我没有太多的工作与SNORT或做了太多的研究,但这听起来有可能。 如果我设置一个服务器,并运行snort。 那么是否有可能将所有的stream量通过它像一个防火墙路由到我的网站? 这是否允许我有一个中心点来过滤掉所有不好的stream量? 至于转发去,我应该使用GRE隧道还是有更好的方法? 如果可能,我想尽量保持客户的知识产权。 因此,我可以运行HA Proxy / nGinx作为转发网站stream量的方式,将客户端IP保留在数据包中,而不是以每个客户端作为代理服务器的IP。
我一直在为一个XenServer防火墙寻找一个明智的解决scheme。 新的默认networking后端“openvswitch”的文档不是那么详细,我几乎找不到指南来过滤包与OVS。 另一种可能性是使用iptables的linux桥(我将在接下来的几天评估)。 你如何防火墙XenServer? 你使用Dom0吗,你有专用的虚拟机吗?
我在UTM 9上使用了一个SOPHOS。我在Win Server 2012 R2 / IIS 8上创build了一个子站点(例如myaccess.mydomain.com)。 在UTM9上,我已经做了Stephane在“serverfault – > sophos从网上访问web服务器”的说法,我可以在没有HTTP问题的情况下访问我的网站。 我想用HTTPS访问它(规则和证书被创build/链接和本地testing工作)。 在UTM 9中,我激活了用户门户,导致我们使用VPN。 在SSL中使用标准HTTPS端口(443)中的TCPconfigurationVPN中的其他子域/域(例如vpn.mydomain2.com)。 UTM9防火墙规则是基础。 HTTP,HTTPS被授权。 在这种情况下,我在防火墙上添加了一条规则: |—————————————————–| | FROM | PROTOCOLS | TO | |—————————————————–| | Internet IPv4 | HTTP | myaccess.mydomain.com | | Internet IPv6 | HTTPS | | | LAN (Network) | MS SQL | | | WAN (Network) | […]
默认情况下设置UFW deny outgoing后如何使ping和traceroute工作? 这是我的UFWconfiguration: sudo ufw status verbose Status: active Logging: on (low) Default: deny (incoming), deny (outgoing), disabled (routed) New profiles: skip To Action From — —— —- 123/udp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 443/tcp ALLOW IN Anywhere 123/udp (v6) ALLOW IN Anywhere (v6) 80/tcp (v6) ALLOW IN Anywhere (v6) 443/tcp (v6) […]
我有一个旧的Linux HA防火墙/路由器设置,从来没有工作。 由于从来没有投入到真正的生产(只是testing和演示),我总是必须有一个防火墙closures,使其路由。 现在我们正在计划将其投入生产,我需要做这个工作。 所以我想要做的就是在HA故障切换模式下,使其最终正常工作。 我有两台Linux服务器作为防火墙/路由器。 它们分别直接馈入10G光纤和点对点/ 30networking。 他们运行BGP。 而他们路由LAN端的Infiniband这就解释了为什么我不使用普通路由器,而是使用服务器来达到这个目的。 这些10G安装时,我相信被称为多供应商或相似,但就我而言,他们来自同一个提供商,他们有很多上游的HA。 看看那里的每一个HA设置,公共和私人都有一个浮动的IP。 我认为这是为了确保在使用conntrackd时可以正确地将stream量复制到备份机器。 通常,keepalived在Linux上用于在连接的WAN和LAN侧提供浮动IP。 像这样的东西: 而不是详细解释旧的设置,没有工作。 我要求提供一些关于如何使这项工作正确的指针,因为我没有公开的10G端的开关。 不过我在两台路由器之间直接连接eth2。 另一个通过交换机连接在一起的eth3链路。 我想我想要尝试和避免的是不对称的路由,stream量进入一台服务器,然后走出去。 理想情况下,它会进入活动服务器。 所提到的networking范围是由BGP提供的,是/ 25。 我想知道我是否能用Linux来完成类似下面的事情: https://networkengineering.stackexchange.com/questions/5183/vrfs-to-address-asymmetric-routing-with-stateful-inspection 我可以使用eth2networking作为一种交换机,如果一个数据包进入了备份服务器,它可以通过eth2,然后从主机到局域网进入另一台服务器? 