我想在运行FreeBSD 9的主机在24小时内发出17500个请求(build立连接)的阈值之后,阻止使用PF进行Googlesearch。 读完pf-faq后,我想到了这个规则: pass out on $net proto tcp from any to 'www.google.com' port www flags S/SA keep state (max-src-conn 200, max-src-conn-rate 17500/86400) 注意: 86400是在几秒钟内的24小时。 该规则应该能够工作,但是PF足够聪明,知道www.google.com可以parsing5个不同的IP地址。 所以我的pfctl -sr输出给了我这个: pass out on vte0 inet proto tcp from any to 173.194.44.81 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400) pass […]
我在FreeBSD 9.1上运行一个web和邮件服务器。 系统安装在KVM vServer上。 一切工作正常 – 直到我启用pf(4)。 我的博客变得不合适的慢。 所有其他的stream量也是如此,但这并不令人讨厌。 所以如果有人能告诉我问题可能在哪里,那将是非常好的。 提前致谢! 基准testing/ iperf返回以下结果: 禁用pf: Client connecting to 109.193.XXX.XXX, TCP port 5001 TCP window size: 32.5 KByte (default) ———————————————————— [ 3] local 46.38.XXX.XXX port 31302 connected with 109.193.XXX.XXX port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.0 sec 15.1 MBytes 12.6 Mbits/sec 启用pf: ———————————————————— Client […]
我在AWS上运行一个服务器,并且连接到一个合作伙伴的FTP站点(不太了解它们运行的是什么)。 我的服务器有一个弹性的IP。 在下面的结果xx.xx.xx.xx是内部IP(与我从IPConfig获得相同)。 yy.yy.yy.yy是外部IP(与我RDP进入的一样)。 Connected to ftp.site.com. 220———- Welcome to Pure-FTPd [privsep] ———- 220-You are user number 1 of 50 allowed. 220-Local time is now 22:47. Server port: 21. 220-IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. User (ftp.site.com:(none)): someuser 331 User someuser OK. Password […]
看来“ 这是我 ”是最受欢迎的端口敲窗口客户端… 除了…它很糟糕。 它适用于像我这样掌握控制台的用户,但不出所料,我的所有用户(3人)都讨厌控制台窗口。 我知道比强迫他们更好。 我很想有一个不错的端口敲门人窗口,将窗口,有发射器,并容易供应(即我告诉我的用户粘贴一些设置或通过双击导入某些文件)。 说实话,只要不是基于控制台就足够了。 编辑: 请停止试图说服我不要使用端口敲门。 你试图解决一个不同的问题,而不是解决问题的端口。 无论端口是否是好的解决scheme都与这个问题无关。
根据维基百科的说法 ,“S”应该是一个标准的运行级别:“单用户模式”。 但是如果我没有弄错的话,Debian上的单用户模式是运行级别1.我发现的一个Debian文章声称,“S”是一个运行级别,系统用它来运行另一个运行级别。 有趣… 实际上,到目前为止,我几乎总是忽略了这个运行级别,但是今天我用Firestarter(是的,实际上是一个最终用户防火墙)来玩,因为我很好奇,它会产生哪些防火墙规则。 但后来我注意到,它在/etc/rcS.d中创build了一个启动钩子,我想知道,如果我的防火墙脚本也应该有这个呢? 更新 现在我更感兴趣的是知道它在Debian / Ubuntu上究竟是什么,因为Shorewall包(这是一个强大的“Debianized”包)也在rcS.d中创build了它的(只有!)启动钩。
我需要在Linux和* BSD的防火墙中应用相同的规则(允许和丢弃规则的IP列表)。 你知道一些应用程序(CLI)来转换每个防火墙的特定格式的规则列表吗? 申请转换规则只是一个想法。 其他解决scheme的问题是受欢迎的。
我有一个需要充当互联网网关的Debian运行设备。 最重要的是,我想提供的防火墙,不仅阻止入站stream量,而且出站stream量。 而且我认为iptables应该能够完成这项工作。 问题:我已经正确地configuration了NAT(我想?),但是一旦我将默认策略设置为DROP并添加规则以允许来自LAN内部的HTTP通信,则HTTP将不会通过。 所以基本上我的规则似乎没有工作。 以下是我用于iptables的初始化脚本。 该设备有两个NIC,分别是eth0(WAN接口)和eth1(LAN接口)。 echo 1 > /proc/sys/net/ipv4/ip_forward # Flush tables iptables -F iptables -t nat -F # Set policies iptables -P INPUT DROP iptables -P OUTPUT DROP # NAT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o eth1 -m state –state RELATED,ESTABLISHED -j ACCEPT […]
几个不同的地方(例如http://wiki.wireshark.org/CaptureSetup/NFLOG )推荐使用Linux的“NFLOG”防火墙模块来捕获由特定UID生成的数据包,如下所示: # iptables -A OUTPUT -m owner –uid-owner 1000 -j CONNMARK –set-mark 1 # iptables -A INPUT -m connmark –mark 1 -j NFLOG –nflog-group 30 # iptables -A OUTPUT -m connmark –mark 1 -j NFLOG –nflog-group 30 # dumpcap -i nflog:30 -w uid-1000.pcap 我一直没有find任何关于这个工作原理的文档(特别是netfilter.org有很多写得很差的库API文档,据我所知,没有任何关于实际内核的语义级防火墙规则),所以我有几个问题: 有没有任何该死的文件,它隐藏在哪里? CONNMARK事情真的有必要吗? 也就是说,这个工作也一样吗? # iptables -A INPUT -m owner –uid-owner […]
我有一个CISCO ASA 5506-X,带有4个configuration的接口和一组访问列表等,它通过CLI进行configuration,并以路由模式运行,不透明。 一切运行良好,但现在我有一个问题,我还无法解决: 其中一个接口包含一个子网(192.168.2。*),其中的设备发送UDP广播来发现另一种设备。 其他设备位于另一个接口(192.168.3。*)的另一个子网中。 在某个端口上,udp广播是全局的(255.255.255.255)。 我想要在192.168.2。*中发送的全局UDP广播也发送到192.168.3。* – 并且当然也允许返回。 在其他思科设备上,我已经发现可以使用ip helper-address和ip forward-protocol命令来做到这一点 – 但是ASA模型并不支持这些,据我所知。 那么,我如何通过接口获得全局UDP广播呢?
通过服务创build允许/拒绝规则与端口和协议有什么区别? 例如: ufw allow ssh与ufw allow 22/tcp甚至ufw allow ssh/tcp 。 哪一个是最干净的2)最严格的3)最好的方法?