我已经在我的本地盒子里用了几个月的IP问题。 通常当它开始行动时,我没有耐心去查看它,所以我只是放弃了DHCP,但是今天早上我终于决定弄清楚发生了什么。 我在一个networking上有192.2.40.1作为网关,并且是一个255.255.254.0子网(所以IP范围是192.2.40.1-192.2.41.254)。 我的静态IP地址是192.2.40.17。 我们有一个位于192.2.40.1的Watchguard Fireware XTM防火墙/路由器。 另外,我们的DHCP范围是192.2.41.200-192.2.41.254 问题是我偶尔失去了我的networking连接,当我尝试重新连接时,我得到有关IP地址冲突的错误。 我们在这里loggingIP地址是相当严格的,所以我发现其他人会使用我的IP地址是很奇怪的。 我做了一些networking扫描,检查了我的DNS和DHCP日志,没有发现任何使用192.2.40.17(除了我的电脑)。 抓着吸pipe,我跑了“arp -a”来检查是否可以给我提供任何信息。 奇怪的是,这是我所看到的(注意:我现在在DHCP上): C:\Users\jwegner>arp -a Interface: 192.2.41.107 — 0xa Internet Address Physical Address Type 192.2.40.1 00-90-7f-42-3f-30 dynamic 192.2.40.17 00-90-7f-42-3f-30 dynamic //Truncated, because the rest is not important 有趣的是,我的本地计算机似乎将192.2.40.1和192.2.40.17视为同一设备。 我检查了MAC地址,这确实是我们防火墙/路由器的MAC地址。 我清除了我的ARPcaching,认为有些东西刚刚转向某处。 然后我ping了192.2.40.17重新cachingarp,并且arp -a输出同样的东西。 我的防火墙/路由器没有任何东西可以让它接pipe192.2.40.17地址。 另外,如果我ping 192.2.40.17,我什么都得不到,所以我必须在这里得到某种误报。 任何想法可能会导致这一点?
我的U-Verse调制解调器被称为“自反ACL” Reflexive ACL:当启用IPv6时,您可以启用Reflexive Access Control Lists来拒绝入站IPv6stream量,除非此stream量是由于返回传出数据包(除非通过防火墙规则configuration)。 这似乎是一个非常好的方法,不必在路由器后面的每台计算机上维护一个防火墙,从而获得IPv6地址。 这听起来像是一个NAT,这对我的小家庭networking来说就是我现在想要的。 现在我的调制解调器就像路由器一样,所以我正在configuration一个OpenBSD路由器来完成这个任务。 我已经获得了IPv6的支持,所有这些以及我的OpenBSD路由器将通过rtadvd发布IPv6地址。 现在我想让人们不能通过IPv6即时访问我的本地networking。 在OpenBSD 5.0中,我怎样才能最好的使用pf的Reflexive ACL呢?
在OSX服务器中,防火墙通常按每个应用程序打开,而不是每个端口打开。 不过,我有大量的自编译服务器,我发现打开它们的端口更方便,而不是从某个地方select它们的二进制文件。 (在数以百万计的脚本和二进制文件之间,发现服务器中的“二进制”通常是很麻烦的。) 如何打开OSX服务器防火墙上的各个端口?
