我在Debian 7机器上运行一个web服务器(Apache),在同一台机器上使用iptables。 iptables规则由ConfigServer防火墙(CSF)脚本生成。 在那里托pipe的网站没有问题,但是我在端口80上看到很多丢弃的入站stream量 。 以下是日志摘录(webserver IP:11.22.33.44): Jan 27 15:21:36 [hostname] kernel: [1229124.817624] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=199.30.24.209 DST=11.22.33.44 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=3144 DF PROTO=TCP SPT=36879 DPT=80 WINDOW=510 RES=0x00 ACK FIN URGP=0 Jan 27 15:21:36 [hostname] kernel: [1229124.872795] Firewall: *TCP_IN Blocked* IN=venet0 OUT= MAC= SRC=199.30.24.209 DST=11.22.33.44 LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=3183 DF […]
考虑下面的networkingconfiguration: 客户端将其工作站连接到Web上的应用程序服务器。 该应用程序是完整的HTML,所以只有浏览HTTPS才足以启动应用程序。 另一方面,应用程序服务器将需要访问局域网上的MySQL数据库。 所以问题如下: 如何将远程应用程序服务器连接到本地Mysql数据库,例如使用客户端的反弹(我可以安装任何客户端)? PS:我不能更改防火墙规则,但我有应用程序服务器和客户端工作站的完整凭据。
我们有一台防火墙后面的PC。 (ASA 5505) [PC] => [ASA防火墙] => [公司代理/防火墙/任何] => [Internet] : – PC和ASA防火墙在我们的控制之下…其余的由我们的客户拥有和pipe理。 我需要电脑只能访问互联网上的一个IP地址。 (在端口80和https上) 由于各种原因,我不希望个人电脑知道防火墙外的互联网通过代理服务器。 我也不想强迫公司必须改变他们的代理服务器设置。 是否有可能获得思科(ASA)防火墙将请求转换为IP地址到代理请求,并阻止所有其他IP地址? 有没有其他解决scheme只涉及防火墙的configuration?
我试图解决Azure工作者angular色上的一个错误,我们偶尔会遇到错误“无法从传输连接读取数据:build立的连接被您的主机中的软件中止”。 当我们连接到外部资源,如谷歌身份validation服务器时,会发生此错误。 有几个人build议禁用服务器上的防火墙\防病毒软件。 我只是想知道这样做会带来怎样的安全风险。 服务器没有安装iis,但是会在没有防火墙的情况下容易受到黑客攻击? 谢谢
当我试图检入代码到TFS时,我最近开始看到下面的错误: The underlying connection was closed: A connection that was expected to be kept alive was closed by the server. TFS服务由我们的供应商托pipe。 当我直接连接到互联网,我可以检查代码。 但是,当我通过我们的局域网连接(这意味着我要么通过代理服务器,或可以重新configuration我的连接绕过代理,而是通过防火墙),我收到上述错误。 同样来自基于现场的供应商的顾问谁从我们的局域网的VPN到我们的供应商的networking没有看到这个问题。 这个问题对我来说并不是独一无二的,但是对于任何想从我们的networking(没有VPN)登入TFS的人来说都是一样的。 只有登记入住似乎受到影响。 检出代码,浏览存储库,查看历史logging或访问门户网站均按预期工作。 当我看着使用Fiddler的HTTPstream量时,我可以看到许多HTTP 401错误,这些错误来自URL / url / /tfs/myCompanyName/VersionControl/v1.0/upload.ashx / /tfs/myCompanyName/VersionControl/v3.0/repository.asmx /tfs/myCompanyName/VersionControl/v1.0/upload.ashx , /tfs/myCompanyName/VersionControl/v3.0/repository.asmx和/tfs/myCompanyName/VersionControl/v1.0/repository.asmx 。 据我们所知,供应商没有改变他们的TFS或防火墙,而我们这边没有修改代理或防火墙; 但是这个function在2个星期前就工作了,现在已经停止工作了,所以有些东西改变了。 有关这可能是什么的想法,或者我们如何解决问题? 提前致谢。
