当我向ufw添加规则然后启用它时,我在sysctl.conf一些设置将变为无效,所以我必须在ufw enable之后执行sysctl -p 。 所以例如我在sysctl.conf一个设置是不回复ping,在启用ufw之后,可以再次ping服务器。 为什么是这样? 以下是我的sysctl.conf中的一些设置: net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 net.ipv4.conf.all.log_martians = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 net.ipv4.conf.all.accept_redirects = 0 […]
我一整天早上都在读firewalld,然后想出下面的公共区域: <?xml version="1.0" encoding="utf-8"?> <zone> <short>Public</short> <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> <source address="167.114.37.0/24"/> <source address="92.222.185.0/24"/> <source address="92.222.184.0/24"/> <source address="92.222.186.0/24"/> <source address="149.202.34.10/32"/> <service name="dhcpv6-client"/> <service name="http"/> <service name="ssh"/> <service name="https"/> </zone> 我能想到的最好的办法是,这个区域应该只允许这些端口/服务的传入连接,并提供对这些子网的完全访问。 但是,当我用nmap扫描我的服务器时,我得到了开放端口的小船(我绝对不在白名单子网中的一个)。 PORT STATE SERVICE […]
我有一个列表,下面的命令创build ipset create foo hash:ip maxelem 40000000 timeout 180 这是如何虚空看起来像 #ipset list foo Name: foo Type: hash:ip Revision: 1 Header: family inet hashsize 1024 maxelem 40000000 timeout 180 Size in memory: 16504 References: 0 Members: 然后我添加了一个/ 16子网,这意味着65535个IP地址。 正如我们可以看到下面的命令,哈希大小dynamic改变和IP地址添加成功。 #ipset add foo 192.168.0.0/16 #ipset list foo | head -10 Name: foo Type: hash:ip Revision: 1 Header: […]
我有几个RHEL7 / CentOS7服务器,我需要阻止所有的 OUTGOINGstream量到专用机器或专用networking子网,例如CIDR 168.192.10.0/24。 目前我用firewall-cmd尝试过,但并不幸运。 我看到的大多数post都是使用iptables但我宁愿select基于firewalld的解决scheme。 我已经试图将我的解决scheme基于这两个主题阻止传出连接…并阻止与firewalld在Centos 7上的传出连接,但不知何故我的规则必须是错误的,因为我仍然可以打开一个HTTP连接到服务器。 目前的firewalld规则(没有定义规则) public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: sourceports: icmp-blocks: rich rules: 假设服务器的服务器源IP是168.192.18.56。 接下来,我试图定义的规则(也与–permanent firewall-cmd –direct –add-rule ipv4 filter OUTPUT 0 -d 168.192.10.0/24 -j REJECT firewall-cmd –zone=public –add-rich-rule='rule family="ipv4" source address="168.192.18.56" destination address=168.192.10.0/24 reject' […]
有谁知道任何提供与DataPower,Vordel等同等function的开源XML防火墙吗?
我有一个规则,打开所有连接的FTP端口。 我有第二个规则,阻止所有的IP上的所有协议的所有连接。 但是,来自阻塞的IP的连接仍然可以连接到FTP端口,因为该规则显然是优先的。 我怎样才能做这个工作,因为我看不到如何调整Windows防火墙的规则顺序。
我configuration了iis7 ftp来允许ssl连接。 我将ssl防火墙设置为使用端口50000-50050。 如果我在我的fortigate防火墙上为源端口990-50050和目标端口990-50050设置了自定义服务,请将其设置为防火墙策略并从其连接的客户端连接并成功运行。 如果我使用源端口990和目标端口990创build服务FTPS控制,并且使用其他服务,则将源数据端口50000-50050和目标端口50000-50050的FTP数据添加到组FTPSSL,将FTPSSLreplace为ftps策略并尝试连接试图连接到端口990,并最终超时。 有没有办法将服务configuration为只使用我需要的端口,而不是990以上的每个端口?
这是最初发布到StackOverflow,但由于代码的作品,这很可能是一个networking/防火墙的问题,我想我会问这里。 正如标题所述,我可以通过FileZilla Client从我的服务器连接到另一台机器,但是我不能通过代码(.Net – FTPWebRequest) 我知道代码是好的,因为它从另一台机器上运行。 我遇到的特定机器是在NAT后面,但是SA已经打开了所有与我们正在谈话的主机的通信的端口。 任何build议 – 我错过了明显的东西? 我尝试连接的例外是: "Unable to read data from the transport connection: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond." 而且,我们试图连接的机器的日志显示: 7/26/2010 12:40:23 PM – (not logged in) […]
我有一个站点到站点VPNconfiguration在我们的主站点(站点A)和远程站点(站点B)之间。 站点A是10.60.0.0/16站点B是192.168.99.0/24 站点B中的防火墙是运行ScreenOS 6.3的瞻博networkingSSG,我正在使用基于路由的VPN。 隧道的工作完全可以通过隧道达到192.168.99.0,站点B的隧道可以达到10.60.0.0。 但是,我们希望如果您位于站点B并希望通过站点A的防火墙访问Internet,并且现在在瞻博networking0.0.0.0版本中将ISP路由器作为下一跳。 我的理解是,在瞻博networking上,我可以为我们的主站点上的/ 32公共IP设置路由,VPN隧道通过ethernet0 / 0(SSG的外部接口)连接到ISP路由器,然后修改0.0。 0.0路由通过tunnel.1(VPN隧道)使用我们的主站点防火墙。 不知道我解释得如此之好,但我的理解是正确的?
我正在运行一个中央的历史增长的防火墙系统,我想要取代。 不幸的是,历史上增长的规则集是一个真正的混乱,所以我想从头做一个networking分析。 因此我计划在HP ProCurve交换机上运行sflow。 我已经把它与ntop运行,但不幸的是不是我的情况下select的工具。 我正在寻找的是一个sflow收集器,我可以用它来重新devise我的防火墙规则。 主要目标是获得networking中所有主机的格式和/或表格视图。 我需要做的是为networking中的每个主机创build一个完整的新规则集,从而使我的注意力集中在从主机angular度来看的传入连接上。 该工具应该有不同的filter选项,如“按主机过滤”,“按networking过滤”,按服务过滤“等。当然,我更喜欢使用开源软件,但如果没有适合我的目的的开源工具,我肯定愿意支付一个商业工具。 我希望我的解释不是太混乱。 🙂 从你们那里得到一些build议是很好的。 sflow.org上的列表是一个很好的起点,但不幸的是,我没有时间去尝试列表中的每个工具: http://www.sflow.org/products/collectors.php 干杯, 短发