我正在尝试创build一个VM onlynetworking,客人可以互相通话,但不能与主持人通话。 我想隔离主机出于安全原因,因为多个testing用户将使用虚拟机。 目前我有一个与多个Windows / Fedora / FreeBSD的客人的Fedora 22框。 它有两个networking接口,一个用于主机,另一个连接到一个名为“bridge0”的网桥 # cat /etc/sysconfig/network-scripts/ifcfg-bridge0 DEVICE="bridge0" ONBOOT="yes" TYPE=Bridge BOOTPROTO=static IPADDR=192.168.1.2 NETMASK=255.255.255.0 # cat /etc/sysconfig/network-scripts/ifcfg-enp4s0f1 TYPE=Ethernet BOOTPROTO=static NAME=enp4s0f1 DEVICE=enp4s0f1 ONBOOT=yes NM_CONTROLLED=no BRIDGE=bridge0 # brctl show bridge name bridge id STP enabled interfaces bridge0 8000.0010183803ce no enp4s0f1 vnet0 vnet1 vnet2 virbr0 8000.5254000a60a5 yes virbr0-nic 这是否像创build另一个桥“bridge1”,而不是附加一个物理接口和不分配一个IP地址?
我所遇到的大部分信息都倾向于使用桥接连接来build立KVM防火墙。 根据我的理解,如果networkingstream量能够到达主机,而不必先通过防火墙,则存在安全风险。 我已经看到主网卡(例如eth0 )被设置为虚拟机网卡,但是这是否排除主机访问eth0 ? 另一个想到的选项是网卡的PCI直通,但是我遇到了这个方法的问题。 有没有其他方法需要主机stream量先通过防火墙? 你推荐使用什么方法?
我已经为PayPal IPN编写了一个Web钩子,我只想允许从端口80/443上的PayPal服务器访问托pipe端点的EC2实例。 在EC2安全组控制台中,我只能通过IP / Range进行过滤。 这是不够的,因为贝宝说,他们随意更改IP地址,没有任何通知,所以必须使用主机名。 我见过这里的答案,build议扩大IP块等,但没有真正的直接解决scheme。 一个build议的解决scheme是使用AWS API更新安全组。 这是最好的select吗? 我可以做的是有一个计划的任务来比较PayPal主机parsing的当前IP到最后一个已知的IP地址。 如果它们不同,请更新AWS EC2组。 我会在同一台机器上运行这个任务,因为嘿,如果机器停止了,那么无论如何都不能访问端点。 这是最合适的解决scheme吗? 我也会在我家也有类似的问题。
我有一台Ubuntu机器,是我的防火墙 本机有2个NIC卡。 eth0和eth1。 eth1连接到一个调制解调器,使其IP 10.10.1.X 要求eth1在192.168.2.X上提供DHCP,并从连接到在192.168.1.X上提供DHCP的路由器的交换机获得另一个IP 目前这台机器有以下的IP地址 eth0 – 10.10.0.4 eth1 – 192.168.2.1 (DHCP Server, Gateway) eth1:0 – 102.168.1.103 我正在尝试完成以下内容 如果一台机器通过交换机连接到eth1,它应该能ping通192.168.1.10这个 [Modem+Router 10.1.1.0/24] | | | (eth0) |—– [ Server 192.168.1.10] Ubuntu | Firewall (eth1) —– [Switch]—–[Modem+Router 192.168.1.0/24] (eth1:0)——–| \ \ \——–[EndPoint 192.168.2.4] 我的根本问题在于,我收到了来自2.4的发往互联网的数据包,并且能够使用IpTable正确地路由它们。 而如果一个数据包到达1.10,我应该把它发回给交换机并设置适当的选项。 我已经尝试了以下 将默认网关1.0设置为2.4,并将下一跳设置为1.1,我希望能做正确的转发 我也使用bridge-utils桥接了eth1和eth1:0,然后在2.X想从10.10.0.1上网的任何人使用iptables转发
CSF-LFD几乎封锁了所有的开放端口。 它也阻止我需要的10000端口。 我可以通过类似的代码打开端口: cat << EOF >> /etc/csf/csf.conf tcp|in|d=10000|s=aa.bb.cc.dd EOF service csf restart 对于阅读这篇文章的新手,请注意我select了tcp_in因为我的服务器对任何连接到它的人都是远程的,甚至包括我自己。 我的问题: 是否可以打开港口,而不提及任何IP etcetra,如果是的话,为什么? 我问这是因为我想要自动打开IP的过程,作为用于安装我的服务器环境的脚本的一部分,以及人们在Googlesearch中可以find的特定答案; 我个人经历了一些文章,我发现只有在附加IP 时才打开CSF-closed端口。
