我想知道是否没有Fortigates相当于我们可以在ASA上find的packet-tracer命令。 这是一个不知道它的人的执行的例子: NAT和通行证: lev5505# packet-tracer input inside tcp 192.168.3.20 9876 8.8.8.8 80 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 0.0.0.0 0.0.0.0 outside Phase: 3 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group inside-in in interface […]
我有这种情况,一切工作正常,但我想configuration我的Shorewall,我不能这样做。 我的界面是: br0 (bridge of eth0) tun0 (OpenVPN) vnet* (each one of bridged interfaces with public IP's) Public Main IP: 188.165.XY OpenVPN IP's: 172.28.0.x Bridge: public ip's 所以,我有shorewall的下一个configuration: 在/ etc /的shorewall /区 #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall inet ipv4 road ipv4 的/ etc /的shorewall /接口 #ZONE INTERFACE BROADCAST OPTIONS inet […]
我们封锁Google Analytics(公司政策)。 我们有几个第三方Windows应用程序,可以在用户login或打开帮助时查看Google Analytics(分析)。 不幸的是,由于我们阻止了Google Analytics 我已经联系了供应商(AutoDesk),但到目前为止,他们唯一的解决scheme是打开Google Analytics(分析)。 我正在寻找的是一种欺骗应用程序的方法,即使它被阻止,Google Analytics(分析)仍在运行。 思考?
大约25小时前,我从UptimeRobot(uptimerobot.com)收到一封电子邮件,告诉我,我的网站已经closures了。 我跑到我的服务器机房,在那里我的TP-Link路由器完全没有响应(甚至从局域网侧),路由器上的交通信号灯闪烁着不快的速度等。我收到一条“朋友”的消息,有人知道他是一个白痴,走上了一个聊天频道,告诉大家要攻击我。 在经过17个小时的stream量攻击之后(每秒大约15000个数据包),我将networking移动到一个新的WAN IP,这显然阻止了这个攻击。 据我所知,那些不愉快的人仍然在攻击旧知识产权。 我为这个地址分配给谁而感到不好。 无论如何,在我切换IP之后,路由器上的红绿灯仍然闪烁,但仍然没有响应。 我给了它和调制解调器都硬重启; 在他们回来后,红绿灯已经减慢到正常速度,路由器现在响应。 问题是,networking仍然感觉像是在受到攻击 – 每当我ping到google.com( 显然是 up),我都会得到大约50%的数据包丢失,往返时间大约需要100ms – 与正常的30ms左右相比。 我已经重新启动了路由器和调制解调器几次,以为可能它们仍然受到来自攻击stream量的“堵塞”。 但是这被certificate是不成功的。 局域网本身就很好 – 我在不同的节点之间得到0%的数据包丢失,延迟低至0.051毫秒,所以我推断内部networking没有任何东西可以引起问题。 有没有人知道这里发生了什么? 有可能是我们的ISPpipe道完全积压与攻击发送的stream量? 这对我来说没有任何意义,只是想知道有没有人经历过这样的事情。 提前致谢。 编辑: 以下是从外部pingnetworking后的一些输出,以防有人感兴趣: (IP被省略了,因为在那次攻击之后我是偏执狂) PING xxxx (xxxx): 56 data bytes 64 bytes from xxxx: icmp_seq=0 ttl=59 time=47.797 ms 64 bytes from xxxx: icmp_seq=1 ttl=59 time=47.103 ms 64 bytes from xxxx: icmp_seq=2 […]
如果必须通过域而不是IP来启用站点,它通常会影响防火墙的性能吗? 上下文是我们有一个在Google Appengine上运行的应用程序(没有固定IP),潜在客户的ITfunction提出了一个问题,即为我们的应用程序打开防火墙意味着他们必须对每个数据包执行反向DNS查询如果他们启用stream量到我们的域名。 我无法想象,这是一个独特的情况,我徘徊,如果这是一个普遍的问题,每个域的启用或特定于他们所做的技术select。 谢谢
