我们目前有我们的networking服务器在一个DMZ。 Web服务器在内部networking中看不到任何东西,但内部networking可以看到Web服务器。 在DMZ和内部networking之间的防火墙上打一个洞到内部网中的一个Web服务器有多安全? 我们正在研究一些将与我们的后台应用程序(都在一个服务器上)进行交互的东西,如果我们可以直接与持有这些数据的IBM i服务器进行通信,通过networking服务)。 从我的理解(我不知道品牌),我们有一个DMZ的防火墙,与另一个防火墙的主IP不同的外部IP。 另一个防火墙位于Web服务器和Intranet之间。 所以像这样: Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2
什么是边缘服务器? 我们看到一些对他们的引用,但我们从来没有看到一个定义。
我正在使用的环境是一个大型的networking托pipe操作(pipe理几百个服务器,几乎所有的公共地址等等 – 所以谈论pipe理ADSL链接的任何事情都不太可能奏效),而且,重新寻找可以轻松pipe理核心规则集(当前计数的iptables中大约12,000个条目)以及我们为客户pipe理的基于主机的规则集。 我们的核心路由器规则集每天更改几次,基于主机的规则集每月可能会更改50次(在所有服务器上,所以每五台服务器每月可能会更改一次)。 我们目前使用的是filtergen(通常是球,在我们的规模上是超级球),而且我在其他工作中使用过shorewall(这对于filtergen来说更好一些,但是我认为有必要在那里比那更好)。 我们为任何替代系统提出的“必须”是: 必须快速生成一个规则集(在我们的规则集上运行filtergen需要15-20分钟;这只是疯狂的) – 这与下一点有关: 必须生成一个iptables-restore样式文件,并在一次命中中加载,而不是每个规则插入调用iptables 在规则集重新加载时,不得长时间取下防火墙(这也是上述结果) 必须支持IPv6(我们没有部署任何与IPv6不兼容的新function) 必须是无DFSG的 必须使用纯文本configuration文件(因为我们通过版本控制来运行所有的东西,使用标准的Unix文本操作工具是我们的SOP) 必须同时支持RedHat和Debian(包装首选,但至less不能公然敌视发行版的标准) 必须支持运行任意iptables命令来支持不属于系统“本地语言”的function的能力 任何不符合所有这些标准的将不被考虑。 以下是我们的“很高兴”: 应该支持configuration文件的“片段”(也就是说,你可以把一堆文件放在一个目录中,然后对防火墙说“在规则集中包含这个目录中的所有内容”);我们广泛使用configurationpipe理,并希望使用此function自动提供服务特定的规则) 应该支持原始表格 应允许您在传入数据包和拒绝规则中指定特定的ICMP 应该优雅地支持parsing到多个IP地址的主机名(我们已经被filtergen捕获了几次,这是一个相当大的痛苦) 该工具支持的更多的可选/奇怪的iptablesfunction(本地或通过现有的或易于写入的插件)更好。 我们现在使用的是iptables的奇特function,而那些“正常工作”的function越多,对大家越好。
这应该是一个非常简单的: 在Windows Server 2008+的 高级Windows防火墙中 ,属性>高级,“ 边缘遍历 ”是什么意思? 当然,我用Googlesearch了一下,并且没有提出具体的答案,在Thomas Schinder的博客上看到以下内容我特别震惊: 边缘遍历选项是一个有趣的select,因为它没有很好的logging。 以下是帮助文件所说的内容: “边缘遍历这表示是否启用边缘遍历(是)还是禁用(否)。 启用边缘遍历后,应用该规则的应用程序,服务或端口是全局可寻址的,并可从networking地址转换(NAT)或边缘设备外部访问。 你觉得这可能意味着什么? 通过在服务器前面的NAT设备上使用端口转发,我们可以在NAT设备上提供服务。 这可能与IPsec有关吗? 难道它与NAT-T有关吗? 难道这个function的帮助文件编写者也不知道,而且做了一些代表重言式的东西? 我不知道这是什么,但如果我发现,我会确保将这些信息包含在我的博客中。 我很欣赏他的诚实,但如果这个家伙不知道,谁呢?! 一旦机器在路由器的另一端,我们很难连接到VPN,我想知道这是否可以帮助? 所以我非常渴望听到“边缘遍历”的正确描述!
