(请原谅,如果这是张贴在一个不正确的论坛,我们不知道到哪里发布。 我们有一个ASP.NET Web API单页面应用程序 – 一个在IIS中运行的基于浏览器的应用程序,用于提供HTML5 / CSS3 / JavaScript,与ASP.NET Web API端点进行通信,以访问数据库和传输JSON数据。 在我们的开发环境中,所有的工作都很好 – 也就是说,我们有一个带有ASP.NET Web API项目的Visual Studio解决scheme和两个用于数据访问的类库项目。 在开发框上进行开发和testing时,使用IIS Express到localhost:port来运行网站并访问Web API,一切都很好。 现在,我们需要将其转移到生产环境中(而且我们遇到了问题 – 或者只是不了解需要完成的工作)。 生产环境都是内部的(没有什么会暴露在公共的互联网上)。 有两个域。 一个域即企业域是所有用户正常login的地方。 另一个域(进程域)包含我们的应用程序和Web API将需要访问的SQL Server实例。 IT人员希望在这两个域之间放置一个DMZ以容纳IIS应用程序,并且防止企业域用户直接访问进程域。 所以,我猜他们想要的是: corp域(最终用户)< – >防火墙(打开端口80)< – > DMZ(运行IIS的Web服务器)< – >防火墙(打开端口80或1433 ????)< – >进程域(IIS for Web API和SQL Server) 我们是开发人员,并没有真正理解所有的networking方面,所以我们想知道如何在这种情况下部署我们的浏览器/ Web API应用程序。 我们是否需要拆分我们的应用程序,以便所有客户端代码(HTML5 / CSS3 / JavaScript […]
我的服务器运行Ubuntu 10.04.4 LTS,我想拒绝stream量到端口25.目标是这样的: $ telnet {ip} 25 Trying {ip}… telnet: connect to address {ip}: Connection refused telnet: Unable to connect to remote host 我试过直接使用iptables ,但是失败了。 相反,我现在正在尝试uwf : $ ufw reject 25 但是,它不能按预期工作: $ telnet {ip} 25 Trying {ip}… # Waiting for a minute… telnet: connect to address {ip}: Connection refused telnet: Unable to connect to […]
我们有一个网站服务器(IIS)托pipe一些电子商务网站。 我们在服务器前面的防火墙对入站和出站stream量都有限制。 networking服务器使用DNS解决scheme向支付提供商(以及其他第三方服务)发出呼叫,并且我们的防火墙允许向这些IP发送stream量。 我们需要允许的IP列表的更新发布在他们的网站上。 当支付提供商(或者我们的网站使用的任何其他服务)为他们的解决scheme增加了更多的服务器时,如果我们的防火墙已经不允许对这些新IP的出站呼叫失败。 问题是:有什么方法可以允许基于域名(例如paypal.com)的出站访问,而不是使用一个IP地址块,而这些IP地址不总是保持不变? 前面的防火墙是由思科制作的。 另外,还有其他的方法适合这种情况吗? 提前致谢
我们有一个主办公室和另一个只有5人的小办公室。 我们最近在我们的主要办公室安装了OpenVPN,并在我们的主办公室局域网和位于小型办公室的Windows 2003服务器之间创build了一个桥接VPN。 Windows 2003服务器有两个网卡,一个用于与networking192.168.0.0 / 20的主办公室连接,另一个用于和192.168.16.0/24上的本地networking通信 在主办公室,我们有一个杜松SSG320防火墙,但在小办公室,我们目前没有防火墙。 现在,主办公室的计算机可以在小型办公室和其他办公室的计算机上ping和访问资源,其中包括192.168.16.0/24networking上的资源,但是当我们另外尝试时,Windows 2003服务器之外的计算机可以ping任何机器在主办公室,但如果他们尝试访问主办公室或内联网机器上的任何共享文件或此networking上的任何内容,则会失败。 我们已经看过瞻博防火墙,我们甚至已经设置了一些允许来自其他networking的stream量的策略,但是我们正在防火墙日志中获得Close-AGE OUT和Close-RESP。 任何帮助将不胜感激。
我正在寻找一种通过限制性防火墙获得快速OpenVPN连接的方法(这不是一个工作场所,我也没有违反任何行为准则)。 目前我正在使用端口443直接到openvpn服务器,因为防火墙允许在此端口上的任意TCP。 除了80和443之外,没有端口是开放的(仅TCP),DNS是内部的。 但是,443端口的速度限制为15mbit / s,非常不可靠(openvpn链接每隔几分钟就会完全失败)。 我已经彻底testing,得出的结论是,端口80将只允许传统的HTTP请求 – 任何涉及CONNECT或传输编码:块化将被无声地丢弃。 ping足够低(5-10ms),并且速度足够高(70mbit向下,15mbit以上),我真的准备好考虑HTTP轮询隧道(或者一些巫术设置了巨大的内容长度并且触发了大量的假人数据),但问题是我找不到一个。 有没有解决scheme已经存在? 我尝试了一般推荐的http://sourceforge.net/projects/http-tunnel/ ,但没有喜欢,因为它需要分块编码。 编辑:find一个半解决scheme – http://www.targeted.org/htthost/ 。 但不幸的是,在延迟方面太慢了。 有趣的是,在我把它放在nginx之后,通过打开它的内部URL,我能够看到透明代理的默认页面(显然是wampserver apache)。
