我正在考虑与我的VPS上的托pipe网站安全供应商,我很难理解的东西。 (是的,我知道这是OSI的术语,这些网站是基本的牙科和医疗实践网站,没有电子商务和私人信息(SSN等)。 他们的基本计划有一个7层防火墙(我知道这就是HTTP,HTTPs等),但他们的高级计划也覆盖了3,4层(我知道那是IP和TCP / UDP)。 1)我不明白的是大局 – 第7层防火墙是否忽略第3/4层的问题? 数据包检测是否被跳过? 2)如果是的话,如果你已经有了第7层,那么3/4防火墙有多必要? 如果有一本书或资源我可以阅读来理解,这也将是伟大的。 我想了解我在做什么之前做的购买!
在我们公司,我们有大约100个有互联网接入的工作站,从使用互联网接入私人工作的angular度来看,日常的情况越来越糟,在社交网站上浪费了时间。 因为我是开放的,我不喜欢封锁像Facebook,YouTube和其他类似网站的网站,但是我的同事们没有完成他们的任务,任何时候我看着他们的显示器,他们正在运行Internet Explorer或Mozilla Firefox,聊天和那样的事情。 另一方面,当我们的互联网访问速度非常低时,我想阻止YouTube。 这是我的问题: 其他公司是否阻止社交网站? 我需要一个专用的设备吗,比如硬件防火墙或者超级昂贵的路由器吗? 或者,我可以使用我现有的FreeBSD 6.1自制路由器和两个局域网卡,并将NATconfiguration为路由器吗? 我试图使用ipfw和routerirewall,但没有成功。 我的代码如下所示: ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook. ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek. ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek. ipfw add 25 deny tcp from 192.168.0.0/20 […]
瞻博networking和思科存在的防火墙比房屋成本高。 所以我想知道:从10 000美元以上的防火墙,到2U服务器,运行4个10Gbit的网卡(例如OpenBSD / FreeBSD / Linux),我们得到了什么? 硬件防火墙可能有一个Web界面。 但是,还有什么人得到$ 10,000或$ 100,000防火墙?
我怀疑我国政府是否在TCP连接上销毁收到的ACK数据包。 当我尝试build立到80以外的端口的外部主机的TCP连接时,TCP握手将不会成功。 我捕获了pcap文件(gmail.pcap: http ://www.slingfile.com/file/aWXGLLFPwb),我发现我的电脑在收到TCP SYN后收到ACK,而不是用SYN ACK回复,它会发送一个RST。 我检查了外部主机的ACK数据包,但看起来完全合法。 序列号和我知道的所有标志都是正确的。 谁能告诉我为什么我的电脑(一台Linux机器)将发送RST数据包?
目前我正在使用VisualSVN服务器,它只能在我的家庭networking上访问。 最终会有其他人访问它,但现在只是我,我想能够下到咖啡店(或任何地方),并能够离开房子工作。 目前我正在通过http://user-pc:xx/svn/Projects/访问服务器。 当我设置我的路由器将XX端口转发到我的服务器时,我应该采取哪些措施来保护服务器? 请记住,我在Windows上这样做,当我广泛使用常规命令提示符时,我没有很长时间没有使用SVN,除了TortoiseSVN以外,没有使用任何东西来处理它到目前为止。 编辑 :攻击者可以做的唯一有害的事情,我知道,是:猜测我的端口号,用户名和密码进入存储库。 然而俗话说,我不知道我不知道。 所以我不一定要求一步一步的指示(尽pipe我当然也希望这样做),就像我需要考虑的事情一样,一旦港口开放, 任何forms的攻击都可以考虑。
我一直在试图把一个基本的服务器iptables脚本放在一起,这个脚本可以在大多数使用HTTP(S)和SSH(端口80,443和22)的网站上运行。 毕竟,大多数VPS只需要这些起始端口规则,并可以根据需要添加邮件或游戏端口。 到目前为止,我有以下规则集,我想知道是否有人知道更好的脚本或可以添加的任何改进。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT # Allows all outbound traffic # […]
这是关于理解和debuggingLinux系统上的软件防火墙的一个build议性 规范问题 。 为了回应EEAA的回答和@Shog的评论,我们需要一个合适的典型问答来解决关于iptables的一些相对简单的问题。 什么是结构化的方法来debuggingLinux软件防火墙的问题, netfilter包过滤框架,通常由userland interface iptables引用? 什么是常见的陷阱,反复出现的问题和简单或稍微模糊的事情来检查偶尔的防火墙pipe理员可能会忽略或从知道获益? 即使使用UFW , FirewallD (aka firewall-cmd ), Shorewall或类似的工具,也可以从这些工具所提供的抽象层之下查看底层。 这个问题不是作为构build防火墙的方法:查看产品文档 ,例如为iptables提供食谱,或者search带标记的iptables ufw firewalld firewall-cmd问题,以获得现有频繁和高度评价的高分 Q&A的。
有谁知道一个低功耗的服务器/ PC有2个网卡,所以它可以用于(OpenBSD)的防火墙? 桑德拉
这是关于NAT和DNS的典型问题 我目前正试图build立一个DMZnetworking,其中包含一个networking服务器和一个通过networking地址转换(NAT)防火墙与Internet隔开的电子邮件服务器。 我已经安装了具有以下接口的NAT防火墙: WAN – xxxx (redacted public IP address) DMZ – 192.168.124.5/24 LAN – 192.168.123.5/24 在我的DMZ上,我有两台主机: Web server – 192.168.124.30 E-mail server – 192.168.124.32 我知道我需要为example.com域configurationDNS来parsingexample.com和mail.example.com到我的公共IP地址。 我希望我的NAT防火墙将所有传入请求转发到example.com到192.168.124.30的web服务器,并将所有到mail.example.com请求mail.example.com到192.168.124.32的电子邮件服务器。 我在NAT防火墙的configuration中看到了一个“端口转发”function,但似乎无法实现我所寻找的function。
我不确定这个function被称为什么。 但在Windows Server 2008中,它具有Vista Public / Private / Domain位置。 这对于笔记本电脑来说是有意义的,对于服务器来说也没有。 我的问题是,有时一些networking适配器决定他们现在在公共networking上。 这完全激活了防火墙,即使是“域”networking。 所以净效果是我重新启动了一些机器,然后他们再也不会回到networking上,直到我们KVM进入,并告诉它networking是私有的。 这个function叫什么名字? 是否有一个GP设置,我可以用它来closures所有的networking“域”? 编辑:谢谢,那就是NLA。 我试过在非域名机器上禁用这个服务,只是把所有的东西都公开了。 在域计算机上,networking列表服务拒绝停止 – 我会尝试组策略。