我刚刚了解到CSF,就像它给我的日志/阻塞的可能性一样。 但是它并没有做到理想的阻塞。 情况如下,我有一个服务器与多个IP地址。 我在一个IP上运行apache,在另一个上运行ssh(因此,针对我的网站的黑客攻击ssh或其他服务的攻击变less了)。 到csf.allow我补充说: tcp|in|d=80|d=xx.xx.xx.xx tcp|in|d=22|d=xx.xx.xx.xy 然而,在iptables中,allow被添加在块之前,使其无用。 Chain LOCALINPUT (1 references) num pkts bytes target prot opt in out source destination 1 1074 92873 ACCEPT tcp — !lo * 0.0.0.0/0 xx.xx.xx.xy tcp dpt:22 2 34401 2163K ACCEPT tcp — !lo * 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 3 0 0 DROP all — !lo * xx.xx.xx.hacker1 […]
我目前有计划 2 x uplinks (HSRP Active/Standby) 2 x pfsense firewalls (Carp Enabled) 2 x layer2 switches 请以正确的方式批评或提供帮助。 我有一种感觉,我错过了一个简单networking的有效点。 防火墙将EXT链接桥接到INT,INT链路使用LAGG冗余
我有一个VPN连接到远程位置的服务器。 我希望其他电脑能够通过VPN连接器到达远程位置的networking服务器。 但我不能得到我想要的地方。 这是情况: VPN Server (and also the webserver): 10.0.0.2 ^ | Router: 192.168.1.127 & 10.0.0.1 (openssh port is forwarded to 10.0.0.2) ^ | | VPN Connector: 192.168.1.148 ^ | Client pc: 192.168.1.129 此外,VPNnetworking(称为tun0)的IP是:VPN服务器:192.168.2.1 VPN连接器:192.168.2.6 所以,如果我login到VPN连接器,并做一个wget 192.168.2.1:4848它工作正常。 这很好,VPN连接的作品。 但是我想要做的是:在客户端PC上去浏览器并转到192.168.1.148:4848。 (这是VPN连接器)。 然后连接器应该转发给vpn,显示192.168.2.1(vpn服务器)上的web服务器。 这是我的IPTables设置: iptables -t nat -A PREROUTING -p tcp -d 192.168.1.148 –dport 4848 -m […]
如果客户端每小时发送超过x个请求,我的要求是能够限制速度或暂时硬阻止对我们的服务器的任何请求一个特定的URL。 大概有25万个URL可能被阻止。 客户有独特的url,他们也做了一个httppost,所以像这样: customer1.example.com/post/location/36A107F4-DD68-47F2-A093-753F7A427CF6/ 其中customer1是客户名称 ,而36A107F4-DD68-47F2-A093-753F7A427CF6是其独特的位置指南 。 我希望我的应用程序能够进行某种API调用来阻止给定的url,然后使用API调用来取消阻止或使该块在x分钟后过期。 这可能与像haproxy或nginx的任何开源服务?
如何将VPN用户(使用NPS提供)分配给防火墙/networking中心设置中的域networking? 当前连接仅在将特定规则分配给公用networkingconfiguration文件时发生。
我正在尝试下载所有OpenCV源代码的http://code.opencv.org/svn/opencv/trunk/存储库 – 如OpenCV安装教程中所述。 在本教程中,使用了https://code.ros.org/svn/opencv/trunk/存储库,但他们将其移至http://code.opencv.org/svn/opencv/trunk/ ,现在您需要密码才能访问code.ros.org库。 无论如何,我正在使用TortoiseSVN来下载SVN仓库。 (我得到与http://sourceforge.net/projects/win32svn/相同的错误)我得到这个: Checkout from http://code.opencv.org/svn/opencv/trunk ,版本HEAD,完全recursion,包含Externals 响应“/ svn / opencv /!svn / vcc / default”的REPORT请求,服务器发送了意外的返回值(400 Bad request。Method Unknown) 在TortoiseSVN网站上,我发现了这个400错误: 你在防火墙后面阻止DAV请求。 大多数防火墙都这样做。 要么让你的pipe理员改变防火墙,要么使用https://而不是http://访问存储库,就像在https://svn.collab.net/repos/svn/中一样。这样你就可以通过SSLencryption连接到存储库,哪些防火墙不能干涉(如果他们不完全阻止SSL端口)。 