服务器 Gind.cn

Articles of 防火墙

iptables命令清除所有现有的规则

我的服务器是红帽企业Linux服务器版本5。 什么是正确的/正确的命令来清除/etc/sysconfig/iptables定义的所有现有iptables规则(以便我可以开始定义/添加我的新规则)?

基于HTTP的SSH(S)

我在work.com上有一个apache服务器,它只允许通过端口80和443的传入HTTP和HTTPS请求。这些是在networking上打开的唯一端口。 我希望在家时能够通过SSH连接到服务器,但是IT拒绝打开端口22。 有没有一种方法来configurationApache接受SSH通信在地址ssh.work.com,并将其转发到端口80上的sshd?

OpenBSD防火墙 – 上网本硬件选项 – 优缺点

我正在考虑把OpenBSD放在上网本上用作防火墙。 我喜欢使用上网本的想法,因为它有一个内置的屏幕和键盘,内置电池备份和相对较小的物理足迹。 防火墙将用于小型办公室(即<20台电脑)。 我想知道使用上网本作为OpenBSD防火墙有什么缺点,以及我可能想要考虑的其他select。 一个明显的缺点是上网本很less(如果有的话)有两个以太网端口,所以需要一个USB-以太网适配器。 在查看OpenBSD上网本防火墙时应该考虑哪些其他利弊? 谢谢阅读。 我很感激你的想法,并期待阅读你的反馈。 布赖恩

如何干净地默默地重新加载iptables规则?

我有非常复杂和长的iptables脚本。 通过手动插入/replace或删除,不可能在现有的iptablesconfiguration上进行操作。 我有一个脚本,只需刷新所有规则和自定义链,然后重新从零开始加载所有内容。 这种方法在一定程度上运作良好。 我有很多敏感的stream量,比如封装在IP数据包中的E1线路等等。 我不能放弃所有规则并重新插入,因为这太慢了。 如果没有超过50ms的规则,许多东西就会中断。 除此之外,一些高吞吐量的stream量会进入部分恢复的防火墙,最后导致非常不好的conntrack条目,这需要手动干预来恢复function。 解决办法是在当前的末尾添加新的规则,然后删除旧的规则,这在理论上可以导致连续的规则集。 问题是,具有自定义链,ipset等的脚本变得非常复杂和容易出错。 问题是 – 你知道任何现有的解决scheme(在iptables之上的额外层),处理我在这里提到的问题? 提前致谢。

使用主动FTP模式而不是被动模式的风险

在服务器上,我正在使用一个Perl脚本,它定期从另一台服务器使用FTP下载几个文件。 不幸的是,Perl FTP模块中存在一些问题,导致脚本不时地意外终止。 我发现这个问题很容易通过从被动模式切换到主动模式来解决。 如果我正确理解这两种FTP模式之间的区别,使用主动模式意味着我需要在防火墙内打开某个端口范围。 我认为这带有一些安全风险。 所以我的问题是是否有一些解决方法或一个很好的做法,所以我可以在我的服务器上使用主动模式,而不会导致任何额外的风险。

防火墙安全指南

我正在寻找防火墙和VPN的一些最佳实践或安全指南。 试图研究一些关于networking安全的知识,并编写一套十进制(一套规则)。 实施新系统时有用。 有任何想法吗? 谢谢。

什么是简单的Linux工具就像猫,但通过TCP(用于端口敲)工作?

对于我以前工作中的端口敲打,其中一个SA用来执行如下操作: echo 'blah' > tcpcat -a 192.168.3.1 -p 2222 && ssh [email protected] 我不记得我所指的tcpcat 。 有人知道吗?

为什么第一条规则在iptables中没有被匹配

我有iptables规则,我希望从2 ips允许ssh。 为什么柜台增加了第二条规则,而不是第一条规则。 即使我尝试从两个IP我不能ssh到它。 Chain INPUT (policy ACCEPT 87 packets, 6188 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT tcp — * * !115.xx71 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable 14 1400 REJECT tcp — * * !115.xx176 0.0.0.0/0 tcp dpt:22 reject-with icmp-port-unreachable 是不是像当我从115.xx71 ssh s匹配第一条规则,我应该得到的访问,它不会匹配秒,即使我从115.xx176 ssh它是违反第一条规则,它会被拒绝,但我不能从第一个ip甚至ssh。

使用iptables-persistent将fail2ban规则加载到iptables

我正在使用iptables-persistent包在启动时重新加载我的iptables。 我一直在想,我应该添加fail2ban规则到加载的configuration文件? 现在我看到他们是重复的。 这是我的防火墙configuration: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh – [0:0] -A INPUT -p tcp -m multiport –dports 22 -j fail2ban-ssh # Accepts SSH connection -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT # HTTP -A INPUT -p tcp –dport 80 -j ACCEPT # SSH -A INPUT -p tcp […]

AD域控制器砰的一声

我的Windows Server 2008域控制器每分钟获得数百次login尝试。 大多数情况下,IP地址不在事件日志中,但偶尔出现的IP地址往往来自匿名冲浪网站。 但是,当我们阻止一个IP地址时,攻击就会移动到另一个站点。 所有的尝试都使用合法的帐户名称。 这导致了很高的数字或帐户locking。 我可以configurationWindows防火墙来拒绝不在本地networking上的IP地址吗?
Intereting Posts
replaceSSL数字证书的潜在问题? 两个域名发送给同一用户 在本地弃用SSH密钥对的方法 从linux CA创build交换证书 导入PNG到SQL Server(无磁盘访问) 如何检查TUN / TAP接口的防火墙是否被禁用? 主机名(不是IP别名)的DNS查询别名,可能通过dnsmasq BIOS密码重置 客户通过网站上传到另一台服务器? 如何在实例上configuration虚拟主机? 如何解决nginx 413错误? 更改交换服务器回复名称 了解Apache错误日志 优化NGinx + PHP-FPM Subversion服务器连接问题