好的,问题:我有一个IISnetworking服务器和Windows防火墙。 为了允许传入连接到IIS,我启用了端口80和8080。 但现在,我怎样才能阻止与Windows防火墙端口80(=禁令)特定的IP地址/范围?
使用iptables,我需要阻止我的服务器上的所有出站stream量,除了: SSH访问less量的IP地址 HTTPS访问同一个IP地址的小列表 任何人都可以给我看一套合适的规则吗? 谢谢。
我在CARP / XMLconfiguration集群中设置了一对pfSense防火墙/路由器。 在LAN方面,交换机也有一对运行corosync / pacemaker / drbd的服务器。 这些在不同的ipnetworking上,但仍然生成多播数据包。 对于我的生活,我不能让pfSense允许数据包。 我尝试使用简单的规则button,但失败了。 我还添加了一个规则,允许所有端口,所有地址与多播地址的目的地,并启用“allowopts”和“nostate”; 一切都无济于事。 stream量仍然由默认规则停止。 任何想法我可能做错了什么? 这是规则的一个镜头(是的,他们已经被重新加载了几次: 我也尝试过“没有状态”。 标题下的规则是Easy-Rule,它select源地址和目标地址。 src端口是*,目的端口是5405。 这里是显示拒绝的默认规则的日志: 值得注意的是,它最初显示清理规则也是阻塞的,所以我禁用了数据包碎片清理。
“堡垒主机”和“跳转主机”之间的区别/相似之处是什么? 他们通常交替使用?
我的一台生产服务器UFWconfiguration如下: Status: active Logging: on (low) Default: deny (incoming), **deny (outgoing)**, disabled (routed) New profiles: skip To Action From — —— —- 22/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (uv6) 80/tcp ALLOW IN Anywhere 80/tcp (v6) ALLOW IN Anywhere (v6) 我已经通过安装ntp服务启用了NTP同步,目前正在运行。 当我运行ntpq -p ,我得到以下输出: remote refid st t when poll reach delay offset […]
我在Windows 2008服务器上安装了sql server express 2008。 我已经完成了所有标准的东西在SQL中,以允许远程连接。 奇怪的是,如果我禁用Windows 2008服务器firewalll ..它的作品。 我已经在服务器防火墙上打开了一个端口1433。 而TCP是启用,有一些其他的端口,我不知道..我也打开1434 … … – 在TCP属性下,我已经启用了TCP的IP(当然这个部分必须好像我禁用防火墙工作),端口号留空,dynamic端口为0 我试着把端口号设置为1434,把dynamic端口设置为空白。 仍然没有喜乐。 我有SQL浏览器服务器运行和命名pipe道.. 我正在运行我的testing从我的电脑没有防火墙和通过Sqlpipe理工作室。 我肯定错过了什么 真的很感激任何人可以提供帮助..我卡住了 谢谢
我正在寻求阻止IP地址相对自动化的方式,如果他们希望从我们的网站“屏幕抓取”的内容。 在过去,这是通过一些巧妙的perl脚本和OpenBSD的pf实现的。 pf是非常好的,你可以提供很好的IP地址表,并且可以有效地处理基于它们的阻塞。 但由于各种原因(在我之前),他们决定转用CentOS。 iptables本身并不提供阻止大量地址的能力(我被告知阻塞5000+并不罕见),而且我还是把这么多规则添加到iptable中有点谨慎。 ipt_recent对于这样做是非常棒的,而且它提供了很大的灵活性,只是严重的减慢了访问速度,但是在CentOS内核中有一个阻止我使用它的bug(报告,但是等待修复)。 使用ipset将需要编译一个比CentOS自带的更新版本的iptables,尽pipe我完全有能力做到这一点,但我宁愿不从补丁,安全性和一致性的angular度来做。 除了这两个,它看起来像nfblock是一个合理的select。 有谁知道其他方式来实现这一目标? 我担心iptables中的几千个IP地址是个人规则吗?
你在设置iptables时做了什么:改变默认策略(例如iptables -P INPUT DROP ),或者在规则集( iptables -A INPUT DROP )的最后添加一个catch-all规则? 如果你特别喜欢一个,你的偏好背后的理由是什么? 对于这个论坛来说,这个问题可能太主观了,但也许有一些很好的理由要select一个我不知道的问题。 与我的政策方式不同,由于过于乐观的iptables -F ,locking服务器可能更容易。 对于我来说,删除全面的规则可能会更容易,而不会意识到这一点,从而有效地将服务器全部打开(过去我曾经遇到过这种情况)。 确实,你不应该依靠防火墙作为你唯一的防止互联网的保护(大多数情况下,你可以使内部networking服务只绑定到本地主机或内部networking,例如),但是有时候,公共服务到特定的源networking等 就我个人而言,如果从头开始编写一个规则集,我倾向于第一个,但如果更新现有规则集,则坚持已有的规则集。
我一直负责构build一个防火墙/ VPN设备,它需要支持多达100个同时VPN连接以及光线路由(主要是自定义NAT映射)。 这将面向50M互联网连接,导致5台服务器共运行40台虚拟机。 大多数stream量将是虚拟机的RDP会话和相对较轻的httpstream量。 VPN会话可能会很长寿,但很less使用。 我的计划是使用pfsense + OpenVPN,除非其他人强烈build议其他发行版。 目前stream量峰值约为20Mbps,95%为10Mbps。 基本上,我正在寻找的是,我需要多大的服务器来保持多个同时开启的VPN连接,而不会影响性能。 我们现在有一台至强5504四核服务器,内存为12G,如果可能,我想使用它。
您build议使用哪种防火墙来满足以下1Gb线路和大多数防黑客模块? 价格范围10k-15k $。 3年现场保修,全面支持在线。 关于模块,我不知道防火墙在防火墙中有什么作用,因为这个防火墙将被用于IIS应用程序,但绝对是针对DDOtypes的攻击…还不够多说。 谢谢…