我公司的ISP已经实施了我所称的DNS“灰名单”(或者他们有一个configuration问题) – 他们阻止了在最近60次尝试查询的[parsing器IP,服务器IP]对之间的入站DNS查询秒。 因此,如果第一个查询失败,那么只要上次尝试的时间less于60秒,进一步的查询就会成功。 我假设这是为了隐藏主机扫描,假设合法的parsing器将重试查询。 他们甚至可能会阻止所有UDP数据包来对付端口扫描,但是我还没有find一种方法来testing这个。 事实certificate,Cisco IronPort设备通常具有超过60秒的重试间隔。 (尝试每个辅助DNS服务器15秒,然后在重试主服务器前60秒)我的公司无法接收大多数使用IronPort设备的组织的电子邮件。 我的感觉是,至less有一种行为是错误的。 所以我的问题是: 1)DNSparsing器的build议重试间隔是多less? 你能引用一个RFC或其他来源,还是事实上的行业标准? 2)DNS或UDP是“灰名单”的标准做法吗? 参考文献? 编辑 – 一些额外的背景细节: 我公司的DNS服务器都受到影响,我们的ISP的主名称服务器也受到影响。 他们的辅助名称服务器(实际位于其networking之外)以及受影响主机上游的名称服务器不受影响。 我们还有第二个ISP,通过这个路由进入的DNS查询不会被阻止。 我们的外部防火墙上的数据包跟踪显示,我们回答所有收到的DNS查询 – 丢弃的查询不会传送到我们的networking。 我提出这个问题的主要目标是制定一份标准文件,向我们的ISP(或不太可能的思科)表明他们的行为已经被破坏,需要修复。
我试图设置PFredirect规则来强制来自特定用户帐户的所有networkingstream量通过共享计算机上的网页filter。 使用iptables,我可以使用–uid-owner选项来限制规则适用于某些用户,如下所示 iptables -t nat -A OUTPUT -p tcp -m owner ! –uid-owner bob –dport 80 -j REDIRECT –to-port 8080 然而,我不知道如何达到与PF的rdr规则相同的目标。 我尝试了下面的东西,但是在使用pfctl加载规则时出现语法错误。 rdr inet proto tcp from any to any port www user bob -> 127.0.0.1 port 8080
我在用firewall-cmd或其他命令寻找一种方法来执行以下操作。 进入的公共接口有多个IP地址绑定到它。 我怎样才能转发端口只有一个IP地址? bond0 – public: 192.168.1.100 local machine SSHD bound here. 192.168.1.200 —> forward SSH, HTTPS to 192.168.1.53 vm bridge on machine 当我转发给定端口上的所有传入stream量时,我可以使用–forward-port,但是我只想为目标ip指向一个目标stream量。 将所有发往.200的stream量路由到.53 vm将是替代scheme,不知道如何完成。
我正在研究商业防火墙设备的替代品。 大多数在线可用资源描述了家庭networking防火墙或千兆以太网。 考虑到10GbE正在成为标准的服务器连接,是否有可能达到与使用白盒的专用设备相同的性能水平? 这个问题是特定于数据中心环境的,这意味着: 服务器级硬件 10到40GbEnetworking 其他要求: OpenSource操作系统 OpenSource防火墙软件 我知道从服务器获得10 Gbps的速度已经非常困难,但是可以在不使用专用硬件的情况下过滤这些stream量。 等待时间是否等于或至less与商用电器的数量级相同? 你们中的一些人在生产中运行这种设置吗? 开始之前有哪些缺陷和事情需要了解? 我重写了原来的一个缩小范围的问题: 是否有可能在数据中心networking(10GbE或更高)中运行基于OpenBSD的防火墙,并获得与Cisco ASA,Juniper SRX等设备相同或更好的延迟/带宽。
突然我的服务器的端口80被显示为过滤(没有服务器更改)。 我的网站有时超时或停留很长时间(在浏览器中)。 我的1&1技术支持是没有帮助的。 他把它留给我解决。 下面是Nmap的localhost输出, 从Nmap 5.51开始(http://nmap.org)在2015-08-05 13:12 IST 本地主机的Nmap扫描报告(127.0.0.1) 主机已启动(延迟0.000025s)。 本地主机的其他地址(未扫描):127.0.0.1 未显示:984个封闭端口 港口国服务 21 / tcp open ftp 22 / tcp打开ssh 25 / tcp打开smtp 53 / tcp开放域名 80 / tcp过滤http 106 / tcp打开pop3pw 110 / tcp打开pop3 143 / tcp打开imap 443 / tcp打开https 465 / tcp打开smtps 587 / tcp开放提交 783 / tcp打开spamassassin 993 / tcp打开imaps […]