这会工作吗? 我一直在想的另一件事情是局域网上有两个默认路由,忘记浮动IP。 但是我认为这可能是有问题的吗? 我将如何确保每个服务器1个会话。 我无法弄清楚Linux中的策略路由。 顺便说一下:我的防火墙后面没有windows服务器。 它只会提供Linux服务器。 事实上,马克提醒我,我确实早就求助了,但在回应时我不想做任何事情。大家都忙着忘了。 我find了电子邮件。 答复是: 你好,对不起,迟到的答复。 大多数情况下,您将能够使用HA,同时有两个防火墙同时工作,但在这里是不可能的。 我在这里要做的是使用路线图将交通引导到一侧。 在路由器上,您不需要stream量,您可以预先input您发送给我们的路由。 这使得这个设备的path更长,所以我们的路由器走另一条path。 route-map Net:Out set as-path prepend 65007 65007 router bgp 65007 neighbor <Net IP> route-map […]
伙计们,有一个奇怪的,需要你的专家的帮助。 对于我们在审计中出现的大量使用的外部服务器,nmap -Pn扫描显示如下: Starting Nmap 5.51 … Host pub.ip is up (0.0032s latency). Not shown: 993 filtered ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 80/tcp open http 113/tcp closed auth 119/tcp open nntp 8008/tcp open http 8010/tcp open xmpp 现在这是一个公共的FTP / SFTP服务器,物理主机上的netstat / lsof确认只有端口21(ftp),22(ssh)和25(内部smtp)在监听。 ASA FWconfiguration显示它只允许从pub IP到ftp / ssh上的内部IP的NAT: static (dmz3,pub1) pub.ip […]
当rancid尝试通过SSH连接到PALO(活动的)时,我得到超时消息。 手动连接一切正常。 我相信是与含有提示的提示相关的东西。 add user fw-* backup-user add password fw-* {xxxxxx} {yyyyyyyy} add method fw-* {ssh} add autoenable fw-* 1 这是手动连接的输出 backup-user@firewall-name(active)> 这是我得到的错误 panlogin error: Error: TIMEOUT reached 任何线索? 谢谢
我的CentOS XYZ有两个networking接口: iface1 136.136.10.10 is connected to gateway 136.136.10.1 iface2 192.168.10.1 is connected to private network XYZ可以通过连接到互联网的网关136.136.10.1访问互联网。 我的另一个CentOS ABC有一个内部networking接口iface(192.168.10.2)。 现在,我如何将ABC连接到互联网? 我试图添加化妆舞会,但无济于事: 在XYZ上: # iptables –flush # iptables –table nat –flush # iptables –delete-chain # iptables –table nat –delete-chain # iptables –table nat –append POSTROUTING –out-interface iface1 -j MASQUERADE # iptables –append FORWARD –in-interface iface2 -j […]
在我尝试使用虚假用户和iptables来执行此操作之前,需要执行需要限制的命令。 但是现在这些命令需要读取每个用户的环境variables设置,所以看起来这种方式不再有效。 操作系统是一个RedHat,似乎是唯一可靠的select是SELinux。 除了Web上的基本文档和教程,还没有关于configurationSElinux策略的最佳实践。 什么是推荐的方式来实现这个function?
我正在寻找关于如何configurationMikrotik路由器loginNAT会话设置和理想的拆卸的build议。 但是,只有设置足以满足我的迫切需求。 我发现了一种方法来logging所有的数据包,我可能会减less这只loggingTCP SYN,FIN和RST数据包,但我还没有find该方法。 这不包括UDP,我也想跟踪。 对于UDP,如果会话超时并再次作为新会话再次出现,那就好了。