我在托pipe中心设置了一堆Ubuntu服务器。 他们提供共享的防火墙服务,但build议我自己在服务器上安装防火墙,即在每台机器上configurationiptables(他们build议使用APF ,但我倾向于使用UFW )。 我很确定专用的防火墙会更安全,所以我要求他们使用共享的防火墙。 我是否有理由认为专业人员pipe理的专用防火墙比我能用软件pipe理的更好? 除了外部服务器之外,我应该在服务器上设置一个防火墙,还是这是一个矫枉过正的问题? 如果共享防火墙是硬件设备还是只是一个Linux的盒子,这有什么关系吗? 编辑 :澄清。 对不起,我花了这么长时间。
什么是一个好的小企业(一个位置的用户less于50个)防火墙和VPN设备? 无线将是一个很好的补充,我想在1000美元范围内的东西。 这将是0-2 IT员工的企业。 质量支持和设备数量的可用性。 SSL VPN会很好,如果是基于客户端的,那么在64位Windows上运行的VPN客户端就非常重要。
作为一个组织,我们刚刚要求我们的第一个IPv6分配。 目前,我们是一个完全的IPv4组织,在我们的边缘路由器上configuration了一个全球IPv4地址分配,并通过边缘防火墙(主要)用于NAT到内部托pipe的带有私有IPv4地址的Web服务器。 我明白,使我们的面向外部的服务可用于IPv6互联网的一种方式是在整个内部networking上实现IPv6双栈,并将全球可访问的IPv6地址(除了其现有的IPv4地址之外)直接分配给这些服务器。 然而,即使在阅读了关于IPv6过渡技术以及IPv6在IPv6世界中的地址转换技术的文章和文章之后,我仍然不能完全确定我们是否可以复制我们现有的设置,但是使用IPv6地址,也就是说,在我们的边缘路由器上configuration一个全球可路由的IPv6接口,在我们的防火墙上有一个关联的IPv6“外部”接口,并且简单地将1:1 NAT全局地面对IPv6地址到IPv4地址? 这显然是基于这样一个原则,即我们与ISP拥有IPv6 BGP对等协议,并且RFC1918满足了我们的内部寻址需求,但是我们希望使所选的外部服务IPv6可访问。
我有一个客户端(Server 2008 R2)不能连接到我们的生产环境PPTP VPN服务器(Server 2003,运行RRAS)。 服务器位于TCP1723打开的防火墙以及GRE之后。 我们办公室的其他客户可以很好地连接。 我们的办公室位于瞻博networkingSSG5-串行防火墙的后面,但是允许所有传出通信,并且多个其他客户端能够连接到VPN服务器而没有任何问题。 我还在办公室以外的另一个networking上设置了完全不同的VPN服务器。 运行的客户端连接就好 – Server 2008 R2机器不。 所以特别是这台机器肯定是个问题。 我重新启动了它。 我已经禁用防火墙,也没有骰子。 我已经在服务器/客户端上运行PPTPSRV和PPTPCLNT,并且能够完美通信 – 表明使用TCP1723和GRE都没有问题。 服务器2008 R2机器也作为VPN服务器本身运行(传入连接),这是完美的。 无论是否有活动的传入连接,我们都有问题。 我不确定我的下一个debugging步骤是什么; 有什么build议么? 编辑:服务器上的事件日志从RasMan有以下警告: A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been established, but the VPN connection cannot be completed. The most common cause for this is that […]
我有CentOS 7,Plesk 12,8GB内存VPS。 我在IPtables中有大约1000条规则来阻止滥用用户。 但重新加载IPtables时,需要15秒钟才能重新加载所有1000条规则。 首先,如果有1000条规则,在15秒内重新加载IPtables是否是预期的结果? 这对我来说有点慢。 公平的说,我的服务器空闲,其他任何事情都运行得非常快。 这是我的服务器configuration错误还是正常? 所以我想安装IPset,但它不适用于我的VPS,因为它使用OpenVZ。 IPset不可用于OpenVZ。 除IPset之外,还有什么其他替代方法可以减lessIPtables规则?
