我查看了很多思科ASA5505上的这些post,并上线了。 我正在寻找一些直接的一步一步的指示来完成以下任务。 我知道如何使用内部和外部界面来实现它,所以这太棒了! 我需要一步一步来完成以下任务 configuration防火墙 将有两个服务器连接到内部接口:一个是Web服务器,所以端口80,25等…另一个是DC,所以所有的标准端口需要打开。 我们还需要RDP对这两台机器打开我们使用的非标准端口。 我觉得如果我看到一个像80端口的例子,我可以复制它。 有没有其他的configuration,我应该知道,以确保实际的防火墙,或者它来设置相当不错的框? 从我们的主办公室和我们的非现场实验室安装设备。 我也可以RDP到内部接口的DC然后连接,如果这是更安全的。 这是我目前的状态。 现在它只是安装在我的工作机器上进行一些testing。 所以外部接口只是去办公室networking。 命令结果:“show running-config” : Saved : ASA Version 8.2(1) ! hostname superasa domain-name somedomainname enable password /****** encrypted passwd ******************** encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address […]
这与暴力攻击的其他post类似,但更具体一些: 我们通常能够执行体面的密码,并且用户名策略也避免了99.9%的FTP傀儡正在尝试的东西,但是我没有理由让数千次的尝试无休止地,有时他们可以使填充日志文件有很多的噪音,使其更难find更有针对性的东西。 那么,对于被动的FTP,在传入的TCP 21的iptables中有一些合理的速率限制,在切断大量失败的尝试而不会妨碍正常使用的情况下是合理有效的? 我认为这将通过从同一个IP到TCP 21的速率限制连接来完成。是正确的吗? 我有没有想到那里的问题? 接下来, 你会build议在堡垒防火墙/路由器上使用一个简单的iptables命令来防御最困难/最快的暴力攻击? 我的想法是在一分钟左右触发25个连接(原则上成功login到TCP 21的唯一连接),然后一个半小时。 这些数字看起来是否合理? (其他信息:这是一个debian防火墙/路由器,它可以保护混合操作系统的DMZ)
这里是“iptables-save”的输出: # Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010 *mangle :PREROUTING ACCEPT [921:116690] :INPUT ACCEPT [921:116690] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [856:343403] :POSTROUTING ACCEPT [856:343403] COMMIT # Completed on Sun Nov 21 11:28:56 2010 # Generated by iptables-save v1.4.4 on Sun Nov 21 11:28:56 2010 *nat :PREROUTING ACCEPT [18:1076] :POSTROUTING ACCEPT [189:12510] […]
我正在使用全新安装的Centos 5.5。 我有节点安装和工作(我只是使用节点 – 没有Apache或Nginx。),但我不知道如何使一个简单的服务器端口80.节点正在运行,正在侦听端口80.我'米只是使用演示应用程序: var http = require('http'); http.createServer(function (req, res) { res.writeHead(200, {'Content-Type': 'text/plain'}); res.end('Hello World\n'); }).listen(80, "xxxx"); console.log('Server listening to port 80.'); 当我访问我的IP时,它不起作用。 我使用ifconfig获得了我的ipaddress。 我试过不同的端口。 所以一定有我失踪的东西。 我需要在我的服务器上configuration什么来完成这项工作? 我想这样做,而不安装Apache或Nginx的。 卢克 编辑 – 好吧,我安装nginx并启动它,看它是否与节点有关,我没有看到它的欢迎页面。 所以它肯定与服务器有关。 我正确检索IP地址通过运行: ifconfig然后读取eth0下的inet addr ?
我有两台Linux服务器: 第一个包含一个包含Oracle HTTP Server的Oracle 11G数据库 第二个包含一个Java中间层加上Apache webserver和Apache Tomcat。 有人提到我应该考虑一个非军事区。 目标是保护外部用户的数据库。 但是,我们可以信任内部用户。 内部用户仍然需要访问数据库服务器的所有方面。 有人能帮我理解一个简单的DMZ(小型企业)在这种情况下会是什么样子? 它是以硬件还是软件或两者来实现? 不知道DMZ的任何内容,我想了解我需要指示我的主机提供商做什么来实现DMZ(假设有很多信息需要决定,而不仅仅是告诉他们:“给我一个DMZ “)。 我需要告诉他们什么,或在接近他们之前需要做什么决定? 在上述情况下,有人可能不想要或不需要实施非军事区? 或者,人们普遍认为这是一个好主意吗?
