当我运行下面的脚本 http = require('http'); http.createServer(function (req, res) { res.writeHead(200, {'Content-Type': 'text/plain'}); res.end('Hello World\n'); }).listen(80, "127.0.0.1"); console.log('Server running at http://127.0.0.1:80/'); 通过做: 节点hello.js& curl本地主机 我得到: Hello World 但是当我试图从我的电脑(这是不同于这台服务器的电脑)访问这个页面,它给了我一个“这个网页无法find”的错误。 这对防火墙不是问题,因为我可以在端口80上运行nginx。
我有一个有两个网卡的服务器,我只想在eth1上打开那些正在使用的端口。 题 我如何让tcpdump告诉我在eth1上访问的端口号?
在例如Windows Server 2008 R2中包含的最新版本的Windows防火墙中,可以阻止传入连接,并仅为一组用户(规则属性中的用户选项卡)应用此规则。 为什么这不可能出站连接规则,以及如何实现? 我需要一个软件解决scheme,阻止所有的互联网接入的特定用户和其他人,我希望通过Windows防火墙实现这一点。
我正在build立一个需要从互联网上访问的机器的networking。 我打算把这些放在非军事区。 DMZ中的一些机器需要访问专用networking上的机器,专用networking上的机器需要访问DMZ中的机器。 我已经读过,最安全的实现是有两个防火墙的。 我打算使用的两个防火墙都是CISCO ASA 5500。 虽然我对如何使用这些特定设备实现这一点感兴趣,但我也对理论方面感兴趣,因为我正在为我们公司的客户创build文档,以便如何设置这些文档。 具体到我正在使用的设备的说明帮助,但我也想知道如何解决这个一般。 我有三个特定的机器: DMZ_Web DMZ_Service INT_SRV 正如它们的名字所描述的,DMZ_Web和DMZ_Service在DMZ中,而INT_SRV是内部服务器。 我也有两个防火墙: FW1 FW2 简而言之: Ext客户端需要访问端口443上的DMZ_Web Ext客户端需要访问端口3030上的DMZ_Service DMZ_Web需要在端口2020上访问INT_SRV 在客户端需要访问端口3030上的DMZ_Service 联网: FW1连接到互联网,DMZ和内部networking FW2连接到DMZnetworking(外部接口),内部networking(内部接口) 内部networking是192.168.1.0 255.255.0.0 DMZnetworking是192.169.1.0 255.255.0.0 DMZ机器有两个NIC,一个连接到FW1,一个连接到FW2。 连接到FW2的NIC具有192.169.1.0范围内的静态IP。 连接到FW1的NIC具有可从互联网公开访问的静态IP。 下面链接是一个图,我希望能回答很多有关拓扑的问题。 我已经收集到,我可能需要设置一些静态NAT规则来从DMZ机器到内部networking的stream量,反之亦然,但我不知道。 有一点我想指出的是内部networking连接到FW1和FW2。 它连接到FW1允许访问互联网。 它连接到FW2,以便它可以访问DMZ中的设备。 我不确定这是否正确。 如果不正确,什么是正确的实施? 如果不正确,它会起作用吗? 我搜遍了所有,但无法find一个地方,实施我的整个解决scheme。 大多数时候,这是一个地方。 我一直没有能够得到所有的作品一起工作:(
我们有一个相当复杂的iptables / ipchainsconfiguration,由APF生成。 到端口80的stream量应该被阻止,但是我们的Apache日志显示有人能够探测网页: [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/w00tw00t.at.blackhats.romanian.anti-sec:) [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/phpMyAdmin [Sun Feb 03 13:08:45 2013] [error] [client 50.57.125.169] File does not exist: /var/www/phpmyadmin 有没有办法在iptables中模拟源IP来debugging为什么50.57.125.169数据包没有被阻塞? -C | –check -C | –check选项似乎只报告是否存在明确匹配IP的规则,但是我想要做的是( 伪代码 ) myserver% iptables –test […]
我正在设置一个服务器机架,它将有2台Web服务器和10台提供后端应用程序支持(从AWS环境迁移)的内部服务器。 我们将在这些框上运行虚拟机实例。 在我使用的大多数企业networkingconfiguration中,他们双networking服务器,所以一个NIC位于DMZnetworking上,另一个位于内部(非互联网可路由)networking上。 安全方面的好处是否足以保证DMZ中的两台networking和双宿主机能够使用较小的12台服务器? 该应用程序是一个关键的networking应用程序。 最后要考虑的一个好处是,单独的networking降低了内部networking饱和带宽的风险,DMZnetworking可以不受影响(1Gbit接口,我们可以将2Gbit进入支持1.5Gb全状态吞吐量的防火墙)。 所以最终这就是我们所说的我认为的:
请帮助:我想连接到我的ssh服务器在家里 但是,我支持企业(CORP)防火墙, 这几乎阻塞了所有的端口(443,22,23等)。 但似乎80没有被封锁, 因为我login后可以浏览网页 (即IE设置为CORP的代理服务器, 启动IE – >显示CORP intranet portal – >inputgoogle.com – > 对话框popup为userid + pwd – > login成功,冲浪没有限制) 我的SSH服务器在443听。 我的问题是: 有没有办法连接? CORP防火墙后面的电脑 到ssh服务器 通过80端口,与SSH服务器 仍然在港口443听? 更改ssh服务器以侦听端口80 不是一个select,因为 我家的ISP块80。 我可以使用在80听的公共代理吗? 经过一些关于谷歌的研究 我发现使用Cockscrew软件有一种叫做“通过HTTP代理连接到SSH”的东西。 它有用吗? 还是有其他方法来解决这个问题?
可能重复: 不明白[0:0] iptable语法 我的服务器是红帽企业Linux服务器版本5。 我不是Linux iptables防火墙的专家。 我在iptables中有以下条目: [root@myserver ~]# more /etc/sysconfig/iptables # Generated by iptables-save v1.3.5 on Mon Sep 14 20:04:30 2009 *nat :PREROUTING ACCEPT [10934:1556118] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [111392:6686084] -A PREROUTING -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 5050 -A POSTROUTING -j MASQUERADE -A OUTPUT -d 192.168.0.200 -p tcp -m […]
调查到远程办公室的慢速VPN连接(思科ASA IPSec),我注意到我们的防火墙有很多访问规则匹配: Denied ICMP type=3, code=4 from *ip_address* on interface outside 我注意到远程站点的traceroute包含相同的IP地址,在我们的ISP和远程站点使用的ISP之间。 之前我也看到一条消息 No matching connection for ICMP error mesage: icmp src outside *ip_address* dst identity:*firewall_outside_ip_address* (type 3, code 4) on outside interface. Original IP payload: protocol 50 src *firewall_outside_ip_address* dst *remote_site_ip_address* 思科build议,这可能是一个攻击的症状 ,但我不这么认为。 协议50是ESP,它是IPSec的一部分。 远程站点通过IPSec VPN使用远端的Cisco ASA 5505和总部的ASA 5510连接到HQ。 ICMPtypes= 3,代码= 4表示需要碎片并且不设置碎片。 设置不分段对于IPSec ESP数据包来说是正常的。 […]
我们在我们的networking中使用思科ASA的防火墙和NATfunction(200台计算机)。 是否有可能configurationCisco ASA检测我们的networking内的stream量嗅探(例如wireshark)和networking检查(例如“nmap -sP 192.168.0。*”)? 在linux路由器上有一个叫做“antisniff”的工具,ASA有没有类似的东西?