最近我听到很多stream行词“云”,我甚至听说过云防火墙。 但是我在寻找的是如果我使用eucalyptus将基础设施作为服务(IaaS)实施为私有云,并使用euca-tools创build组,那么这将足够安全吗? 另外我遇到了一个用户在虚拟机中安装pfSense的论坛。 这有意义吗? 实际上我是一名实习生,我被要求研究云中的访问控制。 我还被要求安装一个工具(由我的公司开发),通过推送IPtables提供细粒度的访问控制,这是集中完成的。 我打算在VM中部署这个。 但是,如果euca团队足够安全,我所做的不仅仅是浪费时间? 我对此很困惑。
我知道这不是最好的解决scheme,它不是一个生产服务器,但是,我仍然试图删除请求到一个域,如果它不匹配域string。 如果我自己应用这个规则,到目前为止它是有效的,但是它不会与其他规则一起工作。 我猜是因为iptables对命令敏感。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Allow unlimited traffic on loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow full outgoing connection but no incomming stuff iptables -A INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT […]
我有两个接口:eth0(公共地址)和10.0.3.1的lxcbr0。 我有一个LXC客户端运行IP 10.0.3.10 这是我的fireholconfiguration: version 5 trusted_ips=`/usr/local/bin/strip_comments /etc/firehol/trusted_ips` trusted_servers=`/usr/local/bin/strip_comments /etc/firehol/trusted_servers` blacklist full `/usr/local/bin/strip_comments /etc/firehol/blacklist` interface lxcbr0 virtual policy return server "dhcp dns" accept router virtual2internet inface lxcbr0 outface eth0 masquerade route all accept interface any world protection strong #Outgoing these protocols are allowed to everywhere client "smtp pop3 dns ntp mysql icmp" accept #These (incoming) […]
好吧,这里是我的问题iv最近build立了一个FTP服务器,一切工作正常,除非我试图让svchost.exe通过防火墙,我得到的错误信息“窗户不能通过防火墙svchost”。 如果我禁用防火墙没有问题,但我宁愿有防火墙了(显而易见的原因)任何人都可以告诉我为什么它不允许通过防火墙的应用程序,以及如何解决? 或者我可能做错了接收这个消息,因为所有的教程iv看到没有这个问题。 在此先感谢您的帮助。
我正在用虚拟机构build一个小型办公室networking。 我的模式是这样的: 计算机A :网关,ip 1.1.1.1 ,用于NAT的iptables [eth0 =公网dhcp,dhcp; ETH1 =网关] 计算机B :使用来自计算机A的网关的客户端ip 1.1.1.2 。 NAT正在工作,而计算机B可以使用A的网关访问互联网。 我将一些传入端口从Aredirect到B(例如,如果A接收到端口80的请求,它将自动进入计算机B的Apache)。 问题是我真的不知道如何从计算机A打开/closures计算机B的端口。我知道如何closures一个端口: iptables -A INPUT -p tcp –dport 80 -j DROP 它将拒绝所有到端口80的input(不是输出)连接。但是,这对于主接口eth0是有效的。 举例来说,我试图为计算机B,端口80放入和传出连接: iptables -A FORWARD -i eth1 -o eth0 -p tcp –dport 80 -j DROP iptables -A FORWARD -i eth0 -o eth1 -p tcp –dport 80 -j DROP 但它不起作用。 […]
我有一个networking有3个子网10.1.4.0/24,10.1.5.0/24,10.1.9.0/24。 它们都使用IBM Proventia防火墙进行路由。 防火墙是相当简单的,一切似乎都工作正常。 但是,如果我尝试从10.1.4.xxx的10.1.9.xxx上联系Web服务器,该页面需要5分钟以上才能加载,并且通常不会完全加载所有的图像。 如果我从10.1.5.xxx联系同一个Web服务器,它会立即加载到任何PC上。 我可以从10.1.4.xnetworkingping Web服务器。 我可以端口扫描服务器,并看到在80的stream量是从10.1.4.xnetworking自由stream动。 防火墙设置并允许通信。 所以我采取了wireshark捕获的stream量和过滤ip.src == 10.1.9.xxx或ip.dst 10.1.9.xxx。 捕获是奇怪的,有很多数据包似乎从HTTP交易中丢失。 wireshark提供的有关TCP重传的许多警告。 在初始接触期间的第一个3-5之后几乎每个分组都被重发。 我从桌面捕获了一个很好的HTTP事务(到同一台服务器)并进行比较。 这几乎就像防火墙或丢包一样。 这个设备有一个内置的IPS和AV系统,我已经尝试禁用它们两个。 (甚至在同一时间)。 有问题的两个子网在本地没有WAN链路或VPN。 10.1.9.xxx子网通过pipe理型交换机。 也许交换机正在丢弃一些东西?
我有postfix和运行,我认为它已经完成,虽然还有一些testing要做。 但是在某个时候,它停止接受我家用电脑的连接。 我试图telnet到端口25上的邮件服务器,我得到一个超时。 但是,如果我从一个iPhone应用程序从单元networkingtelnet到它,我得到它连接的220消息。 这发生了一次,几天后,我能够再次连接几个小时,但它再次停止响应。 同时,我仍然可以从其他地方连接。 我试图看tcpdump的连接,我可以看到连接从手机进来,但不是从家庭networking。 所以我第一次猜测听起来像防火墙阻止我的IP。 但是我仍然可以从家庭networking访问https,所以它不是防火墙,除非它只阻塞来自某个IP的某个端口。 我已经要求数据中心多次检查防火墙,他们向我保证,这不是阻碍我的东西。 有没有设置在后缀会拒绝一个特定的IP一段时间? 也许是因为失败的authentication尝试过多? 我仍然不认为这是有道理的,因为如果是这样的话,我应该在tcpdump中看到一些东西,但我没有想法。