我们有一个由硬件防火墙保护的八节点IIS Web服务器场。 防火墙configuration为允许端口80的stream量入站,但设置为阻止出站stream量。 在我们的防火墙日志中,我看到很多拒绝连接的实例,它们的src / srcname是其中一个web服务器, src_port是80 ,dst / dstname是随机IP,dst_port是30000+ 我是一个具有软件后台(不是IT / devops)的人,我的理解是,所有的HTTPstream量都应该由源端口上的源客户端发起,目标IP是Web服务器,目的端口是80。 但防火墙日志显示相反,是否有一种情况下,这是有道理的? 为什么防火墙日志会显示通过防火墙从源端口80到某个高编号端口的出站连接? 编辑防火墙日志摘录: http : //pastebin.com/RE7vrHAk
简短版本:如何防止Active Directory 2012 R2域控制器在特定的界面上通告域? 我希望networking不被标记为域networking,并且不应该提供域服务。 环境:用于pipe理小型Hyper-V群集和相关虚拟机的独立AD。 DC还运行VMM服务器,并有权访问生产networking,因为需要访问VMM控制台。 长远目标/潜在的解决scheme:我想绝对没有非VMMstream量到达生产networking。 我已经考虑阻止所有非vmm传出连接与Windows防火墙,但我不知道如何强制在一个接口上的特定configuration文件。 谢谢!
我已经在Fedora 20上安装了一个OpenVPN服务器(server-bridge),但是我无法使它工作。 我几乎可以肯定,这是一个防火墙问题。 我试图从OSX客户端连接,但是我可以连接(只需连接到VPN服务器,不用访问任何东西),然后在configuration桥接器(使用这个脚本)之前,然后我无法连接。 我已经将它configuration为服务器桥接,遵循Fedora和OpenVPN以太网桥的这些使用方法 。 防火墙configuration使用iptables解释: iptables -A INPUT -i tap0 -j ACCEPT iptables -A INPUT -i br0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT 然而,在Fedora 20中,默认情况下,它已经安装了firewalld,所以,谁能告诉我使用firewall-cmd的等价命令? 我阅读了firewalld指南 ,但我不清楚如何实现它(我是一个开发人员,没有SysAdmin)。 我知道我可以安装iptables,但我希望它能与firewalld一起工作。 更新:在firewall-cmd手册页上阅读一些后,我试图应用以前的命令使用 – –passthrough选项,即: # firewall-cmd –permanent –direct –passthrough ipv4 -A FORWARD -i br0 -j ACCEPT # firewall-cmd –permanent –direct –passthrough ipv4 -A […]
RHEL 6和Bash。 如果我有一个远程服务器来运行nmap ,甚至curl / wget ,但是我只能访问防火墙一侧的服务器,那很容易。 我知道我可以手动检查使用基于互联网的端口扫描工具,并且我认为答案将是提供脚本的站点之一,可以通过命令行访问。 如何在使用服务器的Bash shell时检查服务器上的互联网端口? TL; DR我希望能够使用该服务器上的Bash来检查服务器上的外部可用端口。
我正在尝试访问Atlassian Crowd服务器来configuration它,它正在侦听端口8095.我可以从本地主机访问它。 如果我禁用防火墙(iptables停止),我可以从远程机器访问。 如果我启动防火墙,我不能访问了。 我给了以下命令: iptables -I INPUT -p tcp –dport 8095 -j ACCEPT 如果我从localhost运行这个命令: netstat -lnt | awk '$6 == "LISTEN" && $4 ~ ".8085" 我得到一行作为输出: tcp 0 0 :::8095 :::* 我使用相同的程序8090端口(Atlassian Confluence),它的工作。 我错过了什么? 谢谢。 – -编辑 – – iptables -nvL的输出 Chain INPUT (policy DROP 93389 packets, 16M bytes) pkts bytes target prot opt […]
我有一个奇怪的情况。 从计算机A与PSFTP.EXE(putty sftp客户端)我可以连接到远程sftp服务器,并使用dir和chdir浏览。 如果我尝试获取或放置文件,则会收到权限错误。 从计算机B与PSFTP.EXE(同一版本)我可以连接到具有SAME凭据的SAME服务器,并使用dir,chdir来浏览并获取/放置工作。 唯一的区别是计算机A在阻止传出stream量的防火墙之后。 防火墙pipe理员为我打开了22端口。 在此之前,我甚至无法连接。 我很困惑,因为显然数据是双向stream动的(目录列表返回数据)。 而且我知道我连接到同一台服务器(计算机B的文件显示在计算机A的目录列表中) 有什么我可以让防火墙pipe理员看,这将允许这样的行为? 即允许连接,dir&chdir是允许的,但文件传输获取/放弃被拒绝? 实际上所有的文件更改都被拒绝(mv,ren,rm等) 我知道这听起来像是在服务器上的权限问题,但如果是这样的话,我会期望计算机B有同样的麻烦,它是绝对没有问题。 编辑#1 Here is Computer A's session details: (slightly changed to protect sensitive data) psftp> open servername.com Looking up host "servername.com" Connecting to xxxx port 22 **Server version: SSH-2.0-OpenSSH_4.6** Using SSH protocol version 2 We claim version: SSH-2.0-PuTTY_Release_0.62 Doing Diffie-Hellman group exchange […]
我试图通过iptables(8) REJECTnetworking,无论出于什么原因,它不这样做: # cat /etc/redhat-release Red Hat Enterprise Linux Server release 6.6 (Santiago) # uname -a Linux X 2.6.32-504.16.2.el6.x86_64 #1 SMP Tue Mar 10 17:01:00 EDT 2015 x86_64 x86_64 x86_64 GNU/Linux # rpm -q iptables iptables-1.4.7-14.el6.x86_64 # service iptables restart iptables: Setting chains to policy ACCEPT: filter [ OK ] iptables: Flushing firewall rules: [ […]
我想创build一个规则使用firewalld使用标准的用户名或用户名,也许还有一个其他模块标准。 在iptables中,我认为你可以做类似的事情 iptables -A OUTPUT -m owner –uid-owner <UID> -j ACCEPT (你可以添加其他-m模块或-p协议到同一个命令) 但是我读了firewall-cmd manpage ,我找不到如何做出同样的规则。 即使“富有的规则”似乎也没有这种支持。 我必须使用“直接”function吗? 我不太明白它的语法。 特别是它让我感到担心,这些都没有回报! firewall-cmd –direct –get-chains ipv4 filter firewall-cmd –direct –get-rules ipv4 filter OUTPUT firewall-cmd –direct –get-rules ipv4 filter INPUT 当然, iptables -L显示我有这些表,链和规则。 那么如何添加一个永久的规则与所有者,也许使用firewalld一个更多的标准?
从服务器2008 R2,我检查“什么是我的IP地址”,而不是显示我的服务器IP,它显示了我的防火墙IP。 如何纠正这一点。
我试图阻止所有端口上的整个互联网,但允许多个范围连接到特定的端口。 我希望这个规则集也适用于出站连接(使用REJECT而不是DROP )来防止识别攻击。 *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allow all network traffic -A INPUT -s 192.168.0.0/24 […]