标题是自解释的。 我想创build规则在pf上运行在OpenBSD 4.9中的特定MAC地址,类似 pass in on eth0 from mac 00:04:34:5f:34:33 to mac 34:32:34:06:5e:22 我已经阅读了这个 ,但它并没有帮助!
我们使用unicode亚洲字符将邮件发送到广域网另一端的邮件服务器…从运行2.3(2)的FWSM升级到运行8.2(5)的ASA5550后,立即看到包含unicode和其他文本编码为Base64。 症状非常明显…使用ASA的数据包捕获实用程序,我们在离开ASA之前和之后拦截了stream量… access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25 capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN 我从ASA下载了pcap,转到https://<fw_addr>/pcap_inside/pcap和https://<fw_addr>/pcap_outside/pcap …当我用Wireshark查看它们时>按照TCP Stream,进入ASA的stream量看起来像这样 EHLO metabike AUTH LOGIN YzFwbUlciXNlck== cZUplCVyXzRw 但是在外部接口上离开ASA的邮件看起来像这样… EHLO metabike AUTH LOGIN YzFwbUlciXNlck== XXXXXXXXXXXX XXXX字符是关于…我通过禁用ESMTP检查解决了问题: […]
对于新网站和浏览器中的那些网站禁用HSTS,我有什么select? HTTPS检查的使用本质上改变了一个网站的指纹,作为一个中间人; 访问以前访问的网站,而无需HTTPS检查或预先加载的网站之一将导致无法访问的网站。 有什么select – 如果有的话 – 我有其他禁用检查吗? 以下是一个示例,Chrome中带有HTTPS检查的Gmail: 背景 我正在设置一个新的防火墙,并且正在尝试清理我的HTTPS检查规则。 我真的想要避免将网站添加到可能包含用户贡献内容的列表,例如mail.google.com / gmail.com。 自从上一次我做这个HSTS / HTTP严格的传输安全已经变得更加普遍。 注 – 我试图保持这种通用,因为这可能是一个问题,很多不同的设置。 我希望能够适用于任何防火墙产品的跨OS /跨浏览器方法,但这是多less要求。 使用Windows(7+)的重点(IE,Chrome,Firefox)将是一个很好的开始。 以组策略为中心的方法也是非常有用的。
我会尽快尝试部署我的第一个networking应用程序,所以我的经验是缺乏的。 我记得在某个地方读到机器人端口扫描发生在几分钟内暴露在互联网(也许这是一个Windows 95系统需要多less时间才能妥协,这是自从我阅读文章已经有一段时间了)。 这个特定的服务器在amd64上运行Ubuntu 9.10服务器版本。 networking应用程序本身应该完全通过https,根据这个问题, 我刚刚在这里问 。 此外,该网站还有一个file upload部分,现在通过http post完成,该文件最终通过单独的(无线的,不幸的)接口远程连接到另一台计算机,以处理实际的处理。 所以,在暴露在世界的实际networking接口上,我认为端口80和443应该被暴露,而不是别的。 正如我之前所说,80应该redirect到443.是理智的吗? 还有什么别的我不知道,我应该有一些其他的港口活跃? 这些文件通过端口9000和9001使用ruby DRb移动到处理系统,因此这些文件也需要打开,但只能在第二个界面上打开。 另外,我应该使用什么防火墙程序来处理这样的两个networking接口? 这里列出了一些 ,但我不确定哪些是适合服务的网页,或者即使这是一个特殊的情况。
我在我的iptables中有这个规则: iptables -A INPUT -p tcp -m tcp –dport 9191 -j DROP 我真的需要“-m tcp”吗? 我已经在使用“-p tcp”了,所以我应该使用“-m tcp”来更安全吗?