这是我第一次设置Hyper-V或Windows 2008,所以请耐心等待。 我正在设置一台运行Windows Server 2008 R2的相当不错的服务器,作为一个远程(共置)Hyper-V主机。 它将托pipeLinux和Windows虚拟机,最初供开发人员使用,但最终还要做一些虚拟主机和其他任务。 目前我有两个虚拟机,一个Windows和一个Ubuntu Linux,运行的非常好,我打算克隆它们以备将来使用。 现在,我正在考虑configuration开发人员和pipe理员访问服务器的最佳方法,一旦将其移到托pipe工具中,我正在寻求相关build议。 我的想法是build立一个VPN访问服务器上的虚拟机的某些function,但我有几个不同的select去做这个: 将服务器连接到可以创buildVPN并将外部IP映射到虚拟机的现有硬件防火墙(旧式Netscreen 5-GT),虚拟机将通过虚拟接口显示自己的IP。 这个select的一个问题是,我是唯一一个在Netscreen上训练过的人,而且它的界面有点巴洛克式,所以其他人可能难以维护它。 好处是我已经知道如何去做,而且我知道它会做我所需要的。 将服务器直接连接到networking,并configurationWindows 2008防火墙以限制对虚拟机的访问并设置VPN。 我之前没有这样做过,所以它会有一个学习的曲线,但是我愿意学习这个选项是否比Netscreen长期更好。 另一个好处是我不需要在Netscreen界面上训练任何人。 尽pipe如此,我还不确定Windows软件防火墙的function,只要创buildVPN,为外部访问Hyper-V服务器的IP上的某些端口设置规则等,是否足以满足我的需求和简单足够build立/维护? 还要别的吗? 我的方法有什么限制? 什么是最好的实践/什么对你有好处? 请记住,我需要设置开发者访问权限以及消费者对某些服务的访问权限。 VPN是否是正确的select? 编辑:我可能会使用选项2,与RRAS设置创build一个VPN,但我仍然对您的input感兴趣。
* TLDR ; 如果你有连接问题,不仅要确保你已经将所需的规则添加到你的防火墙,还要确保( $ iptables -L -v )规则的顺序是正确的! * 现在已经过了几天了,我不知道为什么我的IMAP(993端口)拒绝工作(Dovecot,版本2.2.22)。 连接不成功,出于某种原因,我没有看到。 使用openssl解决连接问题:在端口993上连接不起作用: $ openssl s_client -connect my-domain.com:993 收益: connect: Connection timed out connect:errno=110 但是使用的端口(993)似乎是开放的: $ ufw status 收益: Status: active To Action From — —— —- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 25/tcp ALLOW Anywhere 587/tcp ALLOW Anywhere 993/tcp ALLOW Anywhere […]
我试图设置一个简单的端口转发防火墙,我不能使基本的非防火墙configuration工作。 我已经设置了iptables脚本如下 #!/bin/sh # interfaces LAN="eth1" WAN="eth0" # enable forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # delete all existing rules to start from scratch iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # accept everything iptables -A INPUT -j ACCEPT iptables -A FORWARD -j ACCEPT iptables -A OUTPUT -j ACCEPT # port […]
连接到:CentOS v ?? 用MySql 4。 在纳什维尔(例如public ip = 11.11.11.11) 堆栈:电缆调制解调器作为网关>转发路由器> CentOs Box 连接:达拉斯的Windows 2003 R2(例如public ip = 22.22.22.22) 我想通过我的公共IP从远程服务器访问我的MySql服务器。 当我尝试连接时,在几秒钟后出现“无法打开与主机的连接”的错误。 它没有机会要求我login凭据。 以下是我为打开远程连接打开此服务器所做的一些操作: 打开我的路由器上的端口3306,并将其转发到MySql框的本地IP地址。 遵循这个博客条目的指示。 在MySql中创build一个用户,访问我所需的数据库([email protected])。 **当然,它甚至没有这么远…只是想我会包括这个。 当我试图从达拉斯的箱子telnet到3306港口的纳什维尔的箱子时,我得到这个: C:\Documents and Settings\Administrator>telnet 11.11.11.11 3306 Connecting To 11.11.11.11…Could not open connection to the host, on port 3306: Connect failed 不过,我可以从22.22.22.22 11.11.11.11(抱歉格式不好…我试过): C:\ Documents and Settings \ Administrator> ping […]
我想知道是否有人可以谈论基于硬件的防火墙的优点,直接在Web服务器上使用iptables。 我正在评估为一个生产箱设置专用防火墙的成本效益。