在我的木偶客户半定期运行期间,我看到数据包被丢弃。 我不明白是什么原因造成的。 我应该提到Puppet通过puppetlabs / firewall模块来pipe理防火墙规则。 但规则似乎没有改变。 通过这种说法,傀儡debugging并不显示规则被删除,然后被添加,数据包计数从傀儡代理运行之前继续,并且在傀儡代理运行期间查看规则在运行期间没有显示任何规则改变。 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 /* 000 accept all icmp */ ACCEPT all — 0.0.0.0/0 0.0.0.0/0 /* 001 accept all to lo interface */ ACCEPT all — 0.0.0.0/0 0.0.0.0/0 /* 002 accept related established rules */ state RELATED,ESTABLISHED ACCEPT […]
我是相当新的networking和路由,所以我将不胜感激这一点。 我有一个防火墙(watchguard x1250e),连接到一个交换机(Nortel Baystack 5510)与多个vlan的互联网接入。 FW的接口0(外部)是公共Internet网关。 公共IP地址 接口1(可选)作为内网网关。 192.168.5.1/24 FW的接口1将被连接到一个交换机,其IP地址为192.168.5.254/24 交换机上的vlan接口 vlan 2(pvid = 2) – 192.168.2.254/24,Port 1-12 = untagged vlan 3(pvid = 3) – 192.168.3.254/24,端口13-18 =未加标签 vlan 4(pvid = 4) – 192.168.4.254/24,端口19-20 =无标记 vlan 5(no pvid) – 192.168.5.254/24,Ports 21-22 = tagged(internet vlan) 在交换机上启用IP路由,所以存在VLAN间路由。 FW上的configuration 将watchguard上的NAT设置设置为dynamicNAT,将接口1数据包转换为接口0的公用IP地址 警卫上的静态路由正在设置为 192.168.2.0/24 – > 192.168.5.1 192.168.3.0/24 – > 192.168.5.1 […]
我想使用命令提示符允许一个可以连接到Internet(白名单)的IP地址,并使用Windows Server 2008上的Windows防火墙通过Internet阻止其他人的连接。 是否有可能只允许给定的IP地址(例如192.168.1.5),并通过使用cmd阻止所有的IP地址? 我如何禁用所有允许通过使用cmd规则?
我在服务器2012 R2上设置了Windows防火墙,以便始终要求对所有连接安全规则进行IPSecencryption。 然后,我为特定端口和服务指定了入站规则,并将其configuration为“要求encryption连接”。 所有这些设置都是通过组策略完成的。 这适用于IPv4连接,但不适用于IPv6连接。 我已经尝试了ICMP6和TCP / UDP端口相同的结果。 有时我可以在防火墙日志中看到块(专门用于TCP端口,但不总是用于ICMP6)。 我开始怀疑Windows连接安全性实现中的IPSecencryption是否不支持IPv6? 我已经试过研究这个,但没有发现任何东西来支持这个,除了Windows Server 2003的旧文档。 我可以补充一点,在这种情况下的用例是Windows Clustering,它使用IPv6进行内部集群通信。 这可能被禁用,但这不是由MS支持,所以我宁愿不去那样的方式。 我并不需要encryption内部服务器通信,但是如果我不需要encryption所有连接安全规则(在全局防火墙设置中),那么需要encryption的单个规则似乎不起作用。 或者是否有可能不要求对所有规则进行encryption,而只是针对一些规则进行encryption,例如端口445上的所有通信? 我已经添加了一些图片来阐明我正在使用的设置。 全球防火墙设置: 样本入站规则中的操作设置:
我在Centos 6.5上使用了Iptables,并尝试将iptables规则转换为centos 7的firewalld规则。然而,在firewalld中,我发现我无法 丢弃无效状态的数据包 创build一组规则来保护端口扫描 创build一个针对SYN攻击的规则(意思是寻找带有syn标志的数据包) 使用散列限制来限制每个IP每秒的连接数 我想我认为firewalld与iptables相比有一些不太可能的特性吗?
我正在进入VMware的NSX产品的世界,以便在数据中心中微细分割虚拟机。 也就是说,生活在同一个networking空间,却不能互相交谈。 我在使用分布式防火墙(DFW)时遇到的一个问题是允许出站互联网访问,同时保持微分段。 如果我要创build任何/任何/任何允许规则,它将允许虚拟机相互交谈。 我提出的唯一解决scheme是在群集之间放置denys并使用allow规则。 不过,这对我来说似乎很混乱,我不得不相信(在这一点上),NSX有更好的解决scheme。 我已经尝试过投入Edge服务网关,但我不知道做什么与DFW可以做的不同。 任何想法或事情尝试将不胜感激。
我正在亚马逊EC2服务器上运行OpenVpn的Centos 7服务器。 我怎样才能configuration它只允许访问端口2087和2083当我连接到VPN,但不是当我没有连接。 谢谢
我正在pipe理一个小型networking,我被要求阻止WhatsApp调用而不会阻塞其消息function。 当他们提供他们的公共IP地址时,我认为可以直接添加一些iptables规则,然后我意识到他们的列表没有指定任何端口,我也不知道哪些是调用。 请注意,我必须保留消息function。 任何想法如何阻止呼叫? 另外, 这里有人提到我应该使用QoS而不是阻塞。 他什么意思? Whatsapp的stream量是一个非常限制的令牌桶吗?
我正在尝试了解IPSec日志。 如果有人能够帮助我理解我所寻找的主要事情以及如何解决任何ipsec问题,那将是非常好的。 有人可以帮助我想象这个IPSec隧道是如何build立起来的 我非常想知道这个位:166.83.21.33 == [114.23.239.222] <4500> <—–> [210.54.48.233] == 166.83.0.0 SNAT:166.83.21.33 公开IP:114.23.239.222 公共ip的最后一个:210.54.48.233 166.83.0.0 – ?? Tunnel Id=35180 State=STATE_QUICK_R2 – ISAKMP Header, Connected Notification 166.83.21.33==[114.23.239.222]<4500><—–>[210.54.48.233]==166.83.0.0 Connection argument used: –name tun35180 –id 114.23.239.222 –host 114.23.239.222 –client 166.83.21.33/255.255.255.255 –nexthop 114.23.3.254 –updown /lib/ipsec/_updown –to –id 210.54.48.233 –host 210.54.48.233 –client 166.83.0.0/255.255.0.0 –pfs –pfsgroup=modp1024 –esp=aes128-sha1 –ipseclifetime=10800 –ikelifetime=14400 –keyingtries=5 –encrypt […]
我试图通过CLI(使用heroku的Toolbelt)连接到heroku,我无法这样做。 当我input我的凭据,heroku回复: Post https://api.heroku.com/login: x509: certificate signed by unknown authority 我在公司的防火墙内,阻止大多数连接,我必须使用证书进行导航。 我能通过clilogin到heroku吗?