我已经看到很多资源解释了如何设置服务器的防火墙,以允许在HTTP标准端口( 80和443 )上的传入和传出stream量,但我不明白为什么我会需要他们中的任何一个。 我是否需要取消阻止“常规”网站的工作? 为了file upload工作? 有没有情况下,build议解除封锁,并让对方封锁? 对不起,如果这是一个基本的问题,但我找不到解释任何地方(我也不是一个母语为英语的人)。 我知道在一个“常规”的网站上,客户端始终是发起请求的客户端,所以我假设一个Web服务器必须接受这些端口上的传入stream量,而我的常识告诉我,服务器可以发送响应没有解锁任何其他的东西(否则,有两种types的规则是没有意义的)。 那是对的吗? 但是,什么是即将离任的networking(服务)stream量,以及它的用途是什么? AFAIK如果服务器想要启动与另一台机器的连接,那么重要的特定端口是另一端的端口 (即目的地端口将是80 ),在它的末端可以使用任何自由端口( 源端口将是随机)。 我可以从我的服务器(例如使用wget )打开HTTP请求,而不会解锁任何东西。 所以我假设我的“传入”和“传出”的概念在某种程度上是错误的。
在我们的办公室里,我们有争论是否有必要在我们的VMWare集群上获得硬件防火墙或者build立一个虚拟的防火墙。 我们的环境由3个服务器节点组成(每个16个核心,每个64 GB RAM),配有2个1 GB交换机(带有iSCSI共享存储arrays)。 假设我们将为VMWare设备提供资源,那么select虚拟硬件防火墙会有什么好处? 如果我们select使用硬件防火墙,像Cisco这样的专用服务器防火墙如何与Cisco防火墙相比?
我在UFW的服务器上有以下规则: To Action From — —— —- 22 ALLOW 217.22.12.111 22 ALLOW 146.200.200.200 80 ALLOW Anywhere 443 ALLOW Anywhere 22/tcp ALLOW 109.104.109.0/26 前两条规则是我们要确保的内部IP始终可以在端口22(端口22)。 接下来的两个规则是允许从任何地方的任何IP地址查看HTTP和HTTPS。 最终的规则是允许我们的代码部署系统使用SSH。 我设置了一个ufw default deny规则,但似乎没有显示。 我是否也有一个否定一切的最终规则? 如果我添加一个拒绝所有规则,上面的规则顺序是否有所不同? 大概如果这个列表变长了,再加上一个拒绝规则的允许规则是不可能的,这意味着我将不得不删除并重新添加一些规则?
为了找出最近在我的服务器上login的用户,我正在使用以下命令: 有非常奇怪的IP地址login,例如: username@pc:/home/user$ last username pts/16 59.224.XX.178.d Sun Aug 2 12:26 – 12:27 (00:00) (其中X是一个数字)。 我的问题:后缀.d是什么意思? 为什么当我使用“-i”选项时,这些条目已经不存在了?
我正在运行一个Linux服务器,它不时面临沉重的负载,conntrack表溢出。 由于它的iptables防火墙规则很简单,我想把它变成无状态模式。 我知道iptables可以在有状态连接跟踪模式和无状态模式下运行。 我的防火墙规则全部到位我很确定他们是无状态的,但我的问题是如何validation防火墙是否真正在无状态模式下运行?
背景来说,很长一段时间我们遇到了防火墙的问题,有时会让HTTP请求部分加载,直到TCP超时。 在跟踪防火墙上的stream量之后,我注意到它只发生在特定的时间条件下,例如,当Web服务器在客户端已经在有效载荷上发送第二个ACK之前发送了整个响应时。 [SYN,SYN / ACK,ACK]已经被交换,REQUEST已经被发送并且被确认,并且第一个RESPONSE分组已经被接收并且被确认,然后web服务器一次性发送响应体的其余部分(8个分组包括最后一个FIN,PSH),并且在客户端已经确认了这些之前,防火墙拒绝RST向networking服务器发送请求,并使客户端挂起无限。 以下是来自防火墙两端的数据包的整个wireshark跟踪。 192.168.126.161是客户端的私有NAT'et IP地址。 172.16.1.2是networking服务器IP(不显示真实的公共IP),10.1.1.1是防火墙外部IP(不显示真实的公共IP) 2105 0.086275 192.168.126.161 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2106 0.000066 10.1.1.1 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2107 0.002643 172.16.1.2 10.1.1.1 TCP http > 37854 [SYN, ACK] Seq=0 Ack=1 Win=32768 Len=0 […]