我很痛苦。 我们正在转向基于SIP的VOIP系统,无论出于何种原因,我们无法让我们托pipe的Asterisk解决scheme与我们的Sonicwall一起工作。 我们的VOIP提供商放弃了,正在推荐一个开源供应商pfSense。 一点背景: 我们的networking中有大约30个用户。 我们为远程networking使用几个IPSec VPN连接。 我想,但不需要,应用程序层过滤。 我们是活跃的互联网用户,所以适当的stream量整形可能是一个问题。 如何判断一个开放源代码的防火墙是否可以顺利处理VOIP设置,并托pipeAsterisk系统? 目前与Sonicwall的尝试安装 我们正在使用运行SonicOS增强版4.2的TZ 190 一致的NAT被启用 我们没有使用SonicWall的自动SIP转换。 图片链接: http : //cl.ly/1Q3A3K3C1M1Z322I1M2L 防火墙已经打开,允许我们的VOIP提供商,以及所有的SIP UDP和TCP:图片链接: http ://cl.ly/310b07271R0c2s2c3L1g(@汤姆奥康纳很好,这可能是一个问题。) 稍后更多细节…
这是我们的情况,我们想要进入我们的服务器的stream量一个IP发送(隧道)到服务器B上的特定IP,并接受从服务器B回到服务器A的答复。这怎么可以用iptables完成?
我的目标是在端口3000上运行一个web服务器,并通过端口80将其提供给我的networking。到目前为止,我发现的最好的答案是这个不错的一行。 iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 3000 但是,这只会影响传入的包,我希望客户端从端口80得到他的回应。接下来的问题是,networking服务器应该只能通过端口80到达。到目前为止,我坚持这种configuration。 # Default Chain Policies iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP iptables -t filter -P FORWARD DROP # Allow Loopback Access iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT […]
数据包的边际为每秒200,000〜800,000,UDP欺骗(0字节/ 46字节) 我有一个Linux的deb 6和Windows Server 2003正在受到打击。 目前的想法: – 先设置一个代理服务器来过滤掉攻击。 HAProxy会工作吗? 我需要一个带有PF的BSD盒吗? 我需要寻找什么来过滤? 我需要端口被击中,但必须有一种方法来过滤和阻止坏的数据包?
我刚刚安装并configuration了CSF,并且收到了包含此消息的垃圾邮件100个。 lfd on localhost: Suspicious process running under user www-data Time: Wed May 23 01:05:52 2012 +0200 PID: 8503 Account: www-data Uptime: 118 seconds Executable: /usr/lib/apache2/mpm-prefork/apache2 Command Line (often faked in exploits): /usr/sbin/apache2 -k start Network connections by the process (if any): tcp6: 0.0.0.0:80 -> 0.0.0.0:0 Files open by the process (if any): 有谁知道如何解决?
我和其他一个人将很快接pipe日常的防火墙pipe理任务,我正在寻找一种方法来跟踪我们的防火墙configuration的变化,以进行审计,并且需要一些好的方法来跟踪变化制作。 我没有很多具体的标准,但是这里有一些我想要做的基本的事情: 访问以前版本的防火墙configuration 访问所做的更改和由谁 当做了具体的改变 我想知道是否有某种版本控制软件可以作为追踪这些变化的方法吗? 或者如果其他方法在这种情况下更好地pipe理变更控制。 在这一点上,我愿意接受任何build议。 编辑: 我们使用一个Checkpoint对,一个被动的主动configuration。 当我有机会时,我会再次更新具体的型号。
我们有一个网站广泛的networking问题,似乎与在Hyper-V下运行大量的虚拟机有关。 我们有一些testing启动了大约40个虚拟机(Windows 7和Server 2008机器)。当所有的机器都在线时,主networking变得不可用。 Wireshark捕获指示大量的netbios广播。 一旦虚拟机关机,networking就可以再次使用。 我想我应该能够更好地隔离主networking的虚拟机。 目前,它们被configuration为使用“外部”连接,并绑定到Hyper-V主机上的适配器之一。 这使他们直接在我们的主要networking上。 我的想法是创build一个带有两个networking适配器,一个“外部”和一个“私人”的Server 2008虚拟机。 我将桥接适配器,并把所有的testing机器放在“私人”networking上。 这似乎工作,我有stream量通过我的2008年桥服务器。 现在我想创build一个防火墙来限制某些端口/协议从“专用”networking转发到“外部”networking。 我没有这个运气,并会感谢任何帮助。 对“私有”networking进行子网划分是有问题的,因为一些testing机器必须与之通信的PC位于主networking上。 我意识到我们必须在networking上有其他一些潜在的问题,但是我想从虚拟机开始,因为它们引发了这个问题。 谢谢。
我pipe理一个包括无线互联网接入的每周租房。 我允许路由器上的所有出站端口,但是由于客户已下载(或提供)版权内容,因此我的ISP已禁用了两次Internet访问。 所以我想build立一些端口过滤来阻止P2P共享(见下面的免责声明)。 但我不想给99.9%以上的人留下不便。 我的问题是,哪些出站端口通常用于出租/酒店无线上网,或者我可以在哪里find这样的列表? 至lessTCP 80,443,251,110。 尽pipe我自己的电子邮件服务使用995和465进行SSL,但有些可能使用IMAP,我个人使用SSH和FTP,所以我会打开这些。 大概我想我需要打开访问特权端口,并closures1024以上。 是否有白名单我应该为常用的高端端口? 阻止UDP> 1024是否有意义? 免责声明:我意识到任何人回复此消息可能会规避端口过滤和共享内容到他们心中的内容。 我不需要全面的p2p阻止,这需要超过一个端口白名单。 根据租赁合同,任何留在家中的人都要承担互联网使用的责任。 另外,任何有足够的精力来规避端口filter,希望是足够精明的使用某种对等阻塞,从而防止ISP取消服务。
可能重复: 如何设置MySql服务器来接受远程连接? 我有一个公共和私人子网的VPN; 我现在只考虑公共子网。 节点10.0.0.23,我可以SSH入。 假设我想使用其私有地址连接到节点上的MySQL: ubuntu@ip-10-0-0-23:/$ mysql -u root -h 10.0.0.23 ERROR 2003 (HY000): Can't connect to MySQL server on '10.0.0.23' (111) ubuntu@ip-10-0-0-23:/$ mysql -u root -h localhost Welcome to the MySQL monitor. Commands end with ; or \g. — 8< — snip — 8< — mysql> 如果我使用私有IP,端口3306不可达? 我的安全组允许端口3306从0.0.0.0/0和10.0.0.0/24入站。 出站,允许所有。 亚马逊通过他们的向导完成的通用设置不起作用…我添加允许所有人都可以使用的ACL,仍然无法正常工作。 我错过了什么?
我想创build一个文件iptables.loglogging所有的DROP和入侵企图。 以下是我所做的一步一步: 1)在我的iptables规则文件中,我把以下内容: -A INPUT -j LOG –log-level 4 –log-ip-options –log-prefix "iptables: " -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP # and then the other rules to open up SSH 然后我使用iptables-restore来应用更改。 2)我在/etc/rsyslog.d/创build了一个iptables.conf文件,里面有这个规则: :msg, startswith, "iptables: " -/var/log/iptables.log & ~ 3)在/etc/rsyslog.d/50-default.conf ,我把这个: #iptables kern.warning /var/log/iptables.log 4)我重新启动rsyslog守护进程。 但这似乎不足以实现我的目标。 还有什么需要做的? 另外,我应该为-A OUTPUT -j LOG制定一个规则,还是没用?