我想限制出站stream量只有本地主机使用iptables。 我已经在OUTPUT上有一个默认的DROP策略,并且有一个拒绝所有stream量的规则。 我需要在OUTPUT链中添加一条规则。 我已经看到了这种types的规则的几个不同的例子,最常见的是: -A OUTPUT -o lo -j ACCEPT 和 -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 有没有任何理由使用后者,而不是前者? 可以在数据包上使用127.0.0.1以外的地址吗?
最近我在几台不同的服务器上遇到过防火墙问题。 而且即时通讯要创build一个脚本,每小时运行一次左右,并检查外部服务器上的文件,并执行相关的防火墙规则集。 就目前来说,如果SOMETHING发生在防火墙,我得到我的SSH / etc被阻止,我必须安排一个现场访问是荒谬的昂贵。 所以这将是一个有效的故障安全系统。 如果出现问题,我可以使用另一台服务器在“已损坏”的服务器上启动更改并恢复到可以远程pipe理的状态。 有点haxy我知道,但在我目前的Linuxpipe理员级别应该工作得很好。 我以前从来没有真的做过bash / sh脚本,但是我用来蝙蝠。 所以,从社区需要帮助的是把这个psudo代码变成可能工作的东西: $PATH = "/usr/firewall-scripts/temp/"; cd $PATH; wget https://example.com/firewall/config/failsafe; $FAILSAFE = readfile("$PATH/failtsafe");#This <— im sure doesn't exist. if($FAILSAFE == "1") { /usr/firewall-scripts/failsafe.fw } else if ($FAILSAFE == "2") { /usr/firewall-scripts/failsafe2.fw } else if ($FAILSAFE == "0") { /usr/firewall-scripts/normal.fw } else if ($FAILSAFE == "-1") { […]
我在互联网上看到post,Google Apps Engine和其他一些提到这个不寻常的客户端提交端口的人。 任何人都可以澄清哪些是我应该支持(除了端口587)古怪的端口为最终用户的电子邮件提交?
根据标题,我的软件供应商正试图说服我升级到一个带有硬件防火墙的专用服务器。 (我们目前在共享的Rackspace虚拟主机上运行Ubuntu。) 我们的应用程序的数据库不包含机密的个人信息,我们正在使用良好的密码安全性。 我们也有备份。 我们应该支持硬件防火墙还是有充分的理由,还是供应商只是想向上推销? 我不想疏忽,但我也不希望我们付出我们并不真正需要的服务。 谢谢你的帮助。
有没有办法阻止用户在pfsense防火墙级别使用种子? 提前Thnaks
我有一个思科ASA5510和有关ASA和多个公共IP的文章说这不能做。 我的问题是如何最好地解决这样的情况: 我有3个区域,外部,内部和DMZ 外面是互联网 里面是客户端机器 DMZ是与外部和内部服务相关的服务器区域。 我的情况稍微复杂一点,但为了简单起见,我们可以这样做: 我想放置一个Exchange服务器和一个Web服务器(在DMZ区域可以外部访问) networking服务器同时使用TCP80 / 443,Exchange服务器使用443 所以对于这个问题:在ASA只有一个公有IP的情况下,你将如何在1个公网IP后面的内部主机上将端口443做成端口443? 通常情况下,当我做这种场景与Linux的箱子我使用别名接口,如eth0:0,eth0:1和设置1公共IP在每个。 对我来说,这一定是一个很常见的情况,关于如何用ASA解决这个问题的想法? / KGDI
我在iptables中有一个静态的1:1的NAT设置,这个设置排除了一个更大的子网(这样NETMAP主机仍然可以到达非静态NAT的其他本地主机),像这样: *nat -A PREROUTING –destination 128.128.196.32/27 -j NETMAP –to 10.10.20.32/27 -A POSTROUTING –source 10.10.20.32/27 ! -d 10.0.0.0/8 -j NETMAP –to 128.128.196.32/27 我也想排除面向公众的IP地址,这样静态NAT主机仍然可以达到机器上另一个静态NAT主机的公有IP地址。 但是多个否定的目的地似乎不被支持。 这会引发一个错误: *nat -A PREROUTING –destination 128.128.196.32/27 -j NETMAP –to 10.10.20.32/27 -A POSTROUTING –source 10.10.20.32/27 ! -d 10.0.0.0/8 ! -d 128.128.196.0/24 -j NETMAP –to 128.128.196.32/27 我如何设置iptables允许静态NAT NETMAPed主机到达iptables机器上的其他公共地址?
我目前正在分析防火墙的多path连接的后果。 在这种情况下,我想知道在networking边界上有多个防火墙来保护它是否真的不常见。 我想象的典型情况是一个多宿主networking,对于这个networking,pipe理员对不同的(或不是)ISP的链接有不同的策略。 或者甚至在ISP的networking中。 这种configuration的实用(dis)优势是什么? 你能提供一个使用多个边界防火墙的现有拓扑的例子吗? 编辑:特别是,我对一个内部terminal主机可以使用任何防火墙path的configuration感兴趣。 configuration的目的不是隔离内部区域。 实际上,我的目标是看看防火墙如何影响可能使用多个path(同时)正常工作的协议。
Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all — 69.59.197.21 anywhere 我现在有这个积极的规则。 但是,正如你可以看出,这是行不通的,因为我正在写这个问题。 如果我将规则添加到INPUT chain ,它可以很好地工作。 最初我aaa of course, it isn't working because it's asking DNS for www.serverfault.com认为aaa of course, it isn't working because it's asking DNS for www.serverfault.com ,所以我添加了规则iptables -A OUTPUT -s www.serverfault.com -j DROP ,但仍然是相同的。 为什么iptables允许传出数据包到这个networking?
对于下面的iptables规则: iptables -A INPUT -p icmp -m icmp –icmp-type 255 -j ACCEPT 我不确定“-m”是什么意思,“-p”已经存在。 在这种情况下它有什么作用吗? 在保留所有function的情况下,上述内容可以简化为下列之一吗? iptables -A INPUT -p icmp –icmp-type 255 -j ACCEPT 要么 iptables -A INPUT -m icmp –icmp-type 255 -j ACCEPT 感谢您的任何提示。