在我的iptables日志中,我得到了非常重复和难以阅读的数据: MAC, IN, LEN, TOS, PREC, TTL, ID, WINDOW, RES, URGP 我正在使用我的Ubuntu机器作为Web服务器。 哪一个我可以消除我的iptables日志? 哪些对安全和监控有用? 我怎样才能禁用这些不必要的数据?
在过去的几年中,我们一直在相对较小的托pipe环境中使用Sonicwall PRO 2040防火墙。 但是我们希望升级到一个支持IPv6的更快的盒子,最好我们愿意留在Sonicwall(多年以来一直很好),并升级到NSA 2400。 所有这一次,我们已经在所谓的“透明模式”下运行这个防火墙。 这样防火墙对防火墙后的networking(即服务器)完全透明,但防火墙仍然保护networking。 在防火墙后面的服务器被configuration为防火墙不在那里,例如网关地址是防火墙外的路由器的地址。 这与VLAN (*)相结合,使我们能够以最透明的方式将每台服务器分别托pipe给客户。 (*)说明:在防火墙上,我们为每个服务器创build了虚拟接口并使用VLAN进行标记。 所有这些虚拟接口使用连接到交换机的单个物理接口。 此交换机也configuration了这些VLAN,并将所有通信分离为单独的物理端口。 例如,VLAN 5的stream量只能进入物理端口5,VLAN 8的stream量只能进入物理端口8等。唯一的公共端口是防火墙所连接的端口。 这确保服务器不能直接通信,只能通过防火墙,即使它们处于相同的IPnetworking空间。 现在我们正在转向新的IP地址空间,同时也希望支持IPv6,我们正在重新思考我们的解决scheme。 其中一个原因是IPv6的透明模式支持似乎非常less见或根本不存在。 所以如果我们想支持IPv6,我们必须使用路由模式。 有了这个,所有types的问题都会popup来,希望有人能够帮助我提供一些意见和/或答案。 路由或透明模式更常用于IPv4吗? 我们可以在IPv4上使用透明模式,在IPv6上使用路由模式,或者我们也必须在IPv4上使用路由模式? 使用路由模式,如果我们的IP范围是XXX0 / 26(即64个连续的IP地址),并且我们必须使用的数据中心网关是XXX1,那么我们是否将防火墙的广域网放在XXX2上,并将XXX3上的内部端口configuration服务器使用XXX3作为网关地址? 在路由模式下防火墙总是需要至less两个IP地址(对于内部和外部接口),而在透明模式下防火墙只需要一个IP地址(WAN),这是正确的吗? 我们是否仍然能够将所有服务器全部放入自己的VLAN中,并要求服务器之间的所有stream量都通过防火墙? 如果是这样,那么子网掩码必须是什么? 也就是说我们不想做的是把每个服务器放到它自己的IP网段中,因为这会花费我们每台服务器4个IP地址(networking,广播,网关和服务器本身)。 在透明模式下使用路由模式有什么好处吗? 或者相反呢?
我有一个新的ISP通过一个物理端口通过以太网切换来的光纤。 我对如何在FortiGate 200A防火墙上进行configuration有疑问,因为我给了一个/ 30包含ISP的网关,另一个/ 28用于我可以使用的外部IP: xy76.12/30 (.13 is the GW) xy76.64/28 (public IP space) 如何configurationFG200A的WAN1接口以了解这两个networking? 由于我只有一个物理ISP端口,我需要将它插入到一个交换机来分出两根电缆,并使用FG200A上的一个DMZ端口来设置/ 28? 在此先感谢您的洞察力!
