首先解释一下我的networking拓扑结构。 我有一个内部域和边缘networking域。 两个域之间没有信任(IT不允许在内部和边缘networking域之间build立单向信任) 通过路由器时,它将NATstream量到边缘networking。 所以所有的stream量dmzHost.edgeNetwork.local看到,并不是源于它自己的子网出现将有一个源IP为192.168.10.10 。 有趣的是,当连接到10.0.0.0/8子网中的计算机时,来自192.168.10.0/24子网的任何stream量都不会被NAT转换(我向IT发送了一封电子邮件,问为什么这样,因为我不明白NAT到边缘networking,但从边缘networking开放访问。我可以看到背后的原因10.x -> 192.x = NAT和192.x -> 10.x = Dropped connection但事实上,他们允许通过连接迷惑我) 我想要做的是禁用任何授权的计算机的防火墙,所以它可以做远程pipe理。 我试图做的方法是 在dmzHost上,使用以下设置创build一个连接安全规则条目: Endpoint 1设置为192.168.10.40到192.168.10.49 (这将GPO推送到几台计算机) Endpoint 2被设置为Any IP address 协议和端口设置为Any 身份validation要求设置为Request inbound and outbound 身份validation方法设置为Advanced ,第一个身份validation方法设置为Preshared Key 在lanPC上,按照相同的设置执行: 将Endpoint 1设置为Any IP address 将Endpoint 2设置为192.168.10.40到192.168.10.49 检查安全关联下的Main Mode和Quick Mode我可以看到build立的连接。 Main Mode: Local Address Remote Address 1st Authentication Method 2nd Authentication […]
我的防火墙目前不活动。 systemctl status firewalld firewalld.service Loaded: masked (/dev/null) Active: inactive (dead) 我使用以下命令来启用防火墙 # systemctl unmask firewalld 但是我得到这个错误: # systemctl unmask firewalld Failed to issue method call: Access denied # sudo systemctl restart firewalld Failed to issue method call: Unit firewalld.service failed to load: No such file or directory. # sudo systemctl enable firewalld Failed to […]
我已经添加了许多丰富的规则,像这样的东西: firewall-cmd –permanent –zone="thezone" –add-rich-rule='rule family=ipv4 source address=1.2.3.4 reject' 现在我想清除/删除我的“thezone”区域中所有那些丰富的规则。 另外Ÿ尝试删除线与行: firewall-cmd –permanent –zone="thezone" –remove-rich-rule='rule family=ipv4 source address=1.2.3.4 reject' 要么 firewall-cmd –permanent –zone="thezone" –remove-rich-rule='rule family=ipv4 source address=1.2.3.4 accept' 要么 firewall-cmd –permanent –zone="thezone" –add-rich-rule='rule family=ipv4 source address=1.2.3.4 accept' 用firewall-cmd –reload,仍然没有成功。 任何人都可以告诉我如何清除所有或告诉我做错了一个一个的方法吗?
将基于策略的路由应用于pfSense内部stream量(源自防火墙本身)的当前正确方法是什么? 创build一个浮动规则与选定的WAN接口,方向OUT和定义的网关不再工作。 我启用了此规则的日志logging,并且显示,即使规则上的网关设置为WAN2,stream量也始终来自WAN1的地址。 WAN1是pfSense的默认网关。
最近(2010年7月13日)我有一个防火墙规则,开始阻止之前被允许的stream量。 我有一个FTP服务器运行在一个非标准的端口提供文件到局域网。 我已经configuration了服务器应用程序的exception以及XP防火墙中的连接端口。 原configuration: Name: My FTP Server Port Number: 1234 Scope: My network (subnet) only 截图http://www.freeimagehosting.net/uploads/49c1717c8e.jpg 这个configuration已经工作了一年多了。 奇怪的是,它已经在VLAN1(10.1.1.x,与服务器相同的子网)上的客户端以及VLAN2(10.1.2.x)上的客户端工作。 然后突然两天前,它只停留在VLAN2上的客户端工作。 对故障连接进行故障排除后,我确定问题在于防火墙,并重新configurationexception,如下所示: 更新configuration: Name: My FTP Server Port Number: 1234 Scope: Custom list: 10.1.0.0/255.255.0.0 替代文字http://www.freeimagehosting.net/uploads/a301aa85b9.jpg 其他一些背景细节:Windows Update设置为自动安装更新,并在7月12日晚收到一个更新。 WindowsUpdate.log摘录: ************* ** START ** Agent: Installing updates [CallerId = AutomaticUpdates] ********* * Updates to install = 1 * […]
