我看到以下IPv6地址被我们的防火墙拒绝。 似乎没有什么太恶意的东西,但似乎有一个奇怪的模式给他们: 2aab:19a7:3971:94f4 :: 80fe(62,050个请求) bb2d:f96b:f097:bccd :: 80fe(31,392个请求) aafb:2bc8:ccad:1451 :: 80fe(26,400个请求) be2b:2477:43c2:4447 :: 80fe(21,754次请求) 这只是过去7天。 还有更多,但模式基本相同 – 它们都以::80fe 。 这让我想知道是不是某种蹩脚的企图把我fe80::认为这是一个fe80::地址(说实话,我差点摔倒了)。 有没有其他人与IPv6连接看到这样的事情? 我假设它是某种端口扫描,但IPv6是为了使随机端口扫描成为过去的事情(考虑到IPv6的庞大规模)
有防火墙ACLpipe理工具,可以为我的所有networking生成一组ACL,包括交换机,检查站,思科路由器,Windows,Linux等? 我认为这样的工具是有意义的,因为这样networkingACL可以从单点控制,而且防火墙规则在每个设备上基本相同,有时也可以是硬件支持,也可以是正常的硬件过滤或状态包检测。 这样的工具需要定义所有设备,接口(如vlans),服务和协议,然后通过拒绝所有规则开始,我可以只添加需要的东西,生成文件并上传它们。 例如,我不得不发布一个新的服务,所以我需要更新核心路由器,交换机和服务器上的防火墙,并通过检查点进行访问。 当我点击这个规则时,它会显示所有有权访问的人。我不认为这样的工具会是一个问题,因为统一生成防火墙ACL策略非常容易。
如何查看禁用本地防火墙但通过组策略build立规则的Windows 7计算机的实际有效防火墙规则? 特别是这些计算机的主要用户是拥有本地pipe理权限的技术上合格的开发人员。 聪明的人似乎有可能更新自己的registry,拒绝在适用的密钥上访问SYSTEM帐户,从而阻挠组策略。 GUI( WF.msc )和命令行( netsh advfirewall firewall show rule name=all )都显示所有本地定义的规则 – 其中大部分实际上没有做任何事情,因为本地设置被组策略取代。
我们有一个由几个不同组件组成的分布式应用程序 例如,我们有Python应用程序服务器,PostgreSQL数据库服务器,Redis服务器,Memcached等。其中一些服务在不同的服务器上。 所有这些服务器都运行CentOS Linux,而且我们目前只能在需要连接的基础上启用服务器之间的访问(即不是打开端口6379到每个Redis目标主机中的所有主机,而是按照主机打开) 。 我的问题是:pipe理多个服务器的iptables环境的好习惯是什么? 有没有其他的工具,我应该使用,还是有一个更好的pipe理scheme之间的安全几台服务器? 如果有比普通防火墙更好的东西,请告诉我。 任何build议将不胜感激。 非常感谢你花时间陪伴!
我当天在公司的防火墙后面,晚上在一个开放的互联网连接上。 我configuration了cntlm转发到我的公司代理,但是当我从一个打开的连接连接,我必须重新configuration我的代理设置。 有没有办法使cntlm备用到没有代理时使用没有可用? # List of parent proxies to use. More proxies can be defined # one per line in format <proxy_ip>:<proxy_port> # Proxy 10.73.55.44:80 # <~~ something here to fallback to a direct connection when no proxy is available
我有一个“服务器A”有多个IP连接到它,如下所示: eth0:0 1.1.1.1 eth0:1 1.1.1.2 eth0:2 1.1.1.3 我有另一个“服务器B”,也有多个IP连接到它,如下所示: eth0:0 2.2.2.1 eth0:1 2.2.2.2 eth0:2 2.2.2.3 现在,我想在“服务器A”上设置iptables,将“eth0:2”上的所有inputstream量转发/ NAT到“服务器B”上的IP 2.2.2.3。 我已经validation了“服务器A”能够在IP 2.2.2.3上“通话”到“服务器B”。 Ping和Telnet打开端口工作得很好,我打开了前进标志(net.ipv4.ip_forward = 1) 我已经尝试了多种不同的方式,DNAT,SNAT,MASQUERADE等,但是我什么都不能工作。 如果我尝试在同一服务器上的IP之间转发stream量,此线路正常工作: iptables -t nat -A PREROUTING -d 1.1.1.3 -j DNAT –to-destination 1.1.1.2 但是如果我把“2.2.2.3”中的“1.1.1.2”换掉,那就不起作用了。 我假设我需要第二个iptable规则来解决它。 我没有任何运气(不是在同一时间)尝试了以下POSTROUTING规则: iptables -t nat -A POSTROUTING -d 2.2.2.3 -j MASQUERADE iptables -t nat -A POSTROUTING -d 2.2.2.3 -j […]
