我在康卡斯特的住宅networking上有几个networking。 我需要通过其中一台主机上的SSH代理从各种环境访问这些networking。 (正如我使用的是OpenWRT,所以一个特定的解决scheme将是有帮助的,但我也一般好奇,如何使用任何基于Linux或BSD的边缘路由解决scheme。 对于IPv4,这是相对直接的:因为我的所有内部IP都是通过DHCP分配的,所以我可以简单地设置一个转发规则,将外部接口上的端口22移动到特定IP上的端口22。 由于我的IPv6地址都是用SLAAC分配的,所以我没有一个静态地址可以在ip6tables-land中用来转发。 如何检测前缀分配的更改,以便我可以build立新的iptables规则? 还是有办法build立一个规则,转发到一个特定的主机基于从其MAC地址或类似的东西发现其IP地址? (这些主机都在一个单一的网段,所以多播等应该工作。)
在GCE中创build一个实例,标记为“tagA” 创build防火墙规则: tcp:12345 ,源标记tagA ,目标标记tagA 在执行的实例上: nc -l 0.0.0.0 -p 12345 netstat -an | grep 12345 tcp 0 0 0.0.0.0:12345 0.0.0.0:* LISTEN 尝试连接内部: nc -v internal.ip 12345 => 12345(?)打开 尝试连接外部: nc -v external.ip 12345 => 12345(?):连接被拒绝 根据GCE手册: sourceTags [如果没有指定sourceRanges,则需要]如果源位于此networking内并具有指定的标记之一,则连接将被接受。 如果指定了sourceRanges和sourceTag,如果源的范围或标记匹配sourceRanges或sourceTag,则允许入站连接。 任何人都可以解释为什么端口在外部IP不可用这个防火墙规则?
我目前正在研究Docker设置,下面是我决定考虑的事情: Ubuntu主机,主持人: OpenBSD的KVM被configuration并充当防火墙: 防火墙将拥有自己的公有IP 一些在防火墙后面的Docker容器 这是一个总结它的计划: 我的第一个问题是 :将防火墙放在Docker容器的前面是个好主意吗? 第二个是 :如果这是一个好主意,我可以使用OpenvSwitch开关桥接容器和Vm(然后通过NAT在networking上访问)?
我有UFWconfiguration尝试和阻止一些不需要的IP和相关的请求。 #ufw status |less Status: active To Action From — —— —- 37.187.183.206 DENY Anywhere Anywhere DENY 37.187.183.206 198.41.249.59 DENY Anywhere Anywhere DENY 198.41.249.59 162.159.251.59 DENY Anywhere Anywhere DENY 162.159.251.59 状态激活确认UFW已启用,并且我有3个IP在这里阻止入站和出站。 这些规则是插入“ufw插入1”,所以是处理的第一个规则。 然而ping和请求仍然通过 # ping 193.201.224.10 PING 193.201.224.10 (193.201.224.10) 56(84) bytes of data. 64 bytes from 193.201.224.10: icmp_req=1 ttl=52 time=354 ms 64 bytes from 193.201.224.10: […]
下面列出了我们正在考虑的3个选项。 哪一个最好,还是有更好的解决办法,我们没有考虑。 所有的服务器都是nginx的linux。 你有没有看到任何一个特别错误? 额外的澄清。 nginx的php-fpm服务器将有开放的端口到SQL服务器和文件共享,因此中间防火墙。 此外,可能需要对video进行转码,以便反向代理服务器将负载均衡nginx php-fpm服务器的实例。 1)互联网 – >防火墙 – >在DMZ中的nginx反向代理 – > firewall – > nginx php-fpm – > files&sql server 2)互联网 – >防火墙 – >在DMZ中的nginx php-fpm – > firewall – > files&sql server 3)互联网 – >防火墙 – >在DMZ中的nginx反向代理 – > firewall – > nginx php-fpm – > vm firewall – > […]
我们有2个Apache Web服务器,通过mod ajp连接到2(JBoss)应用程序服务器。 对于这些networking服务器,移动设备通过REST API连接。 在我们的性能testing中,我们很快遇到了很多NonHttpResponse错误,我们确定它们来自mod_reqtimeout: [Mon Mar 16 14:42:49.324705 2015] [reqtimeout:info] [pid 27914:tid 140628428449536] [client 1.2.3.4:48280] AH01382: Request header read timeout …configuration如下: <IfModule reqtimeout_module> RequestReadTimeout header=10-20,minrate=500 RequestReadTimeout body=10,minrate=500 </IfModule> 我能够通过增加这些值来摆脱这些错误 RequestReadTimeout header=20-60,minrate=100 但是,这不是解决scheme,因为有更多的同时发生的用户再次出现问题(要求能够服务300个并发用户–100个工作相当好,300个我们有10,000个以上的请求头读取超时错误)。 