我想让我的新Web服务器上的防火墙保持安全。 在我做了iptables的研究之后,我遇到了UFW(Uncomplicated FireWall)。 这看起来像是一个更好的方式,让我在Ubuntu Server 10 LTS上设置防火墙,看到它是安装的一部分,这似乎是有道理的。 我的服务器上会有Nginx,FastCGI和MySQL。 我也想要允许SSH访问(显然)。 所以我很想知道我应该如何设置UFW,还有什么我需要考虑的? 经过研究,我发现了一篇文章 ,这样解释: # turn on ufw ufw enable # log all activity (you'll be glad you have this later) ufw logging on # allow port 80 for tcp (web stuff) ufw allow 80/tcp # allow our ssh port ufw allow 5555 # deny everything else […]
我有两个LAN子网,我需要链接在一起,他们是192.168.4.0/24和192.168.5.0/24 有一个在192.168.4.1上运行的m0n0wall。 这是局域网连接到我们的networking交换机,它的广域网端口出去我们的ADSL调制解调器。 WAN通过PPPoE连接。 192.168.4.0子网包含我们所有的办公室工作站。 192.168.5.0子网包含开发服务器和testing机器,它们需要获得互联网访问权限,并由192.168.4.0子网上的计算机“pipe理”,但也需要在自己的子网中。 我在192.168.5.1上configuration了Draytek 2820N,WAN2端口configuration为192.168.4.25,默认网关为192.168.4.1。 5.0子网上的机器可以通过m0n0wall连接到互联网就好了。 我在m0n0wall LAN接口(networking192.168.5.0/24和网关192.168.4.25)上configuration了静态路由。 5.0子网上的机器可以在4.0networking上ping计算机,但反过来不起作用。 我在m0n0wall上configuration了一个新的防火墙规则,允许LAN接口上允许源IP为192.168.4.25的任何stream量。 DrayTek防火墙目前configuration为通过所有stream量。 当我尝试从4.0的子网ping一台机器,我在我的m0n0wall日志中看到这个: 方块14:45:27.888157 LAN 192.168.4.25 192.168.4.37,typesechoreply / 0 ICMP 所以这个回复是从5.0子网发送的,但是由于防火墙阻止了,所以没有被允许到达我的工作站。 为什么防火墙阻止它? 我希望我的networking解释清楚,请问是否需要进一步澄清。 谢谢。
我有一个PFsense路由器,它将单个WAN连接划分为三个接口:LAN,OPT1和OPT2。 这使我可以隔离我的networking,使OPT1和OPT2networking上的计算机无法访问LANnetworking上的服务器。 这工作正常。 局域网上有一台服务器,我想让OPT2networking上的计算机通过只读NFS连接。 我已经添加了防火墙规则,允许从OPT2networking的stream量到局域网上的服务器的IP,但我仍然无法连接。 如何在PFsense的两个接口之间路由? 编辑:这是我的规则的屏幕截图。 我试图让FOREST界面( 172.16.1.0/24 )上的计算机通过SSH访问任务( 192.168.1.107 )。 我使用SSH,因为我知道它的端口22,我可以ssh -v ,看看它是否连接。 它不是:
我在一些Fedora 16系统上实现了ipset 。 由于ipset规则在内存中运行,并在重新启动时丢失,因此计划使用crontab @reboot脚本来重新加载规则并向pipe理员发送电子邮件,以确认规则集已被加载。 在这种方法或其他推荐的方式重新启动后重新加载ipset规则是否有任何问题?
我有一个TZ 190无线增强与SonicOS增强4.2.1.0-20e。 昨天,人们可以访问没有任何问题的银行网站使用HTTPS。 今天,只有访问这个网站是不可能的,其他的都没有问题。 当检查日志消息过滤到我的IP只,这是什么出现,我怀疑是造成这个问题的原因,因为所有其他网站正在工作: Priority: Notice Category: Network Access Message: TCP handshake violation detected; TCP connection dropped Source: XYZ3, 51997, LAN (admin) Destination: 200.14.232.18, 443, WAN Notes: Handshake Timeout XYZ3是我的本地IP。 我尝试在“防火墙”选项下更改“TCP设置”,并激活了这个选项,但没有成功: Enforce strict TCP compliance with RFC 793 and RFC 1122 和 Enable TCP checksum enforcement 我也试图findMTU,起初我得到了: Packet needs to be fragmented but DF […]