我很感兴趣,你如何在linux路由器上编写你的复杂包过滤规则集作为防火墙。 一个带有默认丢弃策略。 我通常会采取这种方式[只是一个假象]: iptables -F ; iptables -X; iptables -P FORWARD DROP iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -N FORWARD_machineA iptables -A FORWARD_machineA -d $machineA -p tcp –dport 80 -j ACCEPT iptables -A FORWARD_machineA -d $machineA -s $machineB -p tcp –dport 3306 -j ACCEPT iptables -A FORWARD_machineA -d $machineA -j DROP […]
我正在使用Hyper-V的Windows Server 2008设置虚拟机。 我试图设置FTP访问本机,但是我无法从本地机器连接到FTP服务器。 我可以ping它并访问Web服务器部分。 这是我迄今为止所做的: 我安装了最新的FTP发布服务 设置一个名为“ftp”的新用户 从我的IISpipe理器中添加一个新的FTP站点 指定我的服务器的IP地址(192.168.1.97),允许使用SSL 为我的用户“ftp”设置基本身份validation 我也尝试添加匿名访问,但我仍然从FileZilla得到这个错误: 状态:连接到192.168.1.97:21 … 错误:连接超时 错误:无法连接到服务器 状态:正在等待重试… 有没有人有在Windows Server 2008上设置FTP服务器的经验? 谢谢!
只是有点困惑,通常防火墙适用于所有的外部,所有的内部服务器(实例)可以自由连接。 借助AWS,它配备了防火墙/安全组。 这些设置是否适用于每个实例? 那么其他客户呢,如果我没有在每个实例上设置iptables的话,有没有实例可以连接到我的实例呢?
我在Lenny上运行Debian Linux服务器。 在其中,我正在运行另一个使用KVM的Lenny实例。 这两台服务器都可以在外部使用,使用公共IP,也可以使用第二个带有局域网私有IP的接口。 一切工作正常,除了虚拟机看到所有的networkingstream量源自主机服务器。 我怀疑这可能与我在主机上运行的基于iptables的防火墙有关。 我想弄清楚的是:如何正确configuration主机的networking,以满足所有这些要求? 主机和虚拟机都有2个networking接口(公共和私有)。 主机和虚拟机都可以独立防火墙。 理想情况下,虚拟机stream量不必穿越主机防火墙。 虚拟机看到真正的远程IP地址,而不是主机的。 目前,主机的networking接口被configuration为网桥。 eth0和eth1没有分配给它们的IP地址,但是br0和br1做的。 主机上的/etc/network/interfaces : # The primary network interface auto br1 iface br1 inet static address 24.123.138.34 netmask 255.255.255.248 network 24.123.138.32 broadcast 24.123.138.39 gateway 24.123.138.33 bridge_ports eth1 bridge_stp off auto br1:0 iface br1:0 inet static address 24.123.138.36 netmask 255.255.255.248 network 24.123.138.32 broadcast 24.123.138.39 # […]
我有一个最近configuration的WatchGuard Firebox。 所有的政策看起来都很好,所有适当的服务似乎正常工作。 但是,一个或两个(看似)随机的节点阻止向一个1:1的NAT主机发送HTTP请求,而其他人都做得很好。 防火墙日志告诉我, tcp syn checking failed ,这些请求使用目标端口64作为设备后面的客户端,而端口50则使用外部客户端。 我终于find了这个选项,并在“全局设置”(Global Settings)下禁用了它(这会在我的嘴里留下不好的味道),而这似乎已经成功了。 尽pipe如此,这个文档对于这个话题来说是非常薄弱的。 任何人都可以向我解释究竟tcp syn检查是做什么的,而且我可以在我的策略中对它做适当的补偿,而不是全局禁用它(当然,假设有比全局规则更优雅的解决scheme)?