当我尝试通过RDP从另外几个Windows Server 2003客户端连接到Windows Server 2003 R2 SE的远程主机时,出现以下错误。 The client could not connect to the remote computer. Remote connections might not be enabled or the computer might be too busy to accept new connections. It is also possible that network problems are preventing your connection. Please try connecting again later. If the problem continues to occur, […]
我正在考虑将下面的规则添加到我的IP表中: -A INPUT -p tcp -m state –state NEW -m recent –update –dport 80 –seconds 5 –hitcount 10 -j DROP -A INPUT -p tcp -m state –state NEW -m recent –set –dport 80 -j ACCEPT 以避免意外的基于Ajax的滥用(太多请求)我的Web API。 这种有状态的过滤是否被认为是资源密集型的,或者由于端口80请求的共同性而造成浪费?(比如速率限制端口22会导致更less的状态)? 我意识到在专用的防火墙中这样做是理想的,但我试图看看我可以在我的服务器上完成什么。
我正在使用iptables v1.4.7 / 8。 我用了下面的命令 iptables -A INPUT -s 10.0.4.247 -m time –utc –datestart 2013-5-23T7 –datestop 2013-5-23T9 -j DROP 我的时间 date -u Thu May 23 07:49:29 UTC 2013 iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all — 10.0.4.247 anywhere TIME starting from 2013-05-23 07:00:00 until date 2013-05-23 09:00:00 UTC Chain […]
我不知道为什么我不能通过我的公共IP连接。 当使用本地IP它的作品。 我有适当的防火墙端口例外,我的路由器NAT具有端口转发到我的机器的configuration。 这是一个相当基本的程序,可以通过我的本地IP连接,但使用公共的时候会“拒绝连接”。 任何帮助? (我也设置了一个nginx服务器,不能从公网IP访问,但通过本地工作) 客户: #include <sys/types.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> int main() { sockaddr_in address; int res; int sfd = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP); if (-1 == sfd) { perror("cannot create socket"); exit(EXIT_FAILURE); } memset(&address, 0, sizeof(address)); address.sin_family = AF_INET; address.sin_port = htons(6511); […]
我们所有的虚拟机最近都从Azure中消失了,因为我们的试用配额已经达到。 我决定按照本指南来恢复VMS: http : //blogs.msdn.com/b/narahari/archive/2012/10/18/windows-azure-virtual-machine-disappeared-or-gone-how-do -i-recover.aspx 但是,虚拟机具有使用ip-tables(通过防火墙生成器)创build的防火墙configuration。 新的虚拟机获得一组新的IP。 这会导致问题,因为IP表将尝试重新分配旧的IP地址到接口。 最终的结果是,我们无法SSH到机器 – 他们无法访问。 问题是如何从中恢复。 我目前的想法是下载虚拟机映像并尝试使用live-cd装载它们,然后删除防火墙configuration,然后再次上载并基于此创build虚拟机。 但是,我不知道如何安装VHD。 有没有更快/更好的方法?
我的服务器现在正在进行Apache ddos攻击。 有大量的单个IP地址与30多个连接。 当我使用这个SSH命令时: netstat -n | grep ':80' | awk -F' ' '{print $5}' | awk -F':' '{print $1}' | sort | uniq -c | sort -n 我得到这个: 30 69.144.146.74 31 190.216.242.195 31 92.20.224.127 34 24.127.224.73 37 197.34.29.122 37 85.225.133.82 38 108.29.62.196 38 86.95.44.115 40 66.62.146.84 40 94.123.91.147 46 24.117.238.91 48 70.112.112.127 48 71.58.158.150 […]
当我们的虚拟服务器集合达到一定的规模时,我们从主机文件移动到DNS服务器。 但是,每次添加新服务器时,我们仍然需要在每台计算机上更新防火墙规则。 (因为提供者中的所有虚拟机都可以看到对方,包括其他客户机器,所以我们需要在iptables规则中列出可信地址列表) 人们用什么技术来集中pipe理IPTablesconfiguration? 目前最好的方法是上传一个新的ip列表到每台机器并重启防火墙。 有没有更好的办法? 如果我们能以某种方式将IPTables可信的附件与我们的DNS绑定, 在我们的DNS中定义的任何东西都被归类为可信的地址 – 但我认为没有这样的东西是可能的]
亲爱的serverfault社区, 我目前正在将一个带有OpenVPN服务器的“普通”IPTABLES防火墙迁移到一个包含Endian Community Firewall 2.5.1的新框中。 新的Endian防火墙包含一个OpenVPN服务器; 但是,由于VPN用户有特殊的要求,我不能使用这些新的服务器。 因此,我replace了Endian框上的VPN服务器configuration(以及VPNconfiguration文件的模板)。 问题是我必须使用tun0作为设备,而不是tap0。 Endian自然不支持tun0,并以某种方式使用tap0作为VPN设备。 这导致仅适用于轻拍设备的IPTABLES规则。 因此,我必须手动应用一些IPTABLES规则才能使OpenVPN与旧configuration和tun0设备一起工作。 当我重新启动我的新Endian框时,这些规则再次被覆盖(tap0而不是tun0)。 我跟踪了为什么使用tap0生成这些IPTABLES规则:/ var / efw / openvpn / settings – > PURPLE_DEVICE = tap0 Endian使用此文件来生成IPTABLES规则。 当我将PURPLE_DEVICE的值更改为tun0并重新生成IPTABLES规则时,它都可以工作。 不幸的是重新启动Endian框覆盖了设置文件,我没有find如何防止Endian这样做。 那么 – 如何永久更改设置文件,以便始终包含PURPLE_DEVICE = tun0? 我已经编辑了/ usr / lib / efw / openvpn / default / settings,但不幸的是这似乎没有任何效果。 我不能在这个文件上设置不可变的位,因为Endian不支持它。
我有一个Web服务器,我试图使访问,虽然从命令行我通过inputtelnet localhost 80连接,它拒绝非本地连接。 该服务器是一个AWS EC2节点,具有快速启动-1安全组(22和80处于打开状态),服务器已安装UFW,并且已经运行ufw allow 80 。 ps wwaux | grep apache2 ps wwaux | grep apache2显示一个根和六个www数据进程。 在AWS Ubuntu Raring节点中,或节点和笔记本之间的防火墙有什么其他可能性? 我怎样才能禁用?ghost防火墙?,而不会影响我的系统,所以它可以在80端口上使用? 该系统在端口22上可用,它从来没有给我远程访问端口22的麻烦。 该系统也是相当新的,我试图按照https://help.ubuntu.com/community/Drupal中的说明。
我正在使用iptables(1.1.1.1 => 2.2.2.2)使用以下命令进行NATstream量转发: iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT –to-destination 2.2.2.2 iptables -t nat -A POSTROUTING -d 2.2.2.2 -j SNAT –to 1.1.1.1 除了一件事情,它工作正常:如果我检查Apache日志,在服务器2.2.2.2做防火墙规则等,它看起来像所有的stream量来自1.1.1.1。 当然这有点道理,因为它是1.1.1.1将stream量转发到2.2.2.2,但我认为NAT会通过包中的原始IP“请求者”? 有没有办法让stream量到2.2.2.2拥有“真正的”原生IP? 目前,由于所有stream量似乎都来自1.1.1.1,无论原始stream量实际来自何方,因此设置良好的防火墙规则和其他安全措施非常困难。