我已经使用apt-get在Ubuntu 10.04上安装了PureFTP 1.0.24的pure-ftpd软件包。 即使这是默认的端口范围,我添加了包含以下内容的文件/ etc / pure-ftpd / conf / PassivePortRange: 30000 50000 这会在运行命令( -p 30000:50000 )时添加正确的选项,但由于某些原因,我仍然尝试使用50000以上的端口进行连接。我认为问题在于这些是活动的ftp会话,但是如果仅用于被动模式,指定端口范围有什么意义? 然后我仍然需要打开我的防火墙中的所有端口… 有没有办法为所有连接指定端口范围(而不仅仅是被动的)?
我们正在与o365合作部署ADFS for SSO。 我们有一家咨询公司来处理我们的防火墙configuration。 今天,在试图让他们为我安装我的ADFS代理服务器的DMZ设置,consultent试图说服我只是让他们打开端口443直接到ADFS服务器,并根本不使用代理。 他告诉我现在这样的configuration是标准的做法。 由于我们业务的性质,我们有非常严格的安全要求,包括没有内部服务器向外开放。 我现在的问题是,他是不是因为懒惰而没有想要configuration非军事区,还是他有一个合法的点呢?
我关注通过VPN连接的一大堆远程办公室 – 每个办公室中的Cisco ASA 5505充当防火墙和VPN端点。 除此之外,我们尽可能简化办公室的工作,尽量减less支持负担。 我们没有任何types的服务器,除非在足够大的办公室里有专门的IT人员。 基本上有ASA,一些电脑,networking打印机和交换机。 我在很多办公室看到的一个问题是,在我们的networking中查找主机的DNS请求经常失败 – 由于办公室互联网连接(他们全都在发展中国家)有一些次优质量(例如由VSAT段造成的高延迟或丢包)。 显而易见的解决scheme是拥有某种本地DNS服务,可以处理本地请求 – 所以我认为它需要从总部的Microsoft Windows 2008 R2 DNS服务器进行区域传输。 但是,仅仅在每个办公室安装Windows服务器既昂贵又造成支持负担。 这让我想到了embedded式设备上的pfsense / m0n0wall – 这些设备可以作为DNS服务器,可以在总部进行configuration,并作为需要插入networking的东西发送出去,然后由工作人员在本地忘记。 也许有一些替代ASA 5505,包括一些DNSfunction。 有没有人在这里处理这个问题,要么使用某种embedded式设备,要么find其他解决scheme? 任何陷阱或原因,以避免我所build议的?
我正在研究一个论文研究项目,而且我很难弄清楚如何让iptables (在KVM主机上运行)阻止目标为BRIDGED KVM guest 虚拟机的stream量(或者说,操纵stream量)。 我无法获得iptables条目(粘贴在下面)来阻止进出虚拟机的stream量。 实际上,我希望我的主机系统充当这些访客虚拟机的防火墙,并且暂时我想通过简单地删除所有发往特定虚拟机的数据包来testing这个function。 在不久的将来,我也想实施更细化的控制,甚至有代理参与。 再次,这应该完全发生在主机层面,而不是在客户层面。 我正在运行CentOS 6,并基于我写的另一个问题: 使用一个网卡为Linux KVM创build多个接口 ,我configuration了以下接口: eth0 br0 tap0 以下是我的每个接口的networking设置脚本: eth0的configuration: DEVICE="eth0" BOOTPROTO="none" NM_CONTROLLED="no" ONBOOT=yes TYPE="Ethernet" UUID="<<UUID-HERE>>" HWADDR=<<MAC-ADDR-HERE>> DEFROUTE=yes PEERDNS=yes PEERROUTES=yes IPV4_FAILURE_FATAL=yes IPV6INIT=no NAME="System eth0" BRIDGE="br0" br0的configuration: DEVICE="br0" TYPE="Bridge" ONBOOT="yes" BOOTPROTO="dhcp" DELAY=0 tap0的configuration: DEVICE="tap0" TYPE="Tap" BRIDGE="br0" ONBOOT="yes" 我运行了一个CentOS 6虚拟机,并configuration为使用tap0桥接接口。 虚拟机上的networking连接正常。 主机系统没有其他变化。 下面是我添加到FORWARD链中的无法运行的iptables规则( 值得注意的是,我并不是iptables专家 )。 sudo iptables -I […]
这是我的情况: 1)DMZ:我在Apache服务器(我们的堡垒主机)上configuration了一个自签名的SSL证书,作为其他7个局域网服务器(subversion,ldap,jenkins,confluence,jira,mapi等)的反向代理。 2)防火墙:在DMZ堡垒主机(位于DMZ子网192.168.1.X)之间,我configuration了一个思科防火墙,可以让(特定)通信从DMZ堡垒主机端发送到特定的LAN主机。 局域网子网是192.168.50.X. 路由器是Cisco RV042。 3)局域网:我有7台服务器在UBuntu上运行各种应用程序,通过ufw启用iptables。 4)Subversion:7个服务器中的一个运行Subversion 1.5.4,并且暴露一个HTTP端口给堡垒主机。 非常像这篇文章讨论。 除了一件事我似乎无法解决的一切都已经运行了很多年了:如果没有人使用Subversion服务器几个小时/天(不完全一样),所有通过堡垒主机运行到LAN Subversion服务器的HTTPS Subversion命令都会失败当然)。 这导致了一个真正的问题,因为远程开发人员做了一堆本地更改,提交…然后Eclipse挂起,必须手动杀死,客户端源清理等….一个真正的麻烦。 然后,我接到一个电话…我导航到堡垒主机,并尝试查看一些来源,这几个点击开始工作后。 然后开发人员的下一次尝试提交始终工作。 