻击,防病毒,反间谍软件, X1接口在子网A上configuration。子网中剩余的可用IP分配给连接到X2(DMZ)端口上的交换机的服务器。 直到最近,这个configuration工作得很好。 但是现在我们面临着一个问题。 我们使用了我们的整个子网A并且需要更多,所以我们被分配了另一个/ 28子网。 在这个子网中运行的服务器被插入同一台交换机的端口X2,并且VLAN没有被使用,所以我们有两个networking住在同一个广播域内。 这看起来很好,因为所有的SonicWALL应该做的就是数据包检测,而不应该关心stream经它的stream量的路由方面。 我们将在X1端口上的networking路由器(我们无法控制的)担心两个实际位于同一广播域的子网之间的路由。 从互联网上,这个configuration工作正常。 我们能够访问子网A和子网B的networking。 当我们希望两个networking相互通信时,就会出现问题。 我们期望两个networking使用SonicWALL另一端的路由器来互相通信,但是我已经certificate,数据包不会超过SonicWALL。 没有防火墙日志表明由于规则而丢失通信。 相反,当我在SonicWALL上执行数据包捕获时,我能够看到数据包进入端口X2,并且不会被转发。 状态只是说“收到”(奇怪的是,不能在任何文档中find有效的状态(文档说'删除'是由于防火墙规则stream量下降))。 支持给我发送了上述文章中引用的确切文档,但不适用于这种情况。 在谈到天困难的支持之后,我终于build议除了添加静态路由之外,别无他法: 来源:任何,Dest:子网B,网关:0.0.0.0,接口X2。 当前路由表只包含它自己添加的默认项目。 所以,即使您对SonicWALL没有任何具体的了解,请告诉我是否添加上述静态路由对任何人都有意义。 目前的表格是: 来源:任何,目的地:子网网关,网关:0.0.0.0,接口X1。 来源:任何,Dest:子网A,网关:0.0.0.0,接口X1。 来源:任何,目的地:任何,网关:子网网关,接口X1。 对我来说,这个数字已经不是X2了。 我感觉好像子网A网关是stream量从子网Astream出的唯一原因,但是它对于它是如何返回是没有意义的,因为这应该离开接口X2并且上面的表已经列出了X1。 同样有趣的是,子网B能够与互联网通信,我觉得这是由于最后一条规则。 子网A和B的网关有相同的MAC地址:所以它只能是一个巧合,它的工作。 仍然没有意义的stream量如何最初从互联网子网。
运行Apache的我们的一台Mac Pro计算机在一些组织代理规则改变之后无意中充当了具有公共IP的转发代理。 因此它被垃圾邮件发现者所发现,并从那以后被各种IP地址攻击到各种端口上。 我已经locking了Apache代理设置,并设置了高度限制性的ipfw规则来拒绝我们专用networking之外的所有访问(使用NoobProof )。 还有什么我应该做的,以保护服务器,或减less通过请求的数量? 我的团队将这台机器用于许多应用程序,所以如果我需要更改IP地址,最好将其停机时间降至最低,并仍然允许它们访问相同的URL。
我使用这些iptables规则为我的OpenVPN服务器与1个网卡(eth0) iptables -I INPUT -i eth0 -p udp –dport 1194 -j ACCEPT iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 这当然是太开放了。 但我希望能够通过VPN连接使用FTP。 我假设我必须把 modprobe ip_conntrack modprobe ip_conntrack_ftp 在我的iptables脚本的顶部。 但是,实际的iptables规则应该如何呢?
