我们有一个Linux服务器(CentOS 6.3),其中所有端口似乎都可以从内部访问(当从服务器尝试时),但是只有SSH可以从外部访问。 我想允许一些其他的端口,如1521(甲骨文),但我不能得到它的工作。 我尝试了以下内容: iptables -A INPUT -m state –state NEW -p tcp –dport 1521 -j ACCEPT service iptables save service iptables restart 但是当我从另一台机器上执行“telnet 192.168.97.1 1521”的时候,我仍然得到“连接超时”,而我可以用相同的命令从服务器连接。 这是我在/ etc / sysconfig / iptables中所拥有的: # Generated by iptables-save v1.4.7 on Fri Mar 15 12:13:41 2013 *nat :PREROUTING ACCEPT [6:1136] :POSTROUTING ACCEPT [14:878] :OUTPUT ACCEPT [15:986] -A POSTROUTING […]
我正在运行VPS服务器(Linux CentOS)为我的客户提供虚拟主机。 昨天,我的一个客户被我的服务器上的LFD防火墙挡住了: 我有一个服务器pipe理员电子邮件通知与以下主题行: lfd on vps.audetwebhosting.net: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net) blocked for port scanning 和身体包含线如: Time: Sun Mar 31 11:29:35 2013 -0400 IP: 24.2.190.167 (US/United States/c-24-2-190-167.hsd1.ct.comcast.net) Hits: 11 Blocked: Temporary Block Sample of block hits: Mar 31 11:28:22 vps kernel: [2760494.944535] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=24.2.190.167 DST=64.131.66.177 LEN=64 TOS=0x00 PREC=0x00 TTL=48 ID=14772 DF […]
我正在运行一个Windows 2008服务器,我已经安装了ts_block,以帮助阻止服务器上的RDP蛮力的尝试。 问题1:我想知道使用ts_block对我有什么好处,因为我的服务器只允许用户使用正确的IP地址来使用RDP。 这是在Windows防火墙中设置的。 问题2:我不认为他们可以进入,因为他们没有正确的IP地址,但是当到达我的服务器的时候,他们会把它打到地狱,导致它占用内存和CPU的能力,使服务器慢。 问题3:硬件防火墙是否有助于防止他们进入我的服务器,并使用ts_block更好的安全? 谢谢, 坦率
我在同一个地区有两个EC2实例。 让我们称他们为instance-1和instance-2 。 instance-1有一个弹性IP地址,但是instance-2没有。 我希望我的instance-1允许来自instance-2入站stream量在其iptables 。 我可以分配一个Elastic IP到instance-2并在INPUT链中添加如下所示的内容。 ACCEPT tcp — xx.xx.xx.xx anywhere tcp dpt:yyyy ACCEPT tcp — xx.xx.xx.xx anywhere tcp dpt:zzzz 其中xx.xx.xx.xx是instance-2弹性IP, yyyy和zzzz是目标端口。 但是,由于Amazon限制分配给帐户的弹性IP地址的数量为五,我不希望此实例具有弹性IP地址。 我的问题是,我可以使用内部IP地址,forms为10.xx.xx.xx,由Amazon提供给instance-2的iptables的instance-1 ? 解决scheme可能是停止使用实例级别的iptables并使用由EC2提供的安全组。 但是我对此有点担心。 我觉得在实例级别以及安全组(EC2应用)级别保护系统免受未知入站stream量影响会更好。
基于“SonicOS 5.9企业命令行界面参考指南”中的一个示例,我尝试使用下面的命令添加一个地址对象(与以前的固件相比没有改变): address-object "Mail Server" host 192.168.168.33 zone DMZ 但它会抛出一个错误: % Error encountered at '^' marker: % No matching command found. 和标记显示"Mail Server" 任何人有同样的问题? 谢谢
Wireshark显示在PC上收到一个RTP包。 是否有可能,尽pipeWireshark检测,一些东西(防火墙?)仍然阻止应用程序侦听该PC上所需的端口来接收包? 例。 Wireshark跟踪显示接收到的RTP(h264)数据包,但软件电话上没有video,因为防火墙正在阻止该端口。
我已经添加了一些基本的规则: iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j ACCEPT 然后,使用以下命令closures所有其他端口: iptables -A INPUT -j DROP 它完美的工作,我testing它: % telnet xxxx 81 Trying xxxx.. telnet: connect to address xxxx: Operation timed out telnet: Unable to connect to remote host 但是,当我列出规则,我看到policy ACCEPT : Chain INPUT (policy ACCEPT) target […]
因此,我们有一个小问题是任何内部服务器都没有(非ICMP)访问到外面被阻止。 我们目前的configuration是: inside_access_in any —> any —> icmp inside_access_out any —> any —> ip 我明白,如果我添加“任何 – 任何 – IP”inside_access_in可能会解决这个问题,对吧? 我的主要问题是,为什么? inside_access_in和inside_access_out有什么区别? 将添加“任何 – >任何 – > IP”“inside_access_in”提供从外部世界的任何额外的访问内部接口 – 我不想做的事情.. 这里是sh run access-group; sh run access-group access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside
我正在尝试设置一个s trunk,到目前为止,一切进展顺利。 我面对的唯一问题是,当iptables服务运行时,没有收到呼叫。 通过停止服务一切按预期工作。 我需要的是理想的启动itbales和监视正在被丢弃的数据包。 理想情况下,我不会看到源IP和端口,以便我可以跟踪这个问题,有人请告知我需要什么命令。 我已经尝试了几个netstats命令,我仍然在寻找,但可能我正在寻找错误的东西。
情况: 运行PsExec需要20秒的时间与Windows防火墙和1秒,它被禁用。 添加到防火墙的例外情况: 根据http://jamesrayanderson.blogspot.co.uk/2010/04/psexec-and-ports.html打开端口135和445(都是tcp) “允许应用程序通过防火墙”select“远程服务pipe理” 确保networking设置为私人 没有这两个它不会连接。 目标机器运行Windows 10 在20秒等待它坐在说“启动PsEXESVC” 好,所以有一点wireHrking告诉我们,我们还需要打开另一个正在请求的端口。 第一次跑这个是49669,第二次是49670 不知道为什么,它会接受什么样的范围,有什么想法? 有没有PSEXEC需要打开什么港口的确定清单?