我试图在FreeBSD里面创build自己的防火墙脚本,但是我遇到了一些问题,我想知道如果有人做了一些更好的事情,并且能够给我一个例子吗? su-3.2#grep ^ firewall /etc/rc.conf firewall_enable =“YES”#设置为YES启用防火墙function firewall_type = “的/ etc / ipfw.rules” firewall_quiet =“YES”#设置为YES以禁止规则显示 firewall_logging =“YES”#设置为YES以启用事件logging firewall_logdeny =“YES”#设置为YES以logging默认拒绝传入 su-3.2#cat /etc/ipfw.rules $ {fwcmd}添加65000通过所有从任何任何 su-3.2#/etc/rc.d/ipfw restart /etc/rc.d/ipfw:DEBUG:checkyesno:firewall_enable设置为YES。 /etc/rc.d/ipfw:DEBUG:checkyesno:firewall_enable设置为YES。 /etc/rc.d/ipfw:DEBUG:run_rc_command:doit:ipfw_stop net.inet.ip.fw.enable:1 – > 0 /etc/rc.d/natd:DEBUG:checkyesno:natd_enable设置为NO。 /etc/rc.d/ipfw:DEBUG:checkyesno:firewall_enable设置为YES。 /etc/rc.d/ipfw:DEBUG:run_rc_command:start_precmd:ipfw_prestart /etc/rc.d/ipfw:DEBUG:checkyesno:dummynet_enable设置为NO。 /etc/rc.d/ipfw:DEBUG:checkyesno:firewall_nat_enable设置为NO。 /etc/rc.d/ipfw:DEBUG:load_kld:已加载的ipfw内核模块。 /etc/rc.d/ipfw:DEBUG:run_rc_command:doit:ipfw_start /etc/rc.d/natd:DEBUG:checkyesno:natd_enable设置为NO。 第1行:错误的命令`$ {fwcmd}' 防火墙规则加载。 /etc/rc.d/ipfw:DEBUG:checkyesno:firewall_logging设置为YES。 启用防火墙logging。 net.inet.ip.fw.enable:0从远程主机XXXXX.XXX读取:通过对等方重置连接 连接到XXXXX.XXXclosures。 mbp:〜alexus $
如何禁用ubuntu上的防火墙,或者如何检查哪些端口正在侦听,以及如何添加一些新的端口来侦听? 谢谢
我正在寻找一种基于Linux的防火墙设备,支持即开即用的iPhone VPN连接。 剩下的就是我对这个话题的研究现状。 目前我正在使用IPCop和PPTP / L2TP插件来屏蔽我的家庭networking,并允许我的iPhone与VPN连接。 但是最近我并不喜欢IPCop,因为缺less更新以及其他问题(例如,PPTP插件不能正确使用最新的IPCop版本)。 所以我正在寻找另一个具有通常的防火墙function的防火墙,但最重要的是对来自iPhone的VPN连接的支持。 据我所知,由于IPSec的问题,只有使用Linux时才需要使用PPTP / L2TP。 我已经看了IPFire和Endian防火墙,他们都很好,工作,但都不支持PPTP / L2TP,交付的IPSec实施不能由iPhone处理。 有没有人有build议支持这个另一个防火墙设备? ciao,榆树
我的服务器是Red Hat Enterprise Linux Server release 5 。 我不是Linux iptables防火墙的专家。 安装完成后,我在/etc/sysconfig/iptablesfind以下条目。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -j ACCEPT -A FORWARD -j ACCEPT -A OUTPUT -j ACCEPT COMMIT 这个iptablefilter限制规则是什么意思?