我怀疑这是apaches KeepAlive,我们的mod_ajpconfiguration和mod_reqtimeout的相互作用,导致mod_reqtimeout的结论是有一个slowloris攻击正在进行(许多开放的连接什么都不做),我恳求你的帮助,调整这些参数。 其他问题是Web服务器和应用程序服务器之间的防火墙,我怀疑要打开空闲连接。 我读完closuresKeepAlive来解决这个问题,但正如我所说,我们所有的客户都是移动设备,所以这可能不是一个选项(?)。 以下是其他configuration(的一部分): workers.properties: worker.list=server worker.maintain=60 worker.server.type=ajp13 worker.server.host=server worker.server.port=15869 worker.server.socket_keepalive=True worker.server.connection_pool_timeout=600 worker.server.ping_mode=A worker.server.connection_ping_interval=60 mod_prefork: <IfModule prefork.c> StartServers 5 MinSpareServers […]
我刚刚对后端代码进行了大幅改动,并且注意到自推后几个小时内,平均负载有了大幅度的增长。 我看着Munin问题可能是什么,我注意到,除了平均负载,防火墙的吞吐量也大大增加了: 这是随着CPU使用率,中断和平均负载的增加,我在这里添加完整性: 有谁知道这里会发生什么? 我的直接想法是代码的变化给数据库(PostgreSQL)带来了更多的负担,但我找不到增加防火墙吞吐量的原因。 stream量保持不变,这里唯一的区别是在Gunicorn下运行的Python代码。 在htop中,Gunicorn和Postgres之间的最高CPU进程发生了变化,就像以前一样(这意味着Postgres并没有突然成为CPU-Hog)。 编辑:这是从iptables -L -n -v的输出: Chain INPUT (policy ACCEPT 298K packets, 357M bytes) pkts bytes target prot opt in out source destination 7705 516K fail2ban-ssh tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out […]
我想知道如何阻止IP在服务器上使用smtp服务与centos 7防火墙。 我尝试使用这样的东西: firewall-cmd –permanent –zone="public" –add-rich-rule='rule family=ipv4 source address=[ipadress] –remove-service=smtp' 但不是正确的语法 或者我应该阻止TCP端口25,465和587? 也如果有人可以告诉我如何自动做到这一点,从文件(如果可能的话)得到de ip将是伟大的
我试图在Google Compute Engine的Ubuntu 14.04虚拟机上设置DNS服务器。 它看起来像查询到DNS服务器没有到达虚拟机,即使我已经允许防火墙上的端口53上的TCP / UDP通信。 要validation它不是DNSconfiguration错误,我还使用以下来validationstream量是否真的被阻止。 tcpdump的 服务器上的“sudo nc -ul 53” 由于DNS不包括在GCE正式阻止的networkingstream量,我想了解我做错了什么。 这也是一个类似的问题没有答案的问题: 谷歌计算虚拟机作为DNS服务器不工作 。 谢谢,Gobexe
我刚刚在PC Engines APU1D4上安装了pfSense,作为基于Soekris 5501 + OpenBSD的设置的替代品,我有一个PPPoE WANconfiguration。 pf规则,NAT和PPPoEconfiguration看起来和我的OpenBSD框一样,但是一些网站却无法加载,比如twitter.com。 我认为这可能是与广域网MTU,我试图改变这个1492年和1452年,但没有什么区别,我也跟着所有的build议在这里无济于事。 https://doc.pfsense.org/index.php/Unable_to_Access_Some_Websites 整个会话的数据包捕获在这里: https : //dl.dropboxusercontent.com/u/249827/packetcapture-twitter-wan.cap https://dl.dropboxusercontent.com/u/249827/packetcapture-twitter-lan.cap 任何想法可能会发生什么?