我在两个不同的森林中有两个Active Directory域; 每个域有两个DC(都是Windows Server 2008 R2)。 这些域也位于不同的networking中,并通过防火墙连接它们。 我需要在两个域和森林之间创build一个双向森林信任。 如何configuration防火墙来允许这个? 我find了这篇文章 ,但是它并没有很清楚地解释DC之间需要哪些stream量,需要哪些stream量(如果有的话),而不是一个域的域计算机和另一个域的DC之间。 我可以允许区议会之间的所有通信,但是允许一个networking中的计算机访问另一个区域中的区议会会更困难。
我正在对作为故障转移群集一部分的备用Cisco ASA 5508-X防火墙执行维护。 重新加载后,我注意到集群状态在单元恢复之后很长时间没有成功。 我有数据中心工作人员连接串行控制台,并在重新启动循环中收到以下内容: Attempt autoboot: "boot disk0:" media drive disk0: not present boot: cannot determine first file name on device "disk0:" autoboot: All boot attempts have failed. 这对我来说绝对是新的,因为我已经习惯了旧的ASA 5505和5510防火墙的低故障率。 本机是故障转移设备,没有当前的SmartNet。 但是,从这种types的故障中恢复的最好方法是什么? 服务目前没有受到影响,但我找不到任何简单的程序。
我已经读过这个问题 ,但对称NAT的解释还不够详细。 请有人能帮我理解下面的段落吗? 我读了关于对称NAT的这个: 如果同一个内部主机发送一个数据包,即使源地址和端口号相同,但是到不同的外部源IP地址和端口,每个来自同一个内部IP地址和端口的请求也会映射到一个唯一的外部源IP地址和端口目的地,使用不同的映射。 只有从内部主机接收数据包的外部主机才能发回数据包。 http://en.wikipedia.org/wiki/Network_address_translation#Types_of_NAT 而这个关于UDP Hole-punching : 对于在大型企业networking中常见的对称NAT设备(也称为双向NAT),UDP打孔不起作用。 在对称NAT中,与连接到知名STUN服务器相关联的NAT映射受限于从知名服务器接收数据,因此知名服务器看到的NAT映射对端点来说并不是有用的信息。 http://en.wikipedia.org/wiki/UDP_hole_punching 但我并没有真正吸收它。 我感觉到它告诉我(在客户端启动通信的客户端 – 服务器应用程序中),除非NAT设备明确允许,否则服务器不能以另一种方式进行通信。 我不明白为什么这就是它的意思。 如果可能的话,你能简化一下这个描述吗? 在我们的环境中,我们遇到了一个问题,一个知名的远程支持工具不能被同样知名的软件供应商用来为我们提供支持。 客户端是代理感知的,但对于某些共鸣,它认为不使用它可能是一个好主意,并通过端口1153上的UDP做一些完全不同的事情。
几年前,OpenSSH有几次远程攻击,导致包括我在内的许多pipe理员开始过滤networking边界的端口22,只允许员工的IP地址使用SSH。 这是一个普遍的做法。 这是有道理的,但现在有道理吗? 我正在谈论ssh守护进程本身的安全性和可利用性,我并不担心机器人试图暴力破解密码login。 在我的店里,ssh已经被locking了; 根login被禁用,只使用公共密钥authentication。 基本上我问是否有那些已经坐在OpenSSH零时差9年的小子? 我一起工作的一个人是这么认为的,他的逻辑是“因为它是一个服务器”。 我觉得他的信念值得怀疑。
我正在玩我的新的系统日志服务器,并有我的m0n0wall防火墙日志作为testing转发,我注意到一堆最近的防火墙日志条目,说它阻止其他广域网IP从我的ISP(我检查)连接到我在TCP端口445.为什么一台随机电脑试图连接到显然用于Windows SMB共享的端口上? 只是互联网垃圾? 端口扫描? 这是我所看到的: Mar 15 23:38:41 gateway/gateway ipmon[121]: 23:38:40.614422 fxp0 @0:19 b 98.82.198.238,60653 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN broadcast Mar 15 23:38:42 gateway/gateway ipmon[121]: 23:38:41.665571 fxp0 @0:19 b 98.82.198.238,60665 -> 98.103.xxx.xxx,445 PR tcp len 20 48 -S IN Mar 15 23:38:43 gateway/gateway ipmon[121]: 23:38:43.165622 fxp0 @0:19 b 98.82.198.238,60670 -> […]