我遇到了从Web应用服务器到数据库服务器被阻塞或过滤的stream量问题。 我使用防火墙规则允许入站和出站stream量在所需的IP和端口上,但有些数据包/连接仍然被阻止/丢弃。 在我看到的最新事件的事件日志中: The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 0 Application Name: – Network Information: Direction: Inbound Source Address: redacted-webapp-ip Source Port: 51888 Destination Address: redacted-database-ip Destination Port: 1433 Protocol: 6 Filter Information: Filter Run-Time ID: 72605 Layer Name: Transport Layer Run-Time ID: 13 使用netsh wfp show state的输出,我可以find有关导致丢弃的filter的信息: <item> […]
我想configuration我的iptables ,以便让Pidgin使用Bonjour协议,现在根据: Bonjour for Windows不工作,由于防火墙设置 ,我必须允许Multicast DNS / (5353/udp) 。 [alexus@wcmisdlin02 ~]$ cat /etc/redhat-release Scientific Linux release 6.4 (Carbon) [alexus@wcmisdlin02 ~]$ uname -a Linux wcmisdlin02.uftmasterad.org 2.6.32-358.6.2.el6.x86_64 #1 SMP Thu May 16 11:21:38 CDT 2013 x86_64 x86_64 x86_64 GNU/Linux [alexus@wcmisdlin02 ~]$ sudo iptables -L | grep mdns ACCEPT udp — anywhere anywhere state NEW udp dpt:mdns […]
我正在尝试configurationCisco ASA 5510防火墙以允许从LAN到DMZ Web服务器的访问。 Web服务器位于DMZ中,正在使用端口8080.我不希望用户每次尝试访问该站点时都键入端口号。 所以它应该从80到8080端口。我已经做到了外部访问。 当外部用户尝试访问Web服务器时,端口转发工作正常,但对LAN用户不起作用。 我用ASDM来做到这一点。 你能帮忙搞清楚吗? 什么命令来解决这个问题? 谢谢。
大师, 我们有一个miktorik路由器,我们想阻止RDPpowershell,但是我们也需要白名单来允许我们的学院连接而不会阻塞他们。 (他们有时打错密码..) 所以作为一个早期的post和@Regan的build议,我们用这个规则阻止RDP攻击: add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \ comment="drop rdp brute forcers" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new \ src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \ address-list-timeout=10d comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new \ src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \ address-list-timeout=1m comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \ action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no add […]
嗨,大家好,我有一个很奇怪的问题发生在我的一个盒子里。 如果有人可以build议我可以检查,请让我知道。 谢谢。 这是布局。 Box 1&Box 2 <>防火墙<> Internet 现在有趣的是,框1,我可以运行“yum”实用程序来下载和检查包在线,但与框2,我正在得到一个时间。 仔细研究这一点,我已经排除了这是一个防火墙的问题,因为我能够通过yum看到通过防火墙的Box 1&Box 2所做的连接请求。 我已经进一步排除这是OS操作系统防火墙的问题,因为它们都具有相同的设置,并且都有http权限。 从框2运行testing,我得到以下。 最后一个命令被阻塞了。 方框1上的相同testing结果与响应。 [root@uat webalizer]# telnet 8.8.8.8 53 Trying 8.8.8.8… Connected to google-public-dns-a.google.com (8.8.8.8). Escape character is '^]'. Connection closed by foreign host. [root@uat webalizer]# [root@uat webalizer]# ping www.yahoo.com PING ds-any-fp3-real.wa1.b.yahoo.com (98.138.252.30) 56(84) bytes of data. 64 bytes from ir2.fp.vip.ne1.yahoo.com (98.138.252.30): […]