我是服务器pipe理新手,为防火墙写了一个IPTables脚本。 我非常关心服务器的安全性,因此我想知道一些我经常从使用防火墙的人那里读到的东西,这些东西限制了连接到服务器的SSH连接的来源。 问题在于我的服务器是我租用的远程服务器,作为从家里和工作中连接到服务器的人,我没有理由相信我的家庭和工作IP将永远保持不变。 所以,如果我将SSH的来源限制在我的服务器上,那么如果我的IP在家里发生变化呢? 如果我去其他国家旅行,想要访问我的服务器呢? 我旅行很多。 这听起来像是我想念的东西…所以你们可以解释一下解决这个问题的有效方法吗? 问题是:我怎样才能限制SSH连接的来源,而不限制我自己的访问我的服务器? 感谢您的努力。
我在我的VPS上运行CentOS,并试图远程访问我的MySQL数据库。 所以我使用这个命令给我的iptables添加了一行: /sbin/iptables -A INPUT -i eth0 -p tcp –destination-port 3306 -j ACCEPT 但我无法访问我的MySQL数据库。 当我做一个端口扫描与nmap这是结果: >nmap -p 3306 xxxx >3306/tcp filtered mysql 所以stat不是OPEN 。 这是VPS上的所有input规则。 有一条线(已经在那里)持有REJECT 。 是阻止到端口3306的stream量? Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp — anywhere anywhere ACCEPT all — anywhere anywhere ACCEPT […]
我有一个基于Linux的路由器(使用DD-WRT固件 )的FreeBSD系统。 FreeBSD系统运行sshd,并且经常被各种脚本小程序探测。 它目前运行一个脚本,当看到从同一个IP地址login失败的尝试超过3次时,将完全阻止该地址。 该块曾经是本地的(使用FreeBSD的ipfw ),但我想覆盖整个局域网 – 通过要求路由器进行阻塞。 这使我使用Linux的防火墙手段 – iptables。 如果我使用: iptables -I INPUT -s $IP -j DROP 那么路由器会拒绝试图联系路由器本身的IP,但会很乐意将连接转发到局域网。 如果我使用 iptables -I FORWARD -s $IP -j DROP 它会阻止攻击者到达我的局域网,但会保持路由器到达他们。 是否有一个单一的规则 – 或者至less单一的命令 – 我可以为每个攻击性的IP拦截任何和所有的stream量和来自它的stream量? 谢谢!
这个问题在这里可能有很多次的问题,但经过几次失败的尝试,我重复了这个历史: 如何在运行CentOS的服务器上打开端口25端口。 这是我的iptablesconfiguration: Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere REJECT all — anywhere loopback/8 reject-with icmp-port-unreachable ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp — anywhere anywhere tcp dpt:http ACCEPT tcp — anywhere anywhere tcp dpt:https ACCEPT tcp — anywhere anywhere tcp dpt:ftp ACCEPT tcp — […]
这个问题已经在网上提出过,但答案根本不能令人信服,甚至不准确。 我为ppp0设备的ifconfig获得以下输出(当然,x,y,a,b是整数)。 ppp0 Link encap:Point-to-Point Protocol inet addr:xy172.234 PtP:ab145.65 Mask:255.255.255.255 如果以下的理解是错误的,请纠正我我正试图理解它背后的理论。 xy172.234是机器的公共Internet地址。 所以,所有离开机器的数据包都会有这个SRC IP。 而我的阅读告诉我,ab145.65是默认的网关地址。 所以,所有的数据包将被无条件地发送出去,通过这个地址进行路由(除了环回)。 但是有一个设备。 它是否分配了多个地址? 如果是这样,怎么样? 我是否需要阅读PPPoE协议才能理解这一点? 如果我使用eth0端口将交换机连接到本机,并希望使用IPTables将此机器用作防火墙,那么对于内部LAN上的机器,默认网关地址是什么? 在Eth0上分配的IP地址? 然后来到Eth0的数据包将被NAT,如果不是,防火墙将被发送到哪个地址? ab ..地址或xy ….地址? 在这里变得困惑。 任何澄清将不胜感激。 谢谢
