我应用了Windows防火墙规则,阻止所有tcp连接,从而将自己踢出专用服务器上的远程桌面。 我设法通过VNC进行恢复,这基本上是一个Windows XP恢复系统。 我可以访问Windows Server 2008 R2安装的物理文件,但是我不知道如何禁用防火墙,因此我可以从恢复重启并通过远程桌面连接到W2K8。 如何在操作系统基本closures的情况下编辑Windows Server 2008的防火墙属性,并且可以通过文件系统访问系统文件?
我有一个小型的计算机实验室(8台惠普工作站,1台惠普服务器,2台NAS机箱,1台惠普networking打印机),目前所有设备都直接连接到我大学的networking。 每个设备都有一个由networking通过DHCP分配的IP地址(但是我被告知这些地址长时间被有效绑定到MAC地址,所以每次上电时设备都获得相同的IP地址),而且我已经分配给每个设备的主机名,由大学的DNS服务器pipe理。 我遇到的问题是,一旦连接到大学networking,设备就向互联网上的任何人开放。 例如,没有校园防火墙。 我希望将部分或全部这些设备与互联网隔离开来,以便我可以控制这些设备上的哪些端口/服务可以从大学内部访问(例如,我的同事想要从NAS上打印或存储数据/访问数据盒子),并可以从大学networking以外访问。 我提到的所有设备都在同一个物理位置(一个计算机房),但是我的工作站位于一个单独的房间,我想自己访问每个设备进行pipe理。 工作站都将(或将要)运行Scientific Linux。 NAS盒子是Synology产品运行自己的操作系统。 我应该如何设置这个迷你networking? 将所有设备放在路由器后面是否有意义? 如果我这样做,是否仍然可以通过已configuration的主机名称(例如从我的工作站不在路由器后面)连接到每个设备,如果是,我需要设置什么做到这一点?
我在一个小办公室pipe理networking(软件开发是我的“真正的工作”),并且有几个用户通过运行bittorrent来打败我们的互联网连接。 在上传端(20Mbps)的几乎瘫痪效果和潜在的责任之间,我想尽可能地closures它。 一些问题或build议的快速细节: 我们有两台运行最新DD-WRT的路由器(1台Linksys,1台Buffalo)和一台运行最新工厂软件的D-Link DIR-655 互联网是FiOS 20/20计划 用户通过WiFi和有线连接,每个人都使用DHCP 获得新的硬件(比方说$ 1000)真的可以诀窍是一种select 我们有一个互联网使用政策,是的,但是我想通过IT尽可能地执行,因为我们都知道有些人不能遵守规则。 是的,我知道处理这个问题是一个社会问题,但这个部分超出了我的权力/控制范围。 常见的策略(完全阻止MAC / IP访问,阻塞端口等)将不起作用。 至less有两个人通常在其以太网接口上重新编程MAC地址。 我明白,BT客户端可以configuration为使用其他端口,所以只是阻止标准的BT端口范围是弱点。 我不敢相信我是第一个给这只猫上皮的人。 或者也许只有IT部门。 大的设备预算可以皮肤这只猫? 谢谢你的帮助!
我有一个testing设置在实验室与4台机器: 2台旧P4机器(t1,t2) 1至强5420 DP 2.5 GHz 8 GB RAM(t3)Intel e1000 1至强5420 DP 2.5 GHz 8 GB RAM(t4)Intel e1000 testinglinux防火墙的性能,因为在过去的几个月里,我们被一些syn-flood攻击所困扰。 所有机器运行Ubuntu 12.04 64位。 t1,t2,t3通过1GB / s交换机相互连接,t4通过额外接口与t3相连。 所以t3模拟防火墙,t4是目标,t1,t2发挥攻击者生成的分组风暴(192.168.4.199是t4): hping3 -I eth1 –rand-source –syn –flood 192.168.4.199 -p 80 t4会丢弃所有传入的数据包,以避免与网关混淆,t4等性能问题。我观察iptraf中的数据包统计信息。 我已经configuration了防火墙(t3),如下所示: 股票3.2.0-31 – 通用#50 – Ubuntu的SMP内核 rhash_entries = 33554432作为内核参数 sysctl如下: net.ipv4.ip_forward = 1 net.ipv4.route.gc_elasticity = 2 net.ipv4.route.gc_timeout = 1 […]
我有一个Web应用程序(主机名:service.domain.com),我希望使用Kerberos身份validation来识别login到Windows域的用户。 Microsoft AD(Windows Server 2008 R2)提供了Kerberos服务。 该服务是使用Spring Security Kerberos扩展库来实现SPNEGO / Kerberos协议的Java Web应用程序。 我在AD中创build了一个包含共享密钥的密钥表文件,该密钥足以validation客户端浏览器使用Web应用程序发送的Kerberos票据。 我的问题是,服务主机(service.domain.com)需要有防火墙访问(TCP / UDP 88)到KDC(kdc.domain.com),或者是密钥表文件足以让服务主机能够解密Kerberos票据并提供身份validation?
我刚刚创build了一个包含所有默认值的免费EC2实例。 它表示它正在AWSpipe理控制台中运行。 在“实例操作”菜单上,单击“连接”。 我复制提供的DNS名称(看起来像ec2-a-dashed-IP-address.compute-1.amazonaws.com),并尝试SSH到它。 没有反应。 我甚至不能ping通它。 是什么赋予了?
假设我有一个私人界面和一个公共界面的服务器。 公共可能有像HTTP(S)服务器,私人可能有MySQL和SSH的东西。 显然,Nagios对于检查服务是否在各自的接口上运行很有用。 但是,build立明确testingMySQL和SSH端口未在公共接口上打开的检查是否是一个好主意? 这个想法是捕捉无意中的错误configuration,这些错误configuration已经打开了应该是私密的服务,并适当地提醒。 我的一部分想法是,这不会很好地扩展 – 想象一下iptables的DROP规则,例如,检查将不得不等待超过检查超时,然后才能完成并继续。 但是,这种超时时间必须足够高才能区分被封锁的服务和真正陷入困境的开放服务。 这是一个实际的想法? Nagios是正确的工具吗? 我甚至没有考虑否定TCP检查插件的结果的可行性,但我相信这是可行的…
我的公司在北美有一个Google Compute Engine服务器。 我们有这么多的中国IP地址向端口11发送请求,这是为我们的入口花钱。 我们的防火墙已经阻止了与中国的所有连接,因为他们没有业务访问我们的应用程序。 有没有一种方法可以完全忽略这些连接,或者阻止这些连接被阻塞,从而不会消耗带宽?
我在一个AWS实例中托pipe的ubuntu机器上运行一个tomcat服务器。 我可以通过public_ip:8080到达服务器,但是当我将server.xml上的监听端口从8080更改为80连接被远程主机拒绝。 端口号80在AWS firewall上启用。 我通过sudo ufw status检查ufw ,但结果是inactive 是基础防火墙机制的前端吗? 我如何在firewall上启用端口80 ? 预先感谢。 iptables -S : -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT netstat -punta输出 Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 785/mysqld tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN […]
closures没有服务运行的端口是否有优势? 在iptables级别终止连接,而不是下一步(我猜操作系统)有什么收获。