目前,我正在使用一个AWS安全组作为我的一个EC2实例,但也考虑过为此堆栈添加防火墙。 我会考虑使用iptables,或者可能将整个系统迁移到Ubuntu(不涉及这个问题),所以可能只是最终使用ufw。 如果我只用安全组保护这台机器,我是否错过了一些保护措施? 与传统的* nix软件防火墙相比,我一直无法获得它的防护级别。
我一直在研究如何保护一个公共可用的RDP端点,并希望实现我们的双因素authenticationRADIUS服务器PhoneFactor。 我想执行以下过程: 用户在浏览器中打开Web应用程序 在web应用中,用户input用户名和密码,启动RADIUSauthentication 电话因素呼叫用户完成身份validation 用户通过身份validation后,端口3389将在pfSense防火墙上的用户IP上打开。 经过一段时间后,该IP的防火墙规则将被删除 我想知道以下几点: 这是一个典型的设置? 如果这是一个坏主意,请解释原因。 如果可能的话,有没有什么软件包可以帮助你呢? 具体来说,第三步,需要添加适当的防火墙规则… 编辑:我知道TS Web网关,但我希望用户能够使用传统的RDP客户端…
我试图让我的头绕着这个问题… 我想连接两个用户… 这些用户已经连接到一个TCP服务器,它知道公共IP和连接TCP端口。 我希望使用现有的连接到服务器,以便在我的用户之间创build一个p2p连接,因为要求他们连接到另一个UDP服务器以便知道他们连接的公共端口是多余的。 完全可以解决这个问题而不创build另一个服务器(这次是UDP)?
我正在按照说明使用kickstart自动安装Ubuntu Server 12.04。 它适用于自动分区驱动器,select语言等。但是,它不configuration防火墙。 这是一个已知的问题 。 没有防火墙运行不是一个好主意。 在安装过程中如何configurationUFW防火墙以防止未经授权的访问服务器? kickstart文件我看起来如下(仅更改了用户名) #System language lang en_US #Language modules to install langsupport en_US #System keyboard keyboard us #System mouse mouse #System timezone timezone America/Los_Angeles #Root password rootpw –disabled #Initial user user johnd –fullname "John Doe" –iscrypted –password <omitted> #Reboot after installation reboot #Use text mode install text #Install OS […]
是否有可能使iptables回落到负载下的无状态过滤,在攻击等过程中,当连接跟踪表已满并且新的连接即将被丢弃? 我知道这会有一些严重的安全隐患,因此应该非常保守地select后备规则。 另外,禁用连接跟踪时,NAT将不可避免地中断,但这不是问题(所讨论的主机是实际的防火墙)。 任何解决scheme可能有两个部分: 在iptables中响应一个完整的状态表(也就是说,不通过cron作业或守护进程parsing日志并修改规则) 禁用全部或部分有状态规则,或添加一些新的,优先级较高的规则,在应用状态跟踪之前接受数据包 可以这样做吗? 如果没有,有没有比通过某种日志分析检测表溢出,通过插入或删除规则来反应,还是卸载连接跟踪模块更好的方法?
Mar 24 03:29:26 kernel: [1557411.243821] TCP: time wait bucket table overflow (CT0) Mar 24 03:29:26 kernel: [1557411.243828] TCP: time wait bucket table overflow (CT0) Mar 24 03:29:26 kernel: [1557411.243998] TCP: time wait bucket table overflow (CT0) Mar 24 03:29:26 kernel: [1557411.244877] TCP: time wait bucket table overflow (CT0) : [1564292.095620] __ratelimit: 37822 callbacks suppressed Mar […]
在我的公司,我们有一个运行BGP和2个ISP的单个Cisco 3925sec / k9路由器。 现在我们要购买相同型号的冗余路由器来消除单点故障。 我可以在路由器和ISP之间build立BGP没有问题。 我们计划通过ISP A发送所有stream量,并通过ISP B接收所有stream量(ISP只向我们发送默认网关,我们可以使用as-prepends和local_pref属性)。 所以我的问题是,什么是最好的解决scheme,以确保我在两个路由器同时保持静态NAT和有状态防火墙规则(而不是ZBF)的状态? 同样,我希望stream量通过ISP A离开,并通过ISP B返回。 有没有可能,或者您认为购买一对带有主动/主动支持的ASA 5500系列,并对其进行NAT和检查会更好?
我使用IPSet来为不同的国家build立IP范围如下: # Canada ipset -F ca.zone ipset -N ca.zone nethash for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/countries/ca.zone) do ipset -A ca.zone $IP echo $IP done 然后,我使用以下iptables规则阻止来自服务器上某些端口的国家/地区: iptables -A INPUT -m set –match-set fr.zone src -p tcp –dport 15765 -j DROP iptables -A INPUT -m set –match-set cn.zone src -p tcp –dport 15765 -j DROP iptables […]
我是新手到Linux防火墙 root@Ubntu:~# ufw status verbose state: active logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) new profiles: skip 137,138/udp (Samba) ALLOW IN Anywhere 139,445/tcp (Samba) ALLOW IN Anywhere 22 ALLOW IN Anywhere 80 ALLOW IN Anywhere 137,138/udp (Samba (v6)) ALLOW IN Anywhere (v6) 139,445/tcp (Samba (v6)) ALLOW IN Anywhere (v6) 22 (v6) ALLOW […]
在我们的公司networking上,我们正在检测工作站,打开太多的IP地址75.126.196.159(端口3478)的连接,导致Cisco ASA防火墙5550检测到“SYN攻击”并达到其连接限制,导致严重的stream量降低合法stream量。 我们的Symantec Endpoint Protection(SEP)v12.1具有每个工作站上的最新定义,因此不会检测到任何exception行为。 作为一种缓解机制,我添加了一个本地的SEP(防火墙)规则来阻止入站/出站到IP地址的所有stream量,原因是75.126.196.159 任何其他的build议,以减轻和解决这个问题?