在proxmox上有一个集群。 在一个集群中有vmconfiguration的路由器(pfsense)。 在我们的网上有Windows和Linux的机器。 有问题:Windows机器可以访问互联网,但是Linux机器没有。 所有Linux机器的行为都是一样的,它发送一个请求并等待响应,但响应不会回来。 我用wget,ssh和nslookup检查了外部服务器(8.8.8.8例子)和ping。 除了ping,一切都不起作用。 ICMP数据包正确地去,因此我冒昧地提出与TCP的问题。 但所有的Windows机器,一切正常的作品。 我并没有为linux或windows创build特殊的过滤规则。 我打破了头,但还没有能够解决这个问题。 基线: Our External IP: XX.XXX.XX.XX External Server IP: Y.YYY.Y.YYY (which was used to test) 所以,我花了两个testing: testing1.从linux机器上的wget: 从路由器捕获数据包: No. Time Source Destination Protocol Length Info 1 0.000000 XX.XXX.XX.XX Y.YYY.Y.YYY HTTP 174 GET / HTTP/1.1 2 21.798340 XX.XXX.XX.XX Y.YYY.Y.YYY TCP 74 49656 > http [SYN] Seq=0 […]
我在Debian服务器上工作,我试图找出我的IPTable规则存储在哪里。 从互联网上看,我发现通常有两个地方是通常保存。 http://major.io/2009/11/16/automatically-loading-iptables-on-debianubuntu/build议/etc/network/if-up.d/iptables但该文件不存在于该目录中。 http://beginlinux.wordpress.com/2009/05/26/saving-changes-for-iptables/ /etc/sysconfig/iptables但是/etc/sysconfig目录不存在。 据我所知,以前的pipe理员为了安全起见,将公用文件保存到不同的位置并不罕见,而且我想知道是否有一种方法可以让我find保存规则的位置,当iptables-save命令被使用。 该页面还指出,使用位于/etc/init.d/iptables的脚本来恢复文件,但这也不存在。 有关如何进一步了解规则保存位置的任何帮助或build议? 我知道我可以尝试使用grep来find一个可能位于规则中的罕见的string,但我觉得必须有一个更简单,更直接的方法。 更新: 感谢您的帮助。 我尝试使用grep来search/ etc目录,但花了很长时间,我不想冒内存的风险,所以我就停下了。 我想我会尝试使用strace作为一个不太密集的方法。 从通过strace我看到了线(我把IP地址改为1.1.1.1): `open("/etc/protocols", O_RDONLY|O_CLOEXEC) = 5 fstat64(5, {st_mode=S_IFREG|0644, st_size=2859, …}) = 0 mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7747000 read(5, "# Internet (IP) protocols\n#\n# Up"…, 4096) = 2859 close(5) = 0 munmap(0xb7747000, 4096) = 0 write(1, "-A net2fw -s 1.1.1.1/32 -pt"…, […]
去年秋天,当Jeff和StackOverflow团队在Hanselminutes进行了访谈时,Scott对于保护StackOverflow服务器的一些决定表示批评。 我的问题是,build议保护网站的方法是什么? 假设我正在单独的物理机器上开发一个带有SQL Server数据库的ASP.Net应用程序,我需要采取哪些步骤来保护我的环境免受攻击?
我使用被动模式连接到cisco防火墙后面的ftp服务器时遇到了问题。 但是,当我closures“扩展被动”(ftp控制台客户端应用程序中的epsv)时,ftp可以工作在活动模式和“扩展被动”模式下,但它不再起作用 – 所有的命令都会导致超时。 然而,我们需要使用非扩展被动模式。 有任何想法吗? 谢谢,哈拉德 更新/解决scheme 事实certificate,这不完全是ASA的错,还是它? 我不得不在proftpdconfiguration中伪装。 我将proftpd-config中的伪装地址设置为ftp-server域的IP地址,导致stream量通过asa时出现意想不到的事情。 现在 – 没有地址伪装 – 一切工作得很好。