我读了technet,因为RPC,WMI Services使用超过1024的随机端口。 现在是因为微软端口预留使用1025-5000的问题还是可以使用多于5000端口? 我是防火墙pipe理员,想知道确切的! 这里是我发现的一些链接: http://msdn.microsoft.com/en-us/library/bb219447%28VS.85%29.aspx http://technet.microsoft.com/en-us/library/bb632618.aspx http://social.technet.microsoft.com/Forums/en-US/configmgrgeneral/thread/3107d180-ae84-4895-babd-c2891a878e4d 希望有人可以帮助..谢谢!
我在我的防火墙configuration上解除了端口53的阻塞,但是我的防火墙仍在阻止我的dns查找。 我知道DNS查找工作,因为如果我更改我的默认input策略为ACCEPT,则名称parsing正确完成。 这是iptables脚本 Generated by iptables-save v1.3.5 on Fri Dec 3 12:23:49 2010 *filter :INPUT DROP [41:3304] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [558:59294] :RH-Firewall-1-INPUT – [0:0] -A INPUT -i eth0 -p tcp -m tcp –sport 1024:65535 –dport 22 -j ACCEPT -A INPUT -s 172.16.0.134 -p tcp -m tcp –sport 1024:65535 –dport 80 -j ACCEPT -A […]
我有一个OpenBSD PF防火墙,我已经添加了一个IPv6隧道(使用HE.net tunnelbroker )。 我可以从防火墙ping / traceroute IPv6地址。 现在我想为我的防火墙后面的服务器提供IPv6服务。 他们都有公共IP地址(我没有使用任何types的NAT)。 所以我希望能够给他们IPv6地址的隧道给路由的IPv6前缀,并有正确的stream量通过OpenBSD上的隧道(gif0接口)的stream量。 其他一些细节。 这基本上是一个透明的防火墙,虽然外部接口确实有一个IP地址进行pipe理。 我需要添加一个IPv6地址到内部接口,以提供路由,或者我可以透明地路由一切通过隧道接口? PF规则对于IPv6stream量来说会是什么样子?它们与正常的IPv4 PF规则有什么不同? 我find了这个页面 ,但是它已经很老了(对于OpenBSD 2.9来说,已经快10年了)。 我正在寻找适合我的情况的更新说明。 编辑 :随着下面接受的答案,我需要添加以下PF规则来获取传入的stream量工作: tunnelserveripv4address="xx.xx.xx.xx" # This is the IPv4 HE.net tunnel endpoint ext_if="em0" pass in proto 41 from $tunnelserveripv4address to $ext_if keep state pass out proto 41 from $ext_if to $tunnelserveripv4address keep state
我正在将一些服务器移动到一个可乐,并想知道你会build议硬件防火墙坐在他们面前? 购买最便宜的Cisco / Fortigate / Juniper /防火墙是否可行? 我不需要任何东西,几乎只是端口转发。
我是新手到Linux防火墙,并试图为面向公众的计算机设置我的系统防火墙。 这是我的要求: 端口80和22应该打开HTTP请求和SSHlogin 由于我的应用程序服务器将在8080端口上以非root用户身份运行。我想将所有数据包redirect到端口8080.在某些情况下,我的应用程序本身向服务器发出请求。 问题:我的防火墙有没有漏洞? 我可以使这个更安全的方法。 这是我的防火墙设置: *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp –icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -m […]
目前我们正在进行DDOS攻击,并将DDOS缓解工作外包给BlockDOS.net。 问题是他们希望我阻止除了IP地址以外的所有端口80/443stream量。 如果我阻止Windows防火墙高级安全中的所有,我不能用一个允许覆盖。 如何阻止端口80和443上的一个本地IP地址的IP地址?
我在DMZ有几个www服务器。 我的监控和日志收集服务器放置在我的局域网中。 没有沟通之类的 WWW server in DMZ —-> monitor server in LAN 。 我可以从我的局域网连接DMZ LAN –via proxy–> WWW server in DMZ 。 我要使用syslog-ng。 问题是客户端 – 服务器体系结构和客户机中的syslog-ng工作连接到服务器以发送日志。 有没有办法configuration系统日志ng在某些types的被动模式,服务器(在我的局域网)将连接到客户端(DMZ)和收集日志? 编辑:我正在阅读有关Zabbix代理(zabbix可以监视日志)…而依靠zabbix文档teoryicaly它将是posible使我的scheme工作。 有人可以证实吗?
我试图找出一个端口被防火墙阻止的位置; 无论是路由到主机还是主机本身。 如果我运行nmap,我可以看到端口被过滤。 但是,这可能意味着主机192.168.1.74或之间的任何防火墙。 有没有办法find确切的地方? joel@bohr ~ $ nmap -A 192.168.1.74 –traceroute Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-18 20:27 GMT Warning: Traceroute does not support idle or connect scan, disabling… Nmap scan report for android-63731d6ebec9e01.lan (192.168.1.74) Host is up (0.040s latency). Not shown: 999 closed ports PORT STATE SERVICE VERSION 2222/tcp filtered unknown
鉴于以下情况: 一个小型的远程办公室只有几个用户和一个通过ZyXEL 660R的1.5 Mbps DSL连接。 当任何用户下载一个大文件时,用户都会遇到不可接受的延迟和数据包丢失,从而导致达到下行带宽限制。 只有ISP可用(本地电话公司),没有成本可行的选项来升级到这个位置的带宽。 (办公室的位置距离DSLAM大约15000英尺。) 我们可以灵活地部署任何开源解决scheme。 实施stream量整形的最佳方式是什么?下载从不消耗100%的可用带宽? 可以使用filter或其他应用程序感知工具来以比IP地址和端口号更复杂的方式来限制HTTP下载,从而使得在端口80上通过HTTP下载大文件的同一用户仍然可以访问端口80上的其他networking资源,尽pipe速度低于正常数据速率? (例如,限制带有MIMEtypes的application/octet-stream的任何东西的带宽是否合理?) 有没有更简单的select,我失踪了?
这就是我如何使用UFW设置我的iptables: sudo ufw default deny incoming (拒绝所有传入) sudo ufw default deny outgoing (拒绝所有传出) sudo ufw allow out 53 (接受传出的DNSstream量 ,包括tcp和udp) sudo ufw allow in 80/tcp (接受来自端口80的所有传入的tcp) sudo ufw allow out 80/tcp (接受所有的输出tcp到端口80) sudo ufw allow proto tcp from <admin_ip_addr> to <server_ip_addr> port 22 (从pipe理员办公室的IP为ssh接受传入的TCP端口22) sudo ufw allow out 9418/tcp (接受传出的git连接) sudo ufw allow proto tcp […]