我有一个freebsd 9.0路由器与250-300Mbit / s的stream量,并需要过滤小页面(http.request.uri)。 我不关心tor,anonymizers,代理等。只是防止从我的networking直接访问此页面。 怎么样? 只有redirecthttp到鱿鱼或任何其他的http代理? 我知道tcpdump -ddd和bpf netgraph节点。 但是http对我来说很难。
我如何创build一个Windows防火墙规则,让应用程序X只打开连接(出站)到两个IP地址,而阻塞一切?
我需要使用WMI从我的服务器获取一些信息。 但是我在DMZ有一个服务器,所以我需要在我的防火墙中打开一个端口。 我search,我发现WMI使用随机端口。 这怎么解决?
这是我的场景: build立 有3台机器: A :在互联网上:有ip( aaaa ),有端口pa打开 B :我的服务器/网关:有ip( bbbb ),有端口pb打开 C :在网上:有ip( cccc ),有端口pc打开 约束 机器A的所有者通过端口pa提供必须通过端口pc在机器C上访问的服务。 问题是, A的所有者只能允许直接连接到我的服务器,端口pb上的机器B 请注意, A和C都在互联网上 ,所以实际上,我必须充当互联网上两台机器之间的网关(我在大多数防火墙文档中发现的文献都充当互联网和本地之间的网关networking)。 附加function 机器B正在运行OpenSuse 11.4 要求 我的任务是确保我通过服务器B为机器C提供由A提供的服务,使得来自A:pastream量以C:pc结束,而来自C:pcstream量以A:pa结束。 那么,如何使用iptables或其他Linux / Unix工具来实现呢? 这甚至有可能吗? 假设解决scheme: 这是我想到的一个想法,但我不确定它是合法的还是合理的: iptables -t nat -A PREROUTING -p tcp –source aaaa –source-port pa \ –destination bbbb –destination-port pb -j DNAT –to-destination cccc:pc 和 iptables […]
如何configurationufw或iptables只允许从IPv6networking到Internet的出站stream量? 我有一个办公室networking与IPv4的传统NAT设置。 我想添加一台运行Ubuntu的PC作为利用Hurricane Electric隧道的IPv6路由器。 我有一切设置和运作正常。 我的内部计算机正在从Ubuntu中接收全局地址,并且能够ping ipv6.google.com并浏览ipv6test.google.com,而不会出现任何问题。 我不知道的是,如何configuration一个防火墙阻止来自Internet的未经请求的stream量到我的内部networking,但允许出站stream量到Internet(和相关的返回stream量)。 ufw命令或iptables规则的实际例子将不胜感激。 root@ipv6router:/home/corey# ifconfig eth0 Link encap:Ethernet HWaddr 00:08:a1:10:62:c0 inet addr:146.xy12 Bcast:146.xy15 Mask:255.255.255.240 inet6 addr: fe80::208:a1ff:fe10:62c0/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:190487 errors:1 dropped:0 overruns:1 frame:1 TX packets:40982 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:80088076 (80.0 MB) TX bytes:6825762 (6.8 MB) eth1 Link encap:Ethernet […]
我有一个CentOS服务器,我想在其上build立一个NTP客户端来获得准确的服务器时间。 服务器位于具有NAT的本地子网之后,位于ASA 5505防火墙之后,该防火墙充当NAT路由器,并直接连接到互联网DSL调制解调器,没有其他路由器。 问题是CentOS服务器上的NTP客户端从来没有设法与我select的任何NTP服务器同步。 设置ASA 5505作为NTP客户端工作完全正常。 在CentOS服务器上使用相同的IP地址,即使在等待几个小时的时候也不会同步。 ntp.conf是: 限制127.0.0.1 限制-6 :: 1 服务器127.127.1.0#本地时钟 软性127.127.1.0阶层10 漂移文件/ var / lib / ntp /漂移 键/ etc / ntp / keys 服务器89.109.251.21 服务器176.9.47.150 服务器63.15.238.180 使用ntpq告诉我,这些服务器都没有到达(至less有两个从ASA到达,所以他们没事): 同行 当轮询到达延迟偏移抖动时,远程反转 * LOCAL(0).LOCL。 10升25 64 377 0.000 0.000 0.001 89.109.251.21 .INIT。 16 u – 1024 0 0.000 0.000 0.000 odin.tuxli.ch .INIT。 16 u […]
我最近接pipe了使用安装了CPanel的纯Tomcat 6服务器(即,没有组合Tomcat + Apache)的网站的pipe理,其仅在端口8088 (即,主页面URL是www.domain.com:8088 )上可访问。 我希望网站可以在www.domain.com上访问,即在80端口上。 按照这篇文章 ,我跑了: sudo /sbin/iptables -t nat -I PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8088 sudo /sbin/service iptables save 然后重新启动。 但是,与以前一样, www.domain.comredirect到www.domain.com/cgi-sys/defaultwebpage.cgi ,即CPanel的默认网页,位于/usr/local/cpanel/cgi-sys/defaultwebpage.cgi 。 访问www.domain.com任何其他页面时,出现404错误。 看来CPanel正在干扰使用80端口。 www.domain.com:8088仍然有效,但。 这里是/usr/local/tomcat/apache-tomcat-6.0.26/conf/server.xml的内容。 请注意,根据文章,我在port="8088" proxyPort="80"之后添加了proxyPort="80"所以它将“好像传入的请求被引导到端口80”一样。 <?xml version='1.0' encoding='utf-8'?> <Server port="8005" shutdown="SHUTDOWN"> <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> <Listener className="org.apache.catalina.core.JasperListener" /> <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" /> <Listener […]
我有我的FTP服务器的问题。 连接,发送和接收有时会失败,并不一致。 我设法捕获和过滤IP数据包,我只需要指示我可以从那里做什么,因为我不完全了解捕获。 这是一个截图 这是从服务器失败时的日志 Error: Connection closed by server Error: Connection timed out Error: Could not connect to server Status: Delaying connection for 5 seconds due to previously failed connection attempt… Status: Connecting to xxx.xxx.xxx.xxx:21… Status: Connection established, waiting for welcome message… Error: Connection timed out Error: Could not connect to server Status: Delaying […]
我正在与VPC中的EC2服务器合作,尽可能减less出站stream量,并将所有出站stream量明确列入白名单。 但是,基于EC2安全组或networkingACL,看起来我需要指定允许的确切IP地址。 (另外,允许给定端口上的所有IP地址,这是我想避免的。 许多第三方服务都列出了IP地址 – 例如,New Relic在https://docs.newrelic.com/docs/site/networks上列出了它们。 不过,其中很多人并没有这样做 – 例如,我一直在找Ubuntu版本的等价物,这可能是因为他们轮stream使用IP。 (我似乎无法findGoogle API的IP地址。) 我希望有人能够1)告诉我我错了,并指出一种方法来保持出口白名单的IP与他们的DNSparsing同步,或2)解释如何出站stream量通常被过滤在一个相对安全的/偏执狂的VPC 。 你通常只是将所需的端口列入白名单,而不打扰到IP的粒度? 有一个stream行的防火墙/ NAT软件,您使用更复杂的过滤? 我希望这个问题具体一点 – 先谢谢了!
我曾经看到很多人一起使用ESTABLISHED 和 RELATED标志来接受stream量,一旦连接被接受(见允许build立的会话 )。 假设我按照以下规则设置防火墙: -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp –dport 80 -d xxxx –syn -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp -s xxxx –dport 22 -d xxxx –syn -j ACCEPT -A INPUT -i eth0 -p tcp -m state –state ESTABLISHED,RELATED -m tcp […]