我有一个有256个IP地址的服务器供我们内部的办公室使用。 每个IP都通过鱿鱼代理给予我们的员工。 他们连接到代理他们浏览等等。问题是,有些必须做枯燥乏味的任务,而其他人不做,但交通繁忙的结果吃了所有的带宽,每一个都剩下一个可笑的下载0.09mb /秒。 我的问题如下。 是否有一个Ubuntu的工具,它分析的IP地址做了很多的stream量,然后对其连接应用限制? 像防火墙或东西?
我已阅读这里的基本说明: https://help.ubuntu.com/community/UFW 我想sudo ufw default deny ,然后 sudo ufw allow ssh sudo ufw allow smtp sudo ufw allow www sudo ufw allow https sudo ufw allow imaps 允许我需要的服务,我错过了什么? 我假设允许ssh也允许scp ? (heck我也会允许sftp)。 然而,我的问题是我是远程连接 ,所以唯一的办法,我可以做我想做的是实际上做一个sudo ufw default allow然后使用less /etc/services提供的服务列表,并单独拒绝每个服务 ? 这似乎是一个痛苦,如果我打开防火墙默认拒绝它会引导我出我的SSH连接? (也贴在askubuntu上,不知道哪个是最好的地方)
我有一个可怕的时间诊断为什么这些奇怪的Raw Ethernet II数据包在我的防火墙的LAN端。 目标MAC地址似乎增加了源MAC地址似乎是随机的。 可能的IPv6? Netgear SRX5308防火墙连接到netgear GSM7224交换机。 预先感谢您的帮助。 No. Time Delta Source Destination Protocol Info 120 18:19:33.611085 -0.526987 18:c5:19:e1:d8:7f 33:3a:00:00:7b:43 0x17f9 Ethernet II 133 18:19:35.984456 0.204837 ee:a9:42:09:93:19 b0:26:00:00:07:72 0x42a0 Ethernet II 139 18:19:35.984581 -0.142283 16:32:e7:db:5d:92 b0:26:00:00:07:73 0x5fcb Ethernet II 200 18:19:43.755275 0.671324 30:7c:db:b6:52:96 33:3a:00:00:7b:4f 0x7e09 Ethernet II 204 18:19:43.776927 -0.607388 89:2d:e1:70:94:13 33:3a:00:00:7b:50 0xe609 Ethernet […]
我们有安装了MySQL的Windows Server 2003计算机和Windows XP客户端计算机。 在客户端机器上,我们有一个C ++应用程序。 两台机器上的Windows防火墙都是活动的。 我们在客户机和服务器机器上打开端口3306以进行数据库连接。 当我们想要检查C ++应用程序的数据库连接时,服务器的响应非常慢。 我们search了一下,并在MySQL论坛上有人说,当他在客户端机器上打开端口3306和65000时,服务器响应很快。 但是没有人确认应该打开65000端口。 我们testing了端口65000,我们的服务器已经开始快速响应。 在这种情况下我们应该怎么做? 任何帮助将不胜感激。
我在Ubuntu上设置了一些在kvm上运行的客户端。 networking访问的客人是通过br0坐在eth0之上的网桥。 我有ufw在主机上运行,这是限制stream量到主机。 有没有办法让主机上的规则适用于所有的客人,所以阻止主机防火墙上的一个端口将阻止所有的客人访问?
我已经在Open VZ虚拟化实例上运行VPS。 不幸的是,我在启动和运行防火墙方面遇到了很多麻烦。 我尝试了我惯常的UFW和shorewall,但是他们都不会启动。 运行vps的公司build议我在这里使用csf ,但是不能启动。 然后我尝试直接修改IPTables,但现在不会启动。 通过类似的阅读,它看起来像它的开放式VZ,让我头痛,但无论如何,我可以得到一个防火墙,并运行在我目前的设置? 干杯
我有几个防火墙规则,我想在启动时应用。 我遵循了http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf中的说明。 但是,这些规则在启动时不适用。 我正在运行10.6.8非服务器版。 然而,我可以运行:(正确应用规则) sudo ipfw /etc/ipfw.conf 其结果是: 00100 fwd 127.0.0.1,8080 tcp from any to any dst-port 80 in 00200 fwd 127.0.0.1,8443 tcp from any to any dst-port 443 in 65535 allow ip from any to any 这是我的/etc/ipfw.conf # To get real 80 and 443 while loading vagrant vbox add fwd localhost,8080 tcp from […]
目前我们正在寻找平坦的AD结构,使事情变得更易于pipe理,但是我们仍然希望保持我们的安全态势尽可能接近现在的状态。 目前,我们有AD森林孤岛由防火墙隔离,没有一个森林彼此交谈,除了一些例外的非现场复制DR的目的。 我们希望转移到一个具有根域且不超过两个其他域的单一AD森林devise。 问题是,保护通过防火墙边界的DC到DCstream量的最佳方式是什么? 这是踢球。 我们目前的态度是,不允许较低安全区域向较高安全区域发起入站通信(不进入),因此DC之间的双向通信只有在较高安全区域中的DC想要与DC通信时才会发生较低的安全区域(仅出口发起的通信量)。 我知道,使用网站,我们可以控制复制,所以它只是一种方式启动,但我想确保这控制了两个DC之间的stream量所需的所有端口的stream量。 我也知道我们可以使用IPSEC隧道来限制需要在防火墙上打开的端口,并使隧道不encryption,这样IDS / IPS仍然可以分析stream量。 鉴于此,我想知道你们是否对如何做到最好。 我非常怀疑,我们是唯一支持这些要求的组织。
我正在看我的Apache访问日志,并有几个IP范围的可疑活动。 他们的共同之处在于它们全部被识别为“Allegro-Software-WebClient / 4.07”。 有没有办法让我创build一个apf或类似的规则将做到: DROP ALL CLIENTS IF NAME STARTS WITH "Allegro"
我试图转发一个只能监听一个端口的应用程序的现有端口。 问题是程序和防火墙在同一台计算机上(Windows Server 2008 R2)。 例如,我的应用程序监听端口65000.用户可以从example.com:65000访问它。 但是我想增加用户从example.com:64000访问它的可能性。 服务器将像NAT一样工作,但在同一台机器上,将请求数据包的目标端口从64000更改为65000,并将响应数据包的始发端口从64000更改为65000。 就我所能做的而言,我只是在第一阶段成功地进入了目的地港口。 但服务器对错误地址(取决于我设置的参数,如果我保留了源地址或重写为127.0.0.1)还是错误的源端口响应。 这是与NetworkActif Autapf,但我认为我可以做到这一点与Windows防火墙… 有没有办法做到这一点? (在Windows Server 2008 R2上) 提前致谢。