我有一个在Windows主机下运行的Linux访客虚拟机。 如果我将networking模式设置为NAT,则访客可以访问互联网(我想要),但也可以访问主机LAN(我不)。 由于各种原因,我不能build立一个单独的networking,只为客人提供互联网接入。 我可以使用Windows防火墙或某些路由软件来允许我访问互联网的访客,但阻止所有其他访问? 编辑 – 我从virtualbox论坛得到的解决scheme:与Windows防火墙使用NAT来阻止来宾。 我的错误是试图在主机上设置规则(程序=全部,本地IP =访客IP范围)。 规则实际上应该是(本地IP =所有,程序= virtualbox.exe),因为NAT已经发生之前,它击中防火墙
是否有一个命令或GUI选项来获取出站连接列表。 理想情况下,我想知道内部IP地址,外部IP地址和使用的远程端口。 我不需要太多的历史,但一两个小时是有帮助的。
是否有可能创build一种VLAN或私有azure色的局域网thingy ..在哪里我可以把任何新的工人或虚拟机在该VLAN? 原因之一是因为我希望在虚拟机上创build一个SQL服务器(很好,这很简单),然后添加以下防火墙规则 =>阻止所有除外 a)我的工作是静态IP。 (简单) b)我的家庭静态IP。 (简单) c)这个私人azure色局域网的VLAN(不知道) 这里的想法是,我只希望我的工作人员(和我们的网站),这是我们的Azure订阅的一部分,是唯一的地方,可以访问SQL服务器+这两个“特殊”IP的。 当然,有人可以闯入其他虚拟机之一,然后“访问”sql-server-vm ..我明白了…但这只是加强我们的服务器的一部分。 可以这样做吗?
我最近把我的一个客户升级到了Ubiquiti EdgeRouter Lite,这是一个比旧的ISP提供的路由器的重大改进。 为了减less对路由器的Web界面的攻击频率,同时仍然允许远程pipe理,我们在旧路由器上做的一件事就是将远程pipe理移动到一个非标准端口,比如说8642.在旧的ISP提供的路由器,有一个简单的文本框,但在Edgerouter上,它必须手工完成。 我在Edgerouter上添加了一个简单的端口转发规则来转发PUBLIC_IP:8642到LOCAL_LAN_IP:443,以及相应的防火墙规则: name WAN_LOCAL { default-action drop description "WAN to router" … rule 2 { action accept description "Allow remote management" destination { group { port-group ManagementPorts } } log disable protocol tcp state { established enable invalid disable new enable related enable } } … } 其中port-group ManagementPorts包含8642 。 但是,我仍然无法访问Web界面。 我能find的解决这个问题的唯一方法是允许外部访问端口443 […]
我在一个企业networking背后。 我无法使用git,因为它无法parsing服务器名称 fatal: Unable to look up someserver.org (port 9418) (No such host is known. ) 我无法ping通该服务器(名称或ip),但我的浏览器正在解决它就好了。 有没有办法找出这个解决方法?
我想testing我的iptables,并certificate它只允许给定的协议/端口组合的stream量。 我如何将其用作端口扫描的目标?
我试图将WatchGuard防火墙上的特定端口转发到特定VLAN中的内部主机。 我的设置大致如下: INTERNET vv WatchGuard vv——–vv——–vv [VLAN1] [VLAN2] [VLAN3] vv Server 我已经从Any-External设置了一个SNAT规则到没有端口转换的内部服务器的IP地址。 然后,我添加了防火墙策略 行动: 允许 端口tcp:10000上的自定义filter 来自任何来源 到我的狙击规则 这一切都是由文档build议的,但是当试图从外部IP访问它时,端口仍然被过滤并logging为未处理(xxx是外部客户端,yyy是防火墙的ip): Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp 我一直在玩端口翻译,SNAT和代理的更具体的接口设置,而不是filter操作,但我根本无法得到它的工作。 我错过了什么? 编辑(2015-06-16):这是我的configuration屏幕: 内部networking端口检查: $ nmap -sT -p 10000 192.168.79.100 […] PORT STATE SERVICE 10000/tcp open snet-sensor-mgmt […] […]
标题是说我猜。 我想知道如何阻止csf.deny除了less数可信任的IP的所有IP? 我GOOGLE了,但无法find答案。
我正在寻找build立我的IPTables防火墙的方式: 任何新的connect()都被接受 一旦收到数据: 如果目标端口在白名单上,请继续允许连接和任何RELATED连接 否则,closures/重置连接 我环顾四周,甚至尝试了一些我自己的configuration,但是我对IPTables并不是很熟悉,也没有成功。 我的第一次尝试是这样的: iptables -F iptables -A INPUT -I lo -j ACCEPT iptables -A INPUT -m state –state NEW -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT //example of allowed port iptables -A INPUT -m state –state ESTABLISHED,RELATED -j DROP iptables -P INPUT DROP iptables -P FORWARD DROP […]
我有fail2ban设置与以下设置: bantime = 86400 findtime = 600 maxretry = 2 这很好,因为它阻止任何在10分钟内暴力强制3次的IP。 但是,每隔30分钟就有一些IP正在尝试。 要捕获这些IP,我将设置更改为: bantime = 86400 findtime = 3600 maxretry = 2 现在,它每隔一小时检查一次,并捕捉那些每20-30分钟尝试一次的IP。 然而,现在我的VPS并没有赶上那些可能会在一个小时内强行逼人的IP。 因此,有什么办法可以设置findtime = 3600 ,每10分钟还有fail2ban检查吗?