TL; DR 我的托pipe公司说,IP表是没用的,不提供任何保护 。 这个BS吗? 我有两个位于同一地点的服务器。 昨天我的DC公司联系我告诉我,因为我使用的是软件防火墙,所以我的服务器“很容易受到多重,严重的安全威胁”,而我现在的解决scheme提供了“没有任何forms的攻击保护”。 他们说我需要一个专用的思科防火墙(安装1000美元,然后每月200美元)来保护我的服务器。 我一直觉得,硬件防火墙更安全,而像RedHat上的IPTables这样的东西,对于普通服务器来说,提供了足够的保护。 这两个服务器都只是networking服务器,没有什么关键,但我已经使用IPTableslockingSSH只是我的静态IP地址,并阻止除基本端口(HTTP(S),FTP和其他一些标准服务)。 我不打算去防火墙,如果服务器被黑了,这将是一个不便,但他们运行的是一些Wordpress和Joomla网站,所以我绝对不认为这是值得的钱。
很基本的问题..你如何预备一个iptables而不是APPEND? 我在我的规则底部有DROP语句。 我有软件来添加新的规则,但在DROP语句后添加规则是不好的。 每次我想添加一个新的规则,我不得不刷新表效率低下。 有没有办法预先规则,即添加一个规则到表的顶部而不是底部? 非常感谢。
我正在运行Ubuntu 11.10 – 设置NFS以在许多其他服务器之间共享目录。 哪些端口需要在防火墙上打开?
我想redirect从端口443到内部端口8080的所有stream量。我使用iptables的这个configuration: iptables -t nat -I PREROUTING –source 0/0 –destination 0/0 -p tcp \ –dport 443 -j REDIRECT –to-ports 8080 这适用于所有外部客户。 但是,如果我试图从同一个maschine访问端口443,我会得到一个连接拒绝错误。 wget https://localhost 如何扩展iptables规则来redirect本地stream量?
我使用的其中一台服务器托pipe在Amazon EC2云上。 每隔几个月我们就会对这台服务器发起DDOS攻击。 这令人难以置信地降低了服务器的速度。 大约30分钟后,有时在重启后,一切恢复正常。 亚马逊有安全组和防火墙,但是我还应该在EC2服务器上采取哪些措施来减轻或防止攻击? 从我学到的类似问题: 通过IP表格(或者UFW)来限制来自特定IP地址的请求/分钟(或秒)的速率。 有足够的资源来生存这样的攻击 – 或 – 可能构buildWeb应用程序,使其具有弹性/具有弹性负载平衡器,并且可以快速扩展以满足如此高的需求) 如果使用mySql,请设置mySql连接,以便它们按顺序运行,以便慢速查询不会使系统停滞不前 我还有什么遗漏? 我喜欢关于特定工具和configuration选项的信息(在这里再次使用Linux)和/或特定于Amazon EC2的任何内容。 ps:有关DDOS监控的注意事项也会受到欢迎 – 也许与nagios? ;)
我想我的CentOS 5.3系统几乎已经完成了我的iptables设置。 这是我的脚本… # Establish a clean slate iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F # Flush all rules iptables -X # Delete all chains # Disable routing. Drop packets if they reach the end of the chain. iptables -P FORWARD DROP # Drop all packets with a […]
愚蠢的问题: 在Windows上有相当于iptables吗? 我可以通过cygwin安装吗? 真正的问题是:如何在Windows上完成通过iptables可以完成的任务? 只要寻找基本的防火墙function(例如阻止某些IP地址)
我有一个Windows 7 RC(7100)的问题。 我经常在WinXP上使用带有静态IP地址的交叉网线连接到具有以太网networking端口的各种工业设备(例如机器人,泵,阀门甚至其他Windows PC)。 当我在Windows 7上执行此操作时,networking连接被分类为Networks and Sharing Center的“不明networking”,公用防火墙configuration文件由Windows强制执行。 我不想更改公开个人资料,而宁愿使用家庭或工作资料。 对于像家庭和工作的其他networking,我可以点击它们并更改分类。 这不适用于不明身份的networking。 我的问题是这些: 有没有办法手动覆盖“不明networking”分类? 在networking上进行哪些testing失败,因此将其分类为“未知networking” 通过谷歌search(主要是Vista的问题)似乎你需要确保默认网关不是0.0.0.0 。 我已经做到了 我也尝试删除IPv6,但在Windows 7上似乎不可能。 UPDATE 对于那些仍然有问题的人来说,是我的问题的答案和可能的原因: Win7保留了您访问的networking列表(我假设,但不知道)默认网关指向的设备的MACID。 默认网关通常是networking中的常量设备(即NAT或路由器),因此可以用来唯一标识一个networking。 因此,IPv4属性面板中的默认网关必须指向一个实际的端点,以便窗口可以跟踪它。 如果在“默认网关”窗口末尾有一台设备将识别并跟踪logging其设置。 因此,欺骗Win7的方法是将默认网关指向您自己的IP地址,或者指定要与之通信的目标设备的IP地址。 这会产生一个副作用,那就是希望目标设备开始为子网外的IP目标路由数据包。 因此,Win7上的一些应用程序将尝试与互联网通信,这些应用程序将被传递到默认网关(要么返回相同的IP地址,要么是不是路由器的目标设备),因此最终会超时,因为既不能路由数据包。 你通常可以住在哪里 当你将这种types的连接与通过WIFI连接到互联网的真正连接混淆时,这会变得有些复杂。 由于“接口指标”,有线网卡通常在路由时具有优先级,因此某些应用程序可能无法正确连接。
我确信Linux系统pipe理员对于iptables是netfilter包过滤框架的用户界面非常熟悉。 现在,这个“问题”是为了收集各种iptables智慧中的各种各样的部分。 没有什么太常见或太模糊。 发布任何你知道可以帮助他人充分利用iptables 。
我为我工作的公司pipe理一些基于云的(VPS)服务器。 这些服务器是运行LAMP堆栈/入站数据收集(rsync)的最小的ubuntu安装。 数据很大,但不是个人,财务或类似的东西(即不那么有趣) 显然在这里,人们总是要求configuration防火墙等。 例如,我使用了一些方法来保护服务器(但不限于) ssh在非标准端口上; 没有密码input,只有已知的ipslogin等已知的SSH密钥 https和受限制的shell(rssh)通常只能从已知的keys / ips中获得 服务器是最小的,最新的,并定期打补丁 使用rkhunter,cfengine,lynis denyhosts等进行监控 我有丰富的经验的Unix系统pipe理员。 我相信我知道我在做什么。 我configuration/ etc文件。 我从来没有觉得有必要安装像防火墙这样的东西:iptables等 暂时搁置VPS的物理安全问题。 Q& 我无法决定我是否幼稚,或者fw提供的增量保护值得学习/安装,以及服务器上额外的复杂性(包,configuration文件,可能的支持等)。 迄今为止(碰木头)我从来没有任何安全问题,但我也不自满。