还有一些病毒扫描程序(即卡巴斯基)已知会干扰并导致此错误。 code.ros.org存储库是https://,所以我可以访问它,但我需要一个密码,所以我不能。 我在ros.org上创build了一个帐户,但似乎仍需要一个密码(我不知道)来访问代码库。 我的用户名 – 密码组合不起作用。 我打开了防火墙设置中的所有TortoiseSVN程序。 没有改变。 我暂时停下了防火墙,看看是否干扰了我的请求。 我得到了同样的错误。 我怎样才能做一个svn结帐http://code.opencv.org/svn/opencv/trunk/opencv/,使我不会得到这个错误? 有什么办法让https://? 任何帮助,将不胜感激! 注意:我把它发布在Stackoverflow.com上后,我手动将其迁移到这里,因为这个网站似乎是一个更好的地方。
我有一个坐在数据中心的服务器。 它正在运行Linux。 eth0上的WAN接口连接到公共Internet; eth1上的LAN接口连接到10.0.0.0上的数据中心networking。 机器在端口n,p和q上运行一组服务; 以及港口r,s和t的一组服务。 它的WAN接口防火墙,所以没有任何东西是公开的互联网。 我希望用户能够使用OpenVPN连接到机器(或者其他什么,只要它是encryption的和安全的)。 用户应能够连接到端口n,p和q上的服务,但不能连接到端口r,s和t或10.0.0.0networking上的服务。 我也需要跟踪用户的带宽消耗。 如果我可以限制用户每单位时间(例如1GB /周,10GB /月)和/或限制它们的持续传输速率(例如100KB /秒),那将是一大好处。 让他们更快爆发也将是非常好的。 我是一个总OpenVPN noob。 我甚至不确定这个任务是否正确,尽pipe有人提出这个build议。 很显然,使用ssh并不是一个很好的解决scheme,因为它取决于authorized_keys文件中的一些限制,带宽监视/限制将是困难的。 我欢迎任何build议。
我有一个思科ASA5510,我们必须在两个独立的接口上分离networking。 除了networkingB需要访问networkingA上的打印机之外,networking应该与彼此无关。 Network A: 192.168.137.0/24 Printer: 192.168.137.20 Network B: 192.168.0.0/24 我已经从networkingA向ASDM接口中的打印机IP添加了传入规则,但客户端无法打印。 我们以前的路由器被configuration为让stream量通过,所以networkingB上的客户端已经configuration好了,所以如果stream量允许的话,它应该可以工作。 如何让networkingB上的客户端与打印机通信? 更新: find了下面的防火墙日志(感谢resmon6): %ASA-5-305013:与正向和反向stream程匹配的非对称NAT规则; 连接协议src接口名称:source_address / source_port [(idfw_user)] dst接口名称:dst_address / dst_port [(idfw_user)]由于NAT反向path故障而被拒绝。 尝试使用其实际地址连接到映射主机时被拒绝。 我是ASA的新手,所以请耐心等待,我想我应该在Configuration > Firewall > NAT Rules添加NAT规则,但是应该只允许翻译打印机的设置是什么? 更新2: 这是目前的NAT规则: Result of the command: "show run nat" nat (NetworkA) 101 0.0.0.0 0.0.0.0 nat (NetworkB) 101 0.0.0.0 0.0.0.0 nat (NetworkC) 101 0.0.0.0 0.0.0.0 […]
我工作的公司使用通过clickonce部署的应用程序。 这意味着每次他们更新所述程序时,程序在新的位置重新生成,即: C:\ Users \用户%USERNAME%\应用程序数据\本地\应用\ 2.0 \ 89XCT43D.10T \ WBZ8WE7L.927 \ trm8..tion_1ad39bb503bcb5df_0008.0005_14829906c9aa8611 \%APPNAME%的.exe 最近电脑更新到Windows 7的机器,现在每次更新推出Windows防火墙看到这是一个新的应用程序,并提示用户允许程序通过防火墙。 这意味着我必须走到每台计算机并键入pipe理员凭据。 有没有人知道通过Windows防火墙允许应用程序的方式,无论它在哪里? 到目前为止Google并没有太大帮助。
我有一个防火墙,在一个物理接口上有3个IP别名。 数据包在这三个接口(ICMP,HTTP或其他)之间被丢弃。 我们追踪到这些数据包在FORWARD规则中被标记为INVALID,并由于这个规则而被丢弃: chain FORWARD { policy DROP; # connection tracking mod state state INVALID LOG log-prefix 'INVALID FORWARD DROP: '; mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; } (也就是说,我们看到dmesg的INVALID FORWARD DROP日志) 什么可能导致这个?