我有一个Linux服务器,默认的INPUT操作是DROP 。 OUTPUT和FORWARD都是ACCEPT 。 我必须添加哪条规则才能使机器build立FTP会话作为FTP客户端。 服务器不是FTP服务器。 这是我的防火墙规则。 为什么我不能ping任何远程机器或任何有关OUTPUT。 # Generated by iptables-save v1.4.12 on Wed Oct 10 15:30:17 2012 *nat :PREROUTING ACCEPT [379:59440] :INPUT ACCEPT [162:34762] :OUTPUT ACCEPT [5008:361967] :POSTROUTING ACCEPT [5008:361967] COMMIT # Completed on Wed Oct 10 15:30:17 2012 # Generated by iptables-save v1.4.12 on Wed Oct 10 15:30:17 2012 *filter :INPUT DROP […]
有了以下iptable规则,我无法进行apt更新并ping一个网站。 规则有什么问题? 如何解决它? 什么是解决它的确切规则? Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp — anywhere anywhere tcp dpt:325 DROP all — anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
我正在运行一个Ubuntu Server 12.10作为连接到使用PPPoE连接到光纤调制解调器的NATed路由器的单个主机。 这台服务器的目的是从互联网上访问,但也可以使用从局域网作为SVN,MySQL和什么不… 问题在于路由器的定制性不足以提供服务,所以我正考虑在服务器内部使用KVM创build一个虚拟pfSense防火墙,从而消除路由器的需求。 这可能吗? 主机是否可以忽略和阻止所有到达自己的通信,但不能防火墙? 我知道这不是最理想的环境,我接受基于预算的build议!
如果我input“netstat”,我可以看到我的电脑连接的IP地址列表。 如果我从一个IP地址开始,我如何find已经打开到所述IP地址的连接的进程?
我正在尝试设置一些防火墙规则,允许在一台服务器和另一台服务器之间允许SSH,传入ping,munin和MySQL(所有这些服务都可以正常工作),但是当我应用规则时,无法再ping或解决任何DNS(所以我可以ping 74.125.225.65但不是google.com )。 以下是我正在使用的规则: # Accept traffic on localhost: iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow SSH from anywhere: iptables -A INPUT -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT # […]
我正在使用UDP编写服务,但是我无法设法回复客户端。 当通过DHCP分配的IP(192.168.1.143)发送到客户端时,Wireshark不显示发送的数据包。 服务器接收和Wireshark显示客户端发送的任何数据包(广播)。 如果我发送到一个随机的,未分配的IP Wireshark不显示它。 我以为网卡会高兴地发送它,因为有一个路由器的方式 – 不应该Wireshark显示它,即使它不可能被远程端点接收? 如果我发送到路由器IP或其他(特定的,只有一个)计算机,数据包显示在Wireshark中。 我正在运行Windows 7,防火墙使用控制面板closures。 wireshark不显示这些数据包的事实是否意味着它们不被发送? 有什么理由可以在同一个子网上向一个IP显示数据包,而不是另一个IP?
我在客户的网站上有一个fortigate 400A。 他们已经拿到了英国电信的26,我们使用这些IP中的4个作为NAT池。 有没有办法说,来自172.18.4.40-45的stream量只能作为外部IP从xxx140出来(因此又回到)? 我们在SIP方面遇到了一些问题,看起来像是从一个出来,并试图回到另一个问题。 我试过启用不对称路由,没有工作。 我尝试设置一个VIP,但是即使当我这样做,它似乎没有做任何事情。 有任何想法吗? 我可以发布一些防火墙片段,如果需要的话。告诉我你想看到什么。 SIP ALG config system settings set sip-helper disable set sip-nat-trace disable set sip-tcp-port 5061 set sip-udp-port 5061 set multicast-forward enable end 有趣的旁注 VoIP电话,没有特别的configuration可以注册到proxy.sipgate.co.uk,其IP地址为217.10.79.16 。 这很酷。 两部电话使用不同的提供商,其代理IP地址是178.255.xx 这些电话可以注册出站,但入站INVITE从来没有把它送到手机。 有没有可能178.255.xx在178.255.xx有问题,因为它有255个呢? 还是我只是想象的东西?