我正在为我的团队configuration一个复杂的防火墙。 我们正在查看六个不同types的安全区域和stream量的接口。 我有一个很好的logging,干净的防火墙configuration脚本,但如果我运行iptables保存,结果当然没有评论。 结果也将与我们logging的政策不同步。 有没有一个很好的,干净的方式,我可以在Redhat上使用我自己的configuration文件,而不需要取消Redhat的Rube Goldberg脚本? 同时,我想确保那些相同的脚本不会跺脚我的configuration,或者,例如,当有人执行ifdown / ifup时,将防火墙彻底打开。
好的,这是一个有趣的问题。 分两部分: 在生产环境中运行TMG作为hyper-v guest是否明智? (有些东西在唠叨我,这不是一个好主意,但有可能让一个虚拟机独占访问一个网卡,在技术上,“主机”只是另一个有特殊权限的客人)。 如果将TMG作为hyper-v来宾运行,我应该将主机放在内部networking还是DMZ足够安全? 我的担心很明显,主机可能被认为是一个薄弱的环节。 DMZ在NAT后面,我不给主机任何外部访问。 我只给内部机器访问主机。 这是足够的,还是应该把主机内部? 或者回到第一点,我应该把这个想法完全放弃,把TMG放在一个单独的物理机器上吗? (所以我撒谎,我想这是三部分)。 澄清我的devise如下(所有在物理盒子上运行) 计算机A – Hyper-V主机无法访问通过Hyper-V创build的仅主机NICS虚拟networking。 也运行(目前)DMZ DC与单向信任到内部域。 和DNS / DHCP的内部。 仅连接到DMZ虚拟networking。 机器B – TMG访客机器三脚configuration:外部连接到分配有公共IP的物理网卡。 内部和DMZ都连接到虚拟networking。 防火墙规则允许机器A处理与内部DC / DNS的AD通信。 DMZ的物理网卡也连接到无线AP。 机器C- ?? 内部networking服务和客户端它们连接到内部虚拟networking,并根据具体情况进行访问。 一切工作正常,我只是想确保我没有在这个configuration的networking中创build一个大洞。
请原谅,如果这是一个问题。 我是一名程序员,充当networkingpipe理员。 我们在我们的安全事件日志中收到了大量失败的审计事件,这似乎是对我们的Exchange 2003服务器的powershell攻击。 日志细节如下: Event ID: 529 Process: Advapi Logon Type: 3 User Name: (all sorts of strange usernames) ProcessID: (points to Inetinfo.exe) 所以我猜测我们的Exchange / SMTP可以在端口25上公开访问。设置一个防火墙规则阻止端口25上的外部访问是个好主意吗? (只允许我们的networking内的stream量?) 请注意,我们在家工作时使用Exchange邮件网站,并且需要能够继续这样做。 PS:服务器运行Windows Small Business Server 2003,也充当域控制器。
我在我的Debian系统中键入以下内容: iptables –list 并得到如下: libkmod: ERROR ../libkmod/libkmod-index.c:816 index_mm_open: magic check fail: b007fa57 instead of b007f457 iptables v1.4.13: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. 有关如何解决它的任何提示?
我有一台运行FreeBSD 9的代理/防火墙机器,使用PF来根据需要路由和过滤stream量。 现在我设置了一个运行在ssh上的git服务器,但是我已经在使用ssh的22端口了。 我想从任何IP到22端口的stream量路由到另一台机器,如果他们用来访问服务器的主机名是一个子域名(git.mydomain.com)。 一种虚拟主机,但对于SSH … 这可能与pf? 有什么build议么?
我需要从运行Ubuntu 11.04的VPS启用端口7777,我在这里列出的iptables添加了规则, Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere anywhere udp dpt:7777 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere anywhere udp dpt:7777 Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT udp — anywhere anywhere udp dpt:7777 但是,当我telnet到端口7777,它说连接拒绝从我身边, telnet xx.xx.xx.xx 7777 ,即使我用telnet […]
我有一个连接到互联网的路由器。 我们通过局域网和广域网连接到路由器。 WAN设置启动,路由器用户/通行证,路由器访问通过WPA / WPA-2进行保护。 我想制作一些电脑,连接到路由器(局域网或广域网),并将受到保护,免受外界影响。 这样做的最好方法是什么? 电脑防火墙必须closures。 路由器防火墙打开,这是一个便宜的典型的TP Link路由器 – TL-WR741N / TL-WR741ND。 这些设置是否足够? 在路由器上设置防火墙,或者也许我可以阻止传入的stream量到某些ips – 我想在networking上interally使用的计算机的ips,所以来自外部的计算机将无法破解它们。
我正在设置Shorewall(4.4.26.1),并且一直试图弄清楚下午大部分时间在两个LAN段之间的路由。 现在是时候寻求帮助了。 ((INTERNET)) | | [shorewall] | | | | (LAN1) (LAN2) 我有三个NIC:WAN(Internet),LAN1和LAN2。 WAN到LAN通过NAT进行入站,通过DNAT进行出站(在masq中进行设置)。 LAN2不应该(现在也不能)访问互联网,但它应该可以从LAN1访问。 我目前能够从防火墙到LAN2,但不能从LAN1的服务器(这是问题)。 必要的规则已经到位,但显然路由不起作用(当我禁用防火墙规则时,在LAN1上的服务器上,SSH连接上立即出现“连接被拒绝”;当启用规则时,SSH挂起并且traceroute不会超越防火墙)。 LAN1位于172.0.0.0地址空间,LAN2位于10.0.0.0地址空间。 我目前有: $LAN2_IF 10.0.0.0/24 ..在masq中,但这是行不通的($ LAN2_IFparsing为eth2这是LAN2接口)。 我的问题是: 什么是最简单的Shorewallconfiguration转发两个不同地址连接到单独的NIC网段之间的stream量? 指向文档或其他参考的指针会有所帮助,但是一个简单的configuration示例会更好。 我一直在浏览有关Shorewall文档的路由,但还没有find匹配的描述(例如,我宁愿不必桥接LAN接口,因为它们需要保持分离:LAN2应该不能访问互联网或LAN1)。 感谢您的任何build议!
我们有一个网站,位于两个防火墙后面,主要和故障转移。 主要和故障转移防火墙有不同的IP,以及来自不同提供商的不同的互联网连接。 当主要故障转移或主要互联网连接死亡时,如何通过第二个IP自动连接到网站提供故障转移? 防火墙的故障转移有效,它们都是有状态的。 哪个模型并不重要,让我们来想象它们的工作原理。 我们知道,我们可以进入DNS并手动将网站IP更改为故障转移IP,但有没有更优雅更快的解决scheme?
我在我的Ubuntu机器上使用iptables有一个访问点。 该机器有eth0和wlan0桥接形成接口br0。 eth0和wlan0之间不应该有任何防火墙,我希望stream量能够自由stream畅地stream动。 如果stream量在eth0或wlan0处停止,则防火墙将启动 所以我在iptables中尝试了这个代码。 $IPTABLES -N RULE_3 $IPTABLES -A FORWARD -m physdev –physdev-is-bridged –physdev-in eth0 –physdev-out wlan0 -m state –state NEW -j RULE_3 $IPTABLES -A FORWARD -m physdev –physdev-is-bridged –physdev-in wlan0 –physdev-out eth0 -m state –state NEW -j RULE_3 $IPTABLES -A RULE_3 -j LOG –log-level info –log-prefix "RULE 3 — ACCEPT " $IPTABLES -A […]