我正在构build一个Web应用程序(服务器A),它与连接到Internet的远程服务器(服务器B)进行通信。 服务器B驻留在NAT后面,正在监听3个非标准端口上的通信。 在一个典型的情况下,为了让我在不同的networking上部署多个远程服务器,并与父Web应用程序(服务器A)进行通信,每台服务器都必须手动configuration路由器,以将各个端口转发给服务器Bconfiguration的静态IP。 我正在寻找一种方法来解决这个问题,必须单独configuration每个路由器,并为每个部署手动。 必须完成端口转发,因为服务器A必须与服务器B通信并且必须发起对话。 我问是否有一种方法让服务器B发起通信,而不是相反,这样就不需要发生端口转发。 服务器B只需要打电话回家,打开什么套接字/端口必然(这是我需要你的帮助信息),所有的通信将通过这些打开的端口完成没有服务器一直需要知道服务器B的IP ,并且必须与路由器通话来处理转发。 这种情况可能吗? 编辑:添加更多的细节: 基本上我创build了一个webapp(服务器A),与多个3D打印服务器通信,这些服务器具有REST API。 打印服务器API服务器都在8721的非标准端口上进行侦听。 现在,手动在我的web应用程序我手动configuration指向每个打印服务器通过他们的外部IP地址和端口转发的端口。 正如你可能会告诉这将会产生大量的问题,因为大多数这些外部IP地址将会改变,因为大多数家庭/消费者networking没有静态IP。 这意味着我必须找出每次IP地址被改变,并手动修改我的web应用程序的logging。 我想(和假设)解决这个问题的最好方法之一是不要让Web应用程序担心每个打印服务器的位置,而是让打印服务器自己告诉Web服务器。 我试图解决2个问题: 外部IP地址是dynamic的而不是静态的(如上所述) 端口转发/家庭networking强加的防火墙。 如果家庭networking中有多个打印服务器,则意味着为了单独到达每个服务器,家庭路由器需要知道如何路由每个需要在web应用和家庭路由器上configuration的唯一端口一边到右边的打印服务器(因为他们都在听8721)。 对不起,冗长的职位。 我',对于整个套接字编程来说还是比较新的东西,我希望有人能够指出我应该在哪里寻找更多关于如何做到这一点的信息。
我想就与主防火墙相同的pfSense盒子上运行SquidProxy服务器的优缺点展开讨论。 今天我有一个pfSense做所有的防火墙事情,比如路由和过滤(我不使用NAT),所以pfSense只过滤公有IPv4地址。 由于安全原因,本地DNS被禁用,并且DHCPd在内部LAN内的另一台计算机上运行。 因为我想安装一个SquidProxy,也许使用SquidGuard进行一些过滤,显而易见的想法是将所有内容放在主防火墙上,但我不确定这是否是一种好的做法。 但我不知道是否有任何可行的select。 鱿鱼必须以透明模式运行,所以用户不知道他们是在一个代理。
我使用Ubuntu作为几个主机的网关。 我需要build议如何阻止特定的IP地址或特定的IP范围IP转发? 我尝试通过ufw拒绝规则来阻止ip,但它看起来像ip转发设置不能通过规则修改,它只能在全局应用(/ etc / default / ufw中的DEFAULT_FORWARD_POLICY) 另外我试图直接更改iptables规则: iptables -A FORWARD -j REJECT –reject-with icmp-host-prohibited 在这个命令后,ip转发拒绝规则阻止所有远程主机转发请求。 更新:当前的iptable输出: root@mtu90:/home/pi# iptables -L -n -v Chain INPUT (policy ACCEPT 5671 packets, 927K bytes) pkts bytes target prot opt in out source destination 0 0 DROP all — * * 0.0.0.0/0 172.16.1.77 192 15408 DROP all — * […]
我是networking问题的新手。 我有一个问题,我不知道如何解决。 我有我的内部networking有一个固定的IP(只能通过VPN访问),我有一个服务器,我把一些虚拟机的个人发展工作。 但是,外部客户端需要访问其中一个虚拟机来testing已经开发的内容。 我怎样才能解决这个问题,以免给一个VPN客户端的访问? 他们谈到我在防火墙上build立一个端口。 这解决了这个问题? 我举个例子:我的固定IP是14.0.0.1 ,虚拟机是192.168.1.1 。 某人如何无障碍地访问虚拟机?
我想在EC2中设置PPTP并configuration一个安全组。 我已经select了“自定义协议”,并使用协议47 / GRE。 当我select这个时,端口部分是只读的。 有什么直观的原因,我不应该使用自定义协议时使用端口1723筛选? 如果我打开其他端口(当协议是GRE时),这有什么关系?