我似乎无法弄清楚这个问题。 我已经检查了CSF中的拒绝列表,甚至完全停止了它,以及IPTables。 不知何故,我仍然阻止访问我的服务器。 目前我可以从其他IP访问,所以我很确定这是问题(虽然我可能是错的,当然,我不是专家) 所以,关于它可能是什么,以及如何解决这个问题的build议,我将非常感激。 我已经将自己的IP添加到hosts.allow文件,并没有解决它。 我也把它添加到CSF的csf.ignore文件中。 再次,没有运气。 我正在运行CentOS 5.4 所有访问被阻止,我甚至不能ping回请求 更新:我的朋友build议在服务器上ping一个不同的IP,并回应。 所以我转而使用DNS来访问这个IP,虽然这是一个体面的绕道,但我真的很想知道如何解决这个问题
我最近为我的IT组织build立了一个Fedora Corenetworking服务器,我是一个linux新手,甚至更多的是iptables的新手。 现在,我需要允许外部用户访问端口80上的Web服务器,启用端口3306上的MySQL连接,并允许ssh连接。 现在我不需要严格限制连接的来源,所以我只需要一些通用的宽松规则就可以实现。 我testing了内部试图从我的电脑连接到新的服务器与下面的规则,我根本无法连接iptables开始。 一旦我停止iptables,我能够到服务器,所以我知道我的iptablesconfiguration有什么问题 – 我只是太多的新手想出来。 有人可以帮忙吗? 🙂 :INPUT ACCEPT [0:0]<br> :FORWARD ACCEPT [0:0]<br> :OUTPUT ACCEPT [0:0]<br> -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT<br> -A INPUT -p icmp -j ACCEPT<br> -A INPUT -i lo -j ACCEPT<br> -A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT<br> -A INPUT […]
这个问题最初是在stackoverflow.com,但我被告知我可能会得到一个更好的答案在这个网站上… 很快,我将为一个网站非常繁忙的客户build立一个Web服务器。 他有一个论坛(运行在简单机器论坛 SMF用PHP编写),不能真正改变。 我想把它移动到一个单独的虚拟专用服务器上,因为它每天大约有40000次点击,每天有400多个post,非常繁忙。 随着SMF的版本(最好,最稳定的生产版本1.1)它需要运行MySQL,所以我不能改变它到PostgreSQL(我可能会更喜欢) 在Ubuntu Server 10 LTS上安装MySQL服务器时,我很想知道是否有任何事情可以做,以确保它是最有效率的。 我希望尽可能快地运行,以保持资源不变,并确保我们可以保持在服务器的资源限制之下。 使用虚拟专用服务器,我可以select在闪存中切换资源,但是我希望确保MySQL服务器的安装尽可能高效,因为我不是那种types的专家。 我正在做一些研究,并find一篇文章,build议这样做,以确保它是有效的: # open mysql conf and set these settings: # key_buffer = 16k # max_allowed_packet = 1M # thread_stack = 64K nano /etc/mysql/my.cnf # restart mysql /etc/init.d/mysql restart 任何人都可以提供一些提示,提示,链接,关于这个问题的知识?
Blackjacking是一种使用典型的BES设备在内部连接到公司networking的技术。 几年前它在DefCon上宣布,并不是什么新鲜事。 这是如何工作的,以及如何减less这种利用风险?
我想知道,有人可以帮我理解/解释这个iptables规则到底做了什么吗? iptables -A INPUT -i eth0 -p tcp ! –syn -m state –state NEW -m limit –limit 5/m –limit-burst 7 -j LOG –log-level 4 –log-prefix "Dropped" iptables -A INPUT -i eth0 -p tcp ! –syn -m state –state NEW -j DROP 谢谢
不好的机器人每天都会打我们的服务器,我有工具来瞬间阻止它们(例如modsecurity和我自己的C ++工具)。这些机器人阻止了机器人,所以没有数据被发送回去,并且在我的防火墙上被禁止,被立即拒绝。 在我的一台服务器(小的一台!)上,我每天得到20个以上的这样的数据块(IP),而且这台服务器每个月只能获得大约3000次点击。 现在,这个IP块是暂时的,主要是为了避免拥挤我的防火墙(在你的防火墙里有1000个IP会让它真的很慢!) 不过,现在我想知道你在做什么呢? 立即封锁所有的东西,或者把机器人redirect到la la land? 我想我可以有一个没有任何内容的小HTML页面(你知道,像一个标题和一个身体,说“谢谢”和瞧)。 你认为哪一个最好? 我已经看到redirect似乎没有阻止任何机器人,所以防火墙是迄今为止我最好的解决scheme…但我想知道其他人在这种情况下做什么?