我在我的pf.conf中有以下设置来劝阻滥用的客户(我每天得到一些显然只是不加区别地拖动内容,拖慢所有内容): pass in on $ext_if proto tcp to { $loadbalancer1_int } port $web_ports flags S/SA keep state (max-src-conn 80, max-src-conn-rate 200/5, overload <web_flood> flush) pass in on $ext_if proto tcp to { $loadbalancer2_int } port $web_ports flags S/SA keep state (max-src-conn 80, max-src-conn-rate 200/5, overload <web_flood> flush) 不幸的是,我的一些客户被阻止。 我不知道这些客户正在做什么来触发这样的networkingIO。 我不断提高价值观,并不断阻挠。 这些值(80秒内连接和200秒内连接在5秒内)是否在一般被认为是“滥用”?
我有一个mikrotik RB2011路由器/防火墙。 在防火墙内部,我有一个具有私有IP的Web服务器(可以说它是192.168.1.5) 在防火墙的WAN端,我有一个静态IP(假设它是192.0.43.10 – www.example.com)。 防火墙/路由器正在运行NAT。 我有一个dstnat规则来通过HTTPSstream量到服务器,并工作。 现在,老问题是,如果一个内部的电脑试图连接https://www.example.com它无法加载页面与铬这个错误: Google Chrome与www.example.com的连接尝试遭到拒绝。 该网站可能已closures,或者您的networking可能无法正确configuration。 以下是一些build议:稍后重新加载此网页。 检查您的Internet连接。 重新启动您可能正在使用的任何路由器,调制解调器或其他networking设备。 将Google Chrome作为允许的程序添加到防火墙或防病毒软件的设置中。 如果它已经是允许的程序,请尝试从允许的程序列表中删除它并重新添加。 如果您使用代理服务器,请检查您的代理设置或与networkingpipe理员联系,以确保代理服务器正在工作。 如果您不相信应使用代理服务器,请调整您的代理设置:转至Chrome菜单>设置> +显示高级设置>更改代理设置…,并确保您的configuration设置为“无代理”或“直接”。 错误102(net :: ERR_CONNECTION_REFUSED):服务器拒绝连接。 传统上,我已经通过使用拆分DNS或双DNStypes的设置来解决这个问题,其中www.example.com的dns查找返回了服务器的内部IP而不是外部。 不过,我没有这个设置的豪华。 应该有一种方法来解决这个在mikrotik使用prerouting规则,但我不确定如何设置。 我该怎么做? 这是我在自己的桌子上。 但是,事实并非如此。 我正在服务器上运行tcpdump,但我可以看到,数据包实际上并没有达到它。 [admin@MikroTik] /ip firewall nat> print Flags: X – disabled, I – invalid, D – dynamic 0 chain=dstnat action=dst-nat to-addresses=192.168.0.10 protocol=tcp dst-address=114.134.xxx.xxx in-interface=wan dst-port=22 1 […]
我正在用一些托pipe的网站pipe理一个Win Server 2008系统。 最近我发现有东西通过我们的SMTP服务器发送垃圾邮件。 日志表明连接正在进行到我们的localhost端口25 SMTP服务器…它被configuration为允许未经身份validation的中继。 我们现在要求身份validation,即使在127.0.0.1:25,所以传出的垃圾邮件被阻止,但连接尝试继续。 我的猜测是,我们客户的一个网页脚本被黑客入侵,并被用来通过我们的SMTP服务器转发垃圾邮件。 有什么工具可以用来确定哪个进程,或者更好的是,哪个可执行文件正在连接到特定的Web端口? 我已经查看了Windows防火墙日志,正如此服务器故障问题中所build议的那样,但是没有列出正在进行连接的进程ID。 当然,我可能在这里咆哮错误的树,所以任何其他的build议也将不胜感激。
我有一个访问远程IP地址范围的自定义应用程序,例如206.0.0.0 – 206.255.255.255,这是基于UDP的stream量。 问题是,Sonicwall NSA已被configuration为阻止所有基于代理的访问,并将此stream量检测为“PROXY-ACCESSencryption密钥交换 – UDP随机encryption(UltraSurf)sid = 7”,并阻止该应用程序。 我将如何去获得这个stream量未经过滤的访问该IP范围? 我尝试添加地址对象的范围,并创build一个访问规则,以允许它通过,但它似乎仍然被阻止。 欢迎任何帮助,谢谢。
我有一个networking服务器,我无法通过其公共IP地址访问,而我在我的内部networking上。 如果我在外部networking上,则可以通过其公共地址访问服务器。 另外,我可以在内部networking上使用其专用IPlogin到服务器。 正确的端口是开放的(80和443)。 我倾向于这是我的内部DNS服务器的问题。 我的DNS服务器驻留在不同的服务器上,所有客户端计算机都指向它。 任何想法为什么我不能通过内部networking上的公共地址访问此服务器。
我需要你们的一些build议:我正在处理一个自定义的loadbalancer /软件,我们将使用2台主服务器和大约8台从服务器。 简而言之:用户向主服务器发送请求,主服务器将接收并处理请求,向从服务器发送请求,从服务器应该直接向“用户”发送数据。 用户 – >主服务器 主服务器 – >从服务器 从服务器 – >用户 数据应该直接发送给用户而不是通过主服务器的原因是带宽和低预算。 现在我有以下想法:-IPinIP,但在Layer7中是不可能的(到目前为止,我知道有一些昂贵的路由器)-IP Spoof,使用C / C ++我们将使它看起来像来自主服务器的答复。 但是我想,也许答复“奴隶服务器 – >用户”可能来自不同的IP而不会在用户或他的反病毒防火墙的问题。 我不太了解“家庭”防火墙/路由器和/或防病毒软件。 我猜用户机器不好处理?