我无法访问我的Linux服务器中的某个网站。 # curl https://pgws.bpm.bankmellat.ir/pgwchannel/services/pgw?WSDL curl: (7) couldn't connect to host 它可以从任何地方访问,但我的服务器。 我禁用了ConfigServer防火墙,但问题仍然存在。 我不知道如何调查问题,并意识到为什么我的服务器无法访问此页面? 我将不胜感激任何评论。
我正在尝试安装Windows Server 2008 R2的防火墙,以便阻止除源自美国IP的stream量之外的所有stream量。 当前的入站防火墙策略设置如下: 阻止几个端口(从任何地方) 允许几个端口/服务(从任何地方) 应用默认操作(块) 所以我需要在允许逻辑之上添加一些逻辑。 我通过微软的文档阅读: http : //technet.microsoft.com/en-us/library/ff602923 ,看到阻止规则应用在允许规则之前 – 所以我看到它有几个选项: 创build一个阻止所有非美国IP的大规模阻止规则 为每个国家/地区/ …创build一个阻止该地区所有知识产权的规则(基本上与scheme1相同,只是制定更多的规则以便于pipe理)。 创build一个只允许US IP的大规模接受规则 我宁愿去第三个选项,因为它应该导致一个较小的规则集。 不过,我担心的是,如果我创build一个默认的“接受美国的一切”规则,它将覆盖默认的阻止行为,并允许美国用户访问以前被默认操作阻止的入站内容。 那么 – 有没有人设置过这样的事情? 如果是这样,你select了什么路线? 编辑:我知道我可以去每个允许的规则,并限制每个与美国的IP列表。 假设我不想这样做,因为这会造成更大的麻烦。
我有一个自定义的WMI应用程序。 它可以在多台服务器上运行(Windows 2003,2008)。 但是,我们的一些服务器在另一个防火墙后面。 我遵循http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447%28v=vs.85%29.aspx,并具有相同的其他2008年机器的权限。 我们开放了港口24158和135。 正如你可能已经猜到它仍然没有连接。 我会喜欢这个任何想法。 更新:这些机器实际上不是R2。 我愚蠢地以为他们是,因为我们所有的其他服务器。 确切地说,版本是6.0.6002。 更新:从这篇文章http://technet.microsoft.com/en-us/library/cc730673%28WS.10%29.aspx下pipe理工具>组件服务> leftpane>组件服务>计算机>我的电脑> DCOMconfiguration>中间窗格“>”Windowspipe理和工具“,然后单击”端点“下的”属性“,将其正确configuration为使用24158.但是,启用WMI后,将不会向该端口发送任何数据包。 更新:它可能与netbios相关,因为有一个封包来自于在Wireshark中被标记的封闭的netbbios端口。 为什么WMI需要使用netbios?
我有一个ISA Server和SQL Server的问题… 在SQL Server Management Studio中,可以为服务器实例对networking服务器执行查询。 这是通过向子网广播SQL Browser服务完成的,而运行浏览器服务的服务器则使用其IP地址和实例名称进行响应。 问题是路由器默认情况下会丢弃所有广播数据包,而我的SQL Server在我的实际LAN子网的不同子网上运行,位于ISA Server之后: 因此,ISA捕获由我的terminal创build的广播数据包,并按预期丢弃它…我正在寻求将在24.0腿创build的数据包中继到8.0腿,如DHCP中继… 我检查了一些中继广播消息的ISA,但没有我遇到过。 我们可以通过在RRAS中安装中继代理来实现DHCP中继,并在ISA上创build访问规则,如: 我想知道的是,如果有一种方法来做一个像上面的dhcp的SQL浏览器服务的中继广播消息? 我是否必须编写一个侦听器应用程序才能在ISA计算机(SQL浏览器中继代理)上工作,还是有这样的应用程序呢? 你有什么build议?
我试图找出需要支持什么样的服务器设置: 每秒发送1K个http请求 每篇文章将包含一个介于5-50K之间的xml文件(平均25千字节) 即使我用我的专用盒子(通常是10 Mb / s,但可以升级)获得100 Mb / s连接,从我的计算结果来看,大概是12K kb / s,这意味着每秒大约有480个25kb的文件。 所以这意味着我需要大约3台服务器,每个服务器都有100 Mb / s的连接。 运行HAProxy的单个服务器是否可以将请求redirect到其他服务器,或者这意味着我需要另外一个可以处理超过100 Mb / s的代理来将其他服务器代理出去? 如果我的mathclosures,我会很感激你可能有任何更正。