我们正在一个学生宿舍内运行一个IPv4networking(在以太网和Wifi上),约有200个用户,并且希望长期部署IPv6, 无状态自动configuration在单个/ 64前缀上 。 遗憾的是,提供上行链路的大学要求我们能够识别地址后面的用户。 他们目前正在运行一个防火墙,防止IPv4地址被误用(病毒等),这是一个可行的解决scheme,因为每个用户目前只有2个固定的v4地址。 我们已经有一个属于一个用户(configurationdhcpd)的所有MAC地址的列表,并希望有select地允许/阻止用户自己(networking费用支付,不正当行为等)。 在我第一次testingRaspberry Pi运行radvd时,我发现大多数连接的设备都启用了隐私扩展function,使得上行链路提供商无法阻止运行不当的IPv6地址的时间长于其有效时间。 到目前为止,我只看到几个select: 跟踪路由器上的邻居发现,并实时创build防火墙白名单条目。 以某种方式向上行链路提供商提供API以阻止给定IP的用户。 (高努力) 不允许使用隐私扩展程序,并阻止所有IP,而不使用..ff:fe .. 为上行链路提供商添加一个自定义的IPv6扩展头,包括一个唯一的用户ID,这样他们就可以通过匹配一个IPv6头域来阻塞整个用户。 有没有使用现有的软件相当简单的解决scheme? 我们是否应该改变计划,改用DHCPv6(据说工作不如SLAAC)? 我已经想过要求一个更大的子网(/ 48),并给每个用户一个单独的/ 64,但是这需要一个有200个前缀的大型radvd.conf(+大概200个VLAN)和单播RA每小时改变几次据我所见。
我有两台服务器,我们称之为'node1'和'node2'安装在数据中心。 他们运行我们的应用软件。 它们是可以互换的,每个都有一个所有客户数据库的完整副本。 我们希望客户能够login到一个IP地址,并且如果连接已经连接到node1,否则连接到node2。 (对于我们来说,自动故障转移比负载均衡更受关注,尽pipe将来我们也可以configuration负载均衡)。 我们的要求非常简单:我们可以提供一个用作健康检查的URL,如果在'node1'上有回应,那么所有的stream量应该优先于'node2'。 数据中心希望我们支付3000美元的专用负载平衡器设备。 但是他们也说,他们的防火墙有能力做这个自动故障转移_in_theory_,虽然他们从来没有一个客户使用该function。 我不明白为什么这样一个简单的任务需要专用硬件甚至虚拟服务器。 为什么没有一家小公司喜欢在防火墙中进行负载均衡? 成本更低,跳跃更less,复杂性更低…? 什么是我不了解LTM(本地stream量pipe理)?
我有一个Debian Linux防火墙/网关连接我的WAN和局域网使用iptables。 我把eth1作为dynamic地址为190.200.229.102的wan,通过DYNDNS连接到somehost.com , eht0作为地址为192.168.128.2的lan。 一切都按预期工作。 除了ACCEPT指定的端口之外的所有端口都被拒绝,并且端口转发按照预期将stream量redirect到内部机器。 问题是,当我尝试从内部networking连接到somehost.com ,我不会像我所期望的那样被redirect到内部机器。 我的端口redirect防火墙规则连接到wan接口( eth1 )。 我假设当我尝试连接到somehost.com我来自LAN连接,这就是为什么redirect不起作用。 我已经尝试了REDIRECT,DNAT,INPUT和其他标签没有成功。 有关如何实现这一点的任何提示?
我正在通过无线Verizon FiOS路由器上的几台笔记本电脑扩展我的家庭networking,其中包括: Linksys 24端口交换机 思科Pix 515 Cisco 3640路由器 一个新的开发桌面和三个新的机器作为数据库服务器,Web服务器和备份系统。 我的公司正在移动办公室,我们已经退役了一些旧的硬件,我可以拿起劳工的代价把它从办公室搬回家。 使用专用Web和数据库服务器的好处对我来说非常有价值。 我对networking拓扑结构知之甚less,除了将所有东西插入交换机,然后插入廉价的Verizon路由器。 (Verizon提供了一个同轴电缆连接,路由器必须将其转换成以太网,然后才能将其与任何此设备一起使用)。 问题: 这个设备推荐的拓扑结构是什么? Verizon路由器 – >像素 – > 3600 – >开关? 3600甚至是必要的吗? Verizon路由器有一个WAN端口和4个客户端端口,全部10/100。 假设我不使用Pix,是否有从verizon路由器到交换机的多个连接进行连接的性能优势? 我应该使用Pix吗? 软件防火墙是一个痛苦,如果我有这样的设备躺在附近,似乎很愚蠢。 还有什么我应该知道的? 我在这浪费时间吗? 我还获得了一个7英尺的架子,架子,配线架,UPS,配线架等,这些都将进入一个方便的空调衣柜。 所有的build设性意见表示赞赏
出于好奇,将防火墙作为VM guest(无论VM主机 – ESX,Xen,Hyper-V等等),将其他VM guest虚拟机的所有stream量redirect到防火墙是否是毫无意义/浪费/愚蠢的VM guest? 我不确定其他人/组织是否实践这一点。 我知道可能会受到限制(CPU,RAM,磁盘/networkingI / O)的资源可能会通过任何stream量,但有没有其他情况下或将防火墙作为访客虚拟机,并让其他虚拟机路由到它的情况比主机虚拟机的外部盒子更好或者更好 ? 在性能方面,我意识到作为访客虚拟机资源的使用会影响到其他客人,但除此之外,我错过了什么? 安全,最佳实践,常识? 任何想法,评论或批评都是受欢迎的。