据我了解,不同子网上的主机不能互相通信,除非在两个子网上都有一个路由器在它们之间转发stream量。 我在networking上有两个子网,分别是:192.168.0.0/24和192.168.1.0/24。 我想在它们之间创build一个防火墙路由,使用一个连接到两个子网的Linux盒子。 防火墙将在iptables中实现。 连接到networking的所有主机将被信任,用户将不具有pipe理权限来改变其networkingconfiguration(即只连接到另一个子网上)。 假设我上面所说的一切都不完全是废话,那么连接到一个子网的用户可能绕过防火墙并访问另一个子网的方式是什么? 明显的发生在我身上的只是连接一个不受信任的主机。 澄清:我试图创build一个自定义的防火墙解决scheme(不是现成的)。 它将被集成到现有的解决scheme中,该解决scheme已经在Linux机器上运行,所以事物的一面是固定的。 防火墙将允许根据物理网卡或VLAN来定义防火墙。 在我看来,基于物理局域网的区域只允许有人在物理上连接到networking,而不应该是这样。 除了encryption之外,这一点归结为物理安全。 假设您没有错误configuration某个交换机以暴露携带dot1Qstream量的terminal,或者允许VLAN跳跃攻击,则基于VLAN的区域基本相同。 我的问题的根源在于是否可以将基于子网的区域(运行在相同的物理硬件上)添加到可防火壁垒的列表中。 这当然会依赖于所有连接的主机是“可信的”,并且所有的用户(防火墙至less应用到这个用户)没有pipe理权限来混乱networking设置。
我正在尝试将一组高级Windows防火墙ACL部署到多个2008 R2服务器。 我想(我必须)确保没有适用本地或旧规则。 因此,我在每个configuration文件(GPO)中将“应用本地防火墙规则”设置为“否”。 这只适用于本地防火墙规则合并(顾名思义)。 由其他GPO设置的不同规则是累加和总结的。 这是有道理的,如果我想一想。 然而,这是一个问题,因为通过试验的东西在我的testing机器上变得凌乱。 因此,我创build了另一个GPO调用脚本,提前删除所有防火墙规则(netsh advfirewall防火墙删除规则名称=所有),这导致了腐败的文件和打印机共享服务。 因此,简单地说: 在采用新的方法之前,什么是最好的/推荐的方法来确保一个清晰的规则基础?
我正在做一些testing在我的linux虚拟机与一nic,我想用它作为某种防火墙,可以阻止一些客户端的基于MAC地址的stream量。 客户端本身将虚拟机作为默认网关(.254),虚拟机本身具有(.1实际路由器)作为默认网关。 这是我目前使用的iptable脚本。 我在我的客户端有互联网,但是.14仍然是互联网,使用mac地址时,没有任何阻止。 我错过了什么吗? # Generated by iptables-save v1.4.14 on Sun Feb 23 12:16:26 2014 *filter :INPUT ACCEPT [869:78983] :FORWARD ACCEPT [1183:197765] :OUTPUT ACCEPT [644:128360] # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 […]
我喜欢手动编辑iptables文件,但是有一些让我感到困惑。 从我如何从手册中了解iptables,它从上到下遍历规则,如果不可能匹配,它将被logging并被底部的默认规则拒绝。 都好。 但是这些是什么意思: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] <accept ssh, ssl, etc> <log all, deny all> 顶部的链条具有默认策略“接受” – 这只是一种说法,我们接受数据包进入filter表,为以后的匹配? 对于我来说,在阅读手册之后,感觉好像它会接受一切,然后不读规则,因为默认情况下这些规则是如何工作的 – 如果有任何匹配,它将停止阅读规则,然后执行政策的行为。 这种行为的任何文件? 我找不到足够具体的东西。 我也看过这个, *filter表后面: *filter :RH-Firewall-1-INPUT – [0:0] 这样就可以添加自己的连锁店,并将其他连锁店连接到这条连锁店: -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT 但是这里的“ACCEPT”或“DROP”并没有被指定,而是有一个破折号( – )。 这使我更加困惑 – 它是如何工作的?