我有一个十年前使用一对Linksys路由器build立的非常简单的小型企业networking。 在过去几年中,随着networkingstream量的增加,路由器变得越来越不稳定。 这些设备在过去的五年中没有固件升级,所以现在是他们走的时候了。 这是networking架构 WAN IP 192.168.1.4 192.168.4.1 Internet <——> DSL Modem <———> Linksys A <————–> Public Wireless AP (WDS) ^ ^ | | 192.168.1.2 192.168.2.1 | +——————> Second Public Wireless AP | | 192.168.1.3 192.168.3.1 +———————> Linksys B (Intranet) <—> Switch 所有的内网设备都通过192.168.3.1/24子网中的DHCP获得IP地址。 所有的公共访问发生在192.168.2.1/24和192.168.4.1/24子网上。 Linksys A路由器被configuration为阻止公众之间的stream量并提供子网。 它也被设置为从WAN连接到192.168.3.x子网的SSH连接。 我想用一个允许相同configuration的设备replaceLinksys A和Linksys B设备。 我目前正在考虑Netgear FVS318G或D-Link DSR-250 。 我看来,这两个可以拿起$ […]
如果数据包包含stringtest则需要将所有目标端口为15000的UDP数据包redirect到端口15001。 我有这两个简单的规则: iptables -t nat -A PREROUTING -i eth0 -p udp –dport 15000 -m string –string 'test' –algo bm -j LOG –log-prefix='[netfilter] ' iptables -t nat -A PREROUTING -i eth0 -p udp –dport 15000 -m string –string 'test' –algo bm -j REDIRECT –to-ports 15001 奇怪的行为: 如果第一个数据包包含teststring,则对连接的所有数据包进行redirect; 如果连接的第一个数据包不包含test ,即使后续数据包包含test ,也不会执行redirect 但是所有匹配规则的数据包都被正确logging 我试图添加轨道信息的规则: -m state –state NEW,ESTABLISHED […]
我们目前正在细分我们的networking。 我们将移动另一个子网中的服务器,而不是客户端。 当然,客户端仍然需要访问域控制器来对其进行身份validation。 我发现有关端口的各种文章需要在域控制器之间进行访问,以允许复制,但没有关于对客户端重要的端口。 我很确定客户端不会直接访问LDAP数据库,我想尽可能减less攻击面。 那么,客户端需要哪些端口才能使用域控制器?
我们有一个基于Linux的局域网,请看下面的架构图 我们有通过networking交换机连接的服务器和客户端机器,当有来自客户端的任何请求时,我们可以阻止服务器(192.168.12.10)中的请求。 但是,客户端1向客户端2请求我们无法控制的任何TCP / IP请求,并且我们无法在服务器中阻止,是否可能? 如果可能请解决我的问题。 服务器端阻塞我正在使用iptables。 例子 : Client1尝试使用22端口连接clinet2,现在我想阻止服务器的自身(192.168.12.10)clinet1请求,而不是在客户端,我想pipe理主服务器中的所有客户端请求。 编辑:我想要路由所有stream量通过我的服务器(192.168.12.10) Client1 – > SSH – >服务器 – > SSH – > Client2
1或2天后,我的防火墙变得非常慢。 我有5台机器,它们也变得非常慢。 硬件重新启动后,它变得更快。 我目前的conntrack限制: [root@fw ~]# cat /proc/sys/net/ipv4/ip_conntrack_max 100000 平均conntrack表计数: [root@fw ~]# cat /proc/net/ip_conntrack |wc -l 1301 我的iptables规则: [root@fw ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination DROP all — 24.0.0.0/8 0.0.0.0/0 ACCEPT udp — $IP_155 0.0.0.0/0 udp ACCEPT udp — […]
嗨,我想黑我的服务器从ips黑名单的任何联系人,我也想阻止任何域名,如果可能的话,只有发送之间的IP地址来回HTTP标头! 我想几乎阻止任何数据泄露到外面,除了服务的用户有一个有效的PHP会话! 我使用了很多代码,我只是为了学习而下载,我不知道发布这些代码的人从哪里得到了这些代码,或者在那里放了什么样的后门程序,所以我想确保我不会得到使用任何我不应该因许可和版权问题而造成的麻烦!
hping命令: hping3 hping3 -G –rroute $domain -i u1000 结果: len=80 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=176 win=0 rtt=0.2 ms (same route) len=80 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=177 win=0 rtt=0.2 ms (same route) len=80 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA seq=178 win=0 rtt=0.2 ms (same route) len=80 ip=127.0.0.1 ttl=64 DF id=0 sport=0 flags=RA […]
我有一个Rails的gem,做Active Directory身份validation,其testing套件有相当多的身份validation检查。 当我在局域网上运行testing套件时,一切都没有问题(正如人们所期望的那样),但我们正在考虑将我们的某个应用程序移到云服务器上,这当然意味着它将从networking外部访问DC。 我已经将LDAP Gem的副本拖放到了我们可以testing的云服务器上,并在防火墙上设置了一个端口,然后在进行设置后运行testing,但是失败了,但是如果得到你的密码错了。 我得到一个成功的login出现在DC的安全日志中,但是由于什么原因它没有将数据返回给客户端。 我有端口XXXX转发到端口389端口,我需要任何其他转发?
考虑到这些情况,你会推荐什么样的networking设备用于一组托pipe的Web服务器: 现在的情况 有两个 Web服务器托pipe在一个专门的衣柜里。 这个壁橱是由一个千兆电缆。 衣柜里有4U的空间,其中2U是由服务器占用的。 目前,这两台服务器中只有一台正在使用 – 另一台服务器已经下了订单 – 而且衣柜里什么也没有。 有两个服务器可以使用10个左右的静态公共IP地址。 什么是需要的 入侵预防 。 (我想这意味着一个防火墙,但可以有一个解决scheme,FW与其他东西结合(记住,只有2U免费))。 将1路input以太网连接复用到两台机器上。 (我想这意味着一个开关 – 但路由器会是一个更好的主意?) networking设备容错 ,即如果[路由器/交换机/防火墙,取决于上述问题]发生了什么情况? 目标是提供几个9的正常运行时间。 (不需要担心服务器本身的容错问题 – 这是单独介绍的)。 VPNfunction也很好,但不是强制性的。 哪种networking设备最适合这一套要求?
我在Web服务器上托pipe了一堆PHP网站。 尽pipe我采取了所有的预防措施来保护所有的港口,但80港口的具体攻击仍在继续。 我想禁止任何在任何网页上有活跃兴趣的IP地址,而不是一小时内说200或一分钟内15。 我假设一个用户不能在一分钟内冲浪15页,除非他的理由确实值得怀疑。 理想情况下,我希望将IP地址login到禁止的数据库中,并且对于属于我的客户端的那些IP地址也具有白名单IP地址。 有没有现成的工具可以做到这一切。 我看到了fail2ban,它没有达到目的…