有没有办法做到这一点? 我们正在考虑购买Fortigate 100D,但不确定是否能满足我们的要求。 http://www.fortinet.com/products/fortigate/100D.html 虽然1518字节的防火墙吞吐量看起来很好(2.5 Gbps),但是在64字节(200 Mbps)的情况下,似乎有所下降。 我们有大约30台有源电脑,但只有4-5台使用networking8x5。 我想平均看看我们的数据包大小,以判断我们需要哪种模型。
我有apf安装在一个OpenVZ容器(proxmox 2.1)。 configuration是非常香草和事情正在工作。 我的外部服务,如ssh和http正在工作。 我的问题是,http / https上的所有出站stream量被阻止。 如何允许http / https的所有出站stream量。 如果我像这样将EGF更改为1,则所有入站和出站stream量都将被阻止 EGF="1" EG_TCP_CPORTS="21,25,80,443,43,53" EG_UDP_CPORTS="20,21,53" EG_ICMP_TYPES="all" 我用下面的方法打开了一个出站规则 # /usr/local/sbin/apf -a downloads.wordpress.org 如何在不阻止所有stream量的情况下允许http / https上的所有出站stream量? 为什么我会允许所有入站ssh / httpstream量并阻止所有出站stream量?
我在一个我pipe理的小型networking上遇到了一个大问题。 这个networking是一个苹果networking,与机场的极端,表示,MacBook Pro的,IMAC的,iPad的,iPhone等… 今天我去了这个networking添加了一些东西,并注意到交换机上闪烁着疯狂的灯光。 注意到这一点后,我开始wireshark并看看我的防火墙日志文件。 我在日志文件中一遍又一遍地看到的是 拒绝10.0.3.100 224.0.0.251 mdns / udp 5353 5353 1 – Trusted Firebox udp flooding 123 255(内部策略)proc_id =“firewall”rc =“101” 源IP更改(10.0.3.100),但消息保持不变。 我有一个很大的问题搞清楚是什么造成了这一点。 当我连接无线接入点时,我无法连接到networking上的任何设备。 当我拔掉他们的networking是好的,并没有饱和与此stream量。 任何人有任何好的方法来诊断这个问题? 我不知道这是刚刚开始,还是一直如此,因为我现在才注意到它。 更新:我运行wireshark时看到的消息如下: 25 0.006498000 10.0.3.3 224.0.0.251 MDNS 135标准查询响应0x0000 A,caching刷新10.0.3.3 A,caching刷新169.254.233.55
有没有办法阻止特定的进程在Linux下创build任何TCP / UDP连接? 就像Windows下的防火墙一样,我需要阻止一个进程的任何networking活动。
我有一个客户在现场安装了WatchGuard XTM 23设备作为他们的主要防火墙。 我刚刚几天前升级了它的固件到11.6.6这个系列的最新版本。 问题是我没有成功地为他们设置VPN连接。 使用http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html上的说明,我正在尝试设置VPN使用SSL连接:从防火墙Web GUI /控制台,我使用SSL转到VPN – > Mobile VPN,启用它,添加组织的防火墙所连接的公共IP地址。 我在Active Directory中设置了一个名为“SSLVPN-Users”的组,validation了WatchGuard框可以与Active Directory服务器交谈,并将自己添加到该组。 然后,我将带有SSL客户端的WatchGuard Mobile VPN下载到我自己的Windows 7计算机上,走到街对面的客户的第二栋楼(它有不同的公共互联网连接),并尝试连接到VPN。 当我尝试与客户端连接时,出现以下错误: 2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814) Built:Jun 13 2012 01:42:55 2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443 2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002 2013-06-24T15:41:50.106 failed to get domain name […]