我试图确定是否可以为整个networking(包括客户服务器)使用单个防火墙,或者每个客户应该拥有自己的防火墙。 我发现很多托pipe公司要求每个客户端都有一个服务器集群来拥有自己的防火墙。 如果你需要一个networking节点和一个数据库节点,你还必须得到一个防火墙,并支付另一个月的费用。 我有多个KVM虚拟化服务器托pipeVPS服务的空间,以供不同的客户使用。 每个KVM主机都运行一个软件iptables防火墙,只允许在每个VPS上访问特定的端口。 我可以控制任何给定VPS打开的端口,允许从端口80和443上的任何地方访问Web VPS,但是完全阻止数据库VPS到外部,并且只允许某个其他VPS访问它。 configuration适合我目前的需求。 请注意,目前没有硬件防火墙保护虚拟主机。 但是,KVM主机只有22端口是打开的,除KVM和SSH以外什么都不运行,甚至端口22除了在networking块之外都不能被访问。 我现在正在考虑重新考虑我的networking,因为我有一个客户需要从单个VPS转换到两个专用服务器(一个networking和一个数据库)。 一个不同的客户已经有一个专用的服务器,除了在系统上运行的iptables之外,不在任何防火墙之后。 我是否应该要求每个专用服务器客户都有自己的专用防火墙? 或者我可以为多个客户群使用单一的networking防火墙吗? 我熟悉iptables,目前我正在考虑将它用于任何我需要的防火墙/路由器。 但是我不一定要把每个防火墙的1U空间用在每个防火墙上,也不需要每个防火墙服务器的功耗。 所以我正在考虑一个硬件防火墙。 任何build议什么是一个好方法?
我喜欢能够ssh到我的服务器(令人震惊,我知道)。 问题出现在我旅行的时候,我面对酒店和其他机构的各种防火墙,有不同的configuration,有时甚至是头脑发热。 我想build立一个sshd监听一个很有可能通过这个混乱的端口。 有什么build议么? sshd目前在非标准端口(但是<1024)端口上侦听,以避免脚本小子敲门。 与我的IMAP服务器所在的其他非标准端口一样,此端口经常被阻止。 我有端口25和80上运行的服务,但其他任何东西都是公平的游戏。 也许我在想。 非常感激! 里德
iptables -A INPUT -m state –state NEW -m recent –set # If we receive more than 10 connections in 10 seconds block our friend. iptables -A INPUT -m state –state NEW -m recent –update –seconds 5 –hitcount 15 -j Log-N-Drop 我从iptables有这两个相关的规则。 如果超过15个连接在5秒内完成,则logging尝试并将其阻止。 iptables维护柜台多久? 如果再次尝试连接,它会刷新吗?
我有一个需要帮助的情况。 我有客户需要将stream量重新路由到远程服务器上的特定端口,我想使用iptables为我redirect它。 这是configuration: 客户端使用SMTPstream量smtpout.secureserver.net。 服务器将接受端口80或端口3535上的SMTP通信。问题是我已经将发往端口80的stream量redirect到端口8080上的传输代理。当客户端尝试向外发送电子邮件时,连接超时。 我想要做的是构build一个iptables规则,redirect到smtpout.secureserver.net:80到smtpout.secureserver.net:3535的stream量。 这是我迄今为止,但似乎没有按照我所期望的方式工作: -A PREROUTING -i eth1 -d 72.167.82.80/32 -p tcp –dport 80 -j DNAT –to-destination 72.167.82.80:3535 -A POSTROUTING -j MASQUERADE
我有centos 5。 我尝试了iptables -L,并提供以下输出 Chain INPUT (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination RH-Firewall-1-INPUT all — anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) target prot opt source destination ACCEPT all — anywhere anywhere […]
我正在研究新的networking位置部署的解决scheme。 我们将在100mbit和50mbit提交一个提供者。 我想知道什么Linux解决scheme,我可以build立,可以处理这么多的stream量。 以及它如何堆积起来说一个思科2821与升级的RAM ..
我正在寻找支持高可用性和生成树的防火墙设备。 我有两个ha-cluster节点,我想用防火墙保护它们。 为了避免单点故障,我想有两个防火墙。 而且由于我也需要冗余交换机,防火墙必须支持生成树协议。 我的首选设置: +————+ +———-+ +————–+ lan 1 –| firewall 1 |–| switch 1 |–| ha cluster 1 | +————+ +———-+ +————–+ \/ | /\ | +————+ +———-+ +————–+ lan 2 –| firewall 2 |–| switch 2 |–| ha cluster 2 | +————+ +———-+ +————–+
我有Windows服务器2008 R2运行在Rackspacenetworking,我有困难的时候,以确保它在Linux和iptables后面… 我想知道,如果Windows防火墙是足够安全的离开公共互联网访问的服务器没有任何其他安全系统… 谢谢
自从以前,ISA和现在的TMG都有几个很好的function,我经常想要部署给我的客户,因为增强了function和安全性,但是附加服务器HW,Windows Server和TMG许可证的成本往往太高当与300-500美元的设备相比时,这是合理的。 是否有其他网关防火墙可以执行一个或多个这些应用层function: 在将数据包发送到内部服务器(表单validation或基本信誉popup窗口)之前,预先validation传入的HTTPstream量是否针对AD / LDAP? 读取传入HTTP通信的主机头(甚至在https上)到公共IP,并根据该主机头将数据包路由到不同的内部服务器?
如果我的sonicwall NSA 2400永远死亡,我希望它自动故障转移到旧的PRO 2040它取代。 这是可能的两个不同世代的Sonicwall? 如果是的话,我需要考虑哪些事情? 我的Google-fu迄今为止失败了。 谢谢!