以下是我所尝试的: 1)防火墙closures:如果我在Cisco路由器上禁用防火墙,那么它始终工作…始终,但我们没有DMZ / LAN安全! 2)局域网Subversion:如果你直接访问Subversion局域网服务器,它总是有效的。 3)防火墙configuration更改:启用防火墙时,我可以创build一个规则,以允许任何DMZ-> LANstream量通过,问题仍然存在。 实际上,防火墙已经打开但是完全打开了,问题仍然存在。 就好像路由器在堡垒主机和局域网颠覆服务器之间的防火墙需要在局域网端发起一个有状态的转换,但是我绝对testing过防火墙是开放的(如果不是这样,它永远不会工作……就像我说的如果频繁使用,它可以工作几天/星期)。 4)MTU不匹配:find一篇文章 ,提示这可能是问题,但根据ifconfig ,堡垒和颠覆服务器上的MTU是1500。 5)杂项的堡垒主机Apache的configuration更改…已经尝试了几十个东西在这里无济于事。 这里是在堡垒主机(反向代理)上的/etc/apache2/sites-enabled/default-ssl的Apacheconfiguration我已经在去年运行了: ProxyPass /svn http://virt-svn-srv.mycomp.int/svn keepalive=on <Location /svn> ProxyPassReverse http://virt-svn-srv.mycomp.int/svn SetEnv force-proxy-request-1.0 1 </Location> 我真的在我的智慧结束这一切…所有的build议是值得欢迎的。
我inheritance了Fortigate 60B防火墙的networking。 只要我指定一个静态IP,VPN拨号客户端就能正常工作。 问题是,当我需要分配使用客户端的每个人他们自己的个人IP时,变得很难pipe理。 我已经在内部networking上有一个DHCP服务器,所以我想我会configuration防火墙中继DHCP来拨号VPN客户端。 不幸的是,这是行不通的。 我打开了DHCP中继的debugging,这就是我得到的: 2013-01-13 19:58:01 L3 socket:在wan2收到192.168.0.11:68到255.255.255.255的请求 2013-01-13 19:58:01得到了一个DHCPDISCOVER 2013-01-13 19:58:01警告! 无法从客户端消息获取服务器ID 2013-01-13 19:58:01转发dhcp请求从192.168.1.1:67到192.168.1.14:67 2013-01-13 19:58:01发送一个302字节的dhcp包到服务器192.168.1.14 2013-01-13 19:58:02从服务器192.168.1.14:67得到一个DHCPOFFER 2013-01-13 19:58:02发送dhcp答复从0.0.0.0:67到192.168.0.11:68 正如你所看到的,答复似乎来自一个空的IP(0.0.0.0:67),所以我认为这是问题。 我对么? 如果是这样,原因是什么? 谢谢!
我看到这个post: Cygwin SSHd自动login失败login 我试图实现它,但我没有得到任何结果。 当然,这可能是我,但在我走之前,我想知道是否有人在Windows 2008R2上运行? 此外,任何人有任何其他build议,这种types的程序? 我更喜欢一个体面的程序,没有沉重的价格标签。 这是一个小的私人服务器,我没有select把一个hw防火墙。 谢谢! ==对EVAN的回应== 好的,我更新了程序,它在事件日志中给我这个消息: 服务sshd_block收到不受支持的INTERROGATE控制,这将不会被处理。 我在5分钟内得到了大约60个这样的事件。 我认为这是检查间隔? 程序存储在这里: d:\Skydrive\Eric_Sys\firewalllogin\ 内容: 07/21/2009 06:38 PM 9,272 LICENSE 12/01/2012 11:04 PM 167,424 nssm.exe 01/20/2010 02:36 PM 8,699 README.txt 03/06/2013 01:36 PM 1,357 register_sshd_messages.cmd 01/20/2010 02:21 PM 13,021 sshd_block.vbs 09/25/2008 02:49 PM 12,288 sshd_messages.dll 03/06/2013 01:35 PM <DIR> sshd_messages_source 如果你想要的话。 我的registry设置:
我正在评估基于Netflow / IPfix的分析器的各种选项,这些分析器专注于识别安全威胁和exception情况。 如果有人可以提供一个工具列表,并且牢记以下几点,我们将非常感激。 Windows或* nix的基础..没关系。 专有工具或开源…不要紧,但开源将是好事。 价格..没关系。 谢谢
当我在我的Ubuntu实例上运行以下命令时: $ nmap host 我看到端口443是打开的: Starting Nmap 5.21 ( http://nmap.org ) at 2013-03-19 05:36 PDT Nmap scan report for [host redacted] (ip address redacted) Host is up (0.000034s latency). rDNS record for [ip address redacted]: [host redacted] Not shown: 995 closed ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 80/tcp open http 443/tcp […]
要启用我的服务器端口7070我已经运行 iptables -A INPUT -p tcp -m tcp –dport 7070 -j ACCEPT 通过SSH然后 service iptables save 将规则保存到/etc/sysconfig/iptables文件。 但是,当我重新启动服务器时,保存的规则不适用。 如何在服务器重新启动时自动应用此规则?