我们有多台机器位于防火墙后面的不同区域,没有静态IP,不能从外部访问。 我们想访问这些机器,但想知道什么是最好的select。 我们想过configuration一个由这些机器启动的反向ssh到一个中央堡垒。 但是如果有人能够访问其中一台机器,会发生什么事情,想想ssh隧道? 他可以访问其他机器认为堡垒? 有没有最好的做法来解决这个问题? 谢谢。
我有postfix和dovecot运行在端口25,110,587,465,993,995为通常的邮件协议。 我可以远程login到除了端口25以外的所有端口。 任何想法是怎么回事? 远程login到端口25(失败) # telnet 192.168.1.100 25 Trying 192.168.1.100 … telnet: connect to address 192.168.1.100: Operation timed out telnet: Unable to connect to remote host 本地Telnet到端口25(成功) # telnet localhost 25 Trying 127.0.0.1… Connected to localhost. Escape character is '^]'. 220 example.com.au ESMTP Postfix Firewalld规则: # firewall-cmd –list-all public (default, active) interfaces: eth0 sources: services: […]
我有一个戴尔sonicwall后面的Centos 7服务器我已经configuration了sonicwall允许某些服务,这似乎工作正常。 但是我不能telnet到一些端口。 我已经将Wireshark添加到Centos 7中,以validation所述端口上的数据包是否到达。 我可以远程login到端口22 ssh,并在内部和外部正常工作。 我的VNC服务也可以从另一台机器内部工作。 然而,端口80,443和我想要的服务端口2526不起作用。 stream量正在服务器,所以我知道Sonicwall是好的。 但是在Wireshark中,我把这条线弄红了 28632 1398.805571570 192.168.xx xxxx TCP 54 telnet > 26354 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0. 此条目将从我的服务器(通过NAT)返回到远程login的始发源。 所以握手,我猜为了连接。 我可以从我的CentOS 7服务器telnet到另一个networking,所以我知道我有连接了。 如果我运行ss -tnlp我只看到侦听SSH和VNC的端口。 我已经禁用了SELInux(不知道这是不是一个好主意!),我已经正确添加了端口的规则,我相信(因为我pipe理VNC服务器一个例如) 我使用通常的防火墙cmd命令来添加我的规则,我也使用了永久开关。 我甚至试过这个 firewall-cmd –direct –add-rule ipv4 filter INPUT 0 -p tcp –dport 2526 -j ACCEPT 为了完全避开那个端口的防火墙,但仍然没有喜悦。 我的centos 7服务器有3个网卡的设置,其中2个用于内部使用,即在10.xxxnetworking上。 我的默认网关有一个192.168.xxnetworking,就像我的默认界面一样。 内部地址是通过sonicwall NAT到一个IP,当然,我可以内部和外部平。 我的假设是networking入站是好的,但有些事情是不合时宜的。 […]
我知道已经有很多类似的问题,但是我已经读完了我能find的所有东西,而且在解决我的具体问题时仍然遇到了麻烦。 问题:我无法将数据传输到外部FTP服务器,但只能从位于DMZ内的服务器上运行的FTP客户端传输数据。 从FTP客户端传输工作正常从我的局域网内的任何机器。 我的环境简要概述: 我有一个Sonicwall SOHO路由器/防火墙,configuration/连接了以下接口: X0:局域网 X1:WAN(单个,来自ISP的静态IP) X2:DMZ(作为Web服务器的一台服务器,FTP服务器连接到此接口) 我对NAT策略很有信心 – 人们可以很好地连接到我的FTP服务器,并且可以从我的DMZ内部连接到其他FTP服务器 – 只有一台特定的服务器存在这个问题。 在将我的防火墙从Cisco SA520升级到Dell Sonicwall SOHO之前,连接用于正常工作。 我还会注意到,虽然我可以连接到其他FTP服务器,但这些服务器以被动模式连接,因此可能是主动模式连接的问题。 目前,问题服务器只接受来自我的IP的主动模式。 我目前的想法是,这是我的一个防火墙问题,但我不明白为什么。 我的防火墙规则很简单: LAN > WAN Allow all DMZ > WAN Allow all WAN > LAN Deny all WAN > DMZ Allow Server Services (HTTP, HTTPS, FTP (All) (TCP 20, 21, 49152 – 65535)) WAN > […]
我们有我们的网站托pipe在Windows Server 2012服务器。 一些登台站点也在不同端口号(如5015,5014)中的同一台服务器上托pipe。 现在我想要添加一个网站,并添加到端口8025,我能够通过其本地IP以及公共域名:端口号从服务器访问该网站,但即时通讯无法访问其他机器通过互联网。 我检查了防火墙,它已closures 即使我找不到为其他端口添加任何规则,我已经为端口号8025添加了一个入站规则,仍然无法访问它 我已经比较了8014和8025的所有IIS,应用程序池configuration,似乎没有什么不同 请让我知道这个问题的可能的解决scheme。
同时尝试诊断OpenVPN客户端configuration上的UDP多播问题,并在configuration文件中遇到了这个块: # Use the same setting as you are using on # the server. # On most systems, the VPN will not function # unless you partially or fully disable # the firewall for the TUN/TAP interface. ;dev tap dev tun UFW似乎没有安装(没有findufw命令)。 我还应该检查什么以确保满足这个条件? 我的路由器的NATconfiguration是否相关? 非常感谢,blz
我设置了一些主要端口 – 20,21,22,23,53,80,443,用于传入和传出TCP连接。 如果我想从我的服务器连接到另一个ftp服务器,它使用30000-60000范围内的随机UDP端口。 所以我决定做一个iptables规则: iptables -A INPUT -p udp -m multiport –dports 1:65535 -j ACCEPT 一般来说,离开这个规则是否安全? UDP端口是否有任何types的攻击? 谢谢。
我们想给我们的客户和同事一个单一的链接(subdomain.ourdomain.com)来访问一个共同的Web应用程序。 我在连接到局域网的机器上设置了一个networking服务器,可以使用它的IP从局域网内的任何工作站访问它。 然后我安装了合适的防火墙规则和端口转发防火墙(Zyxel USG20),一切正常,除了使用公共IP访问Web服务器。 他是configuration 所有工作站+服务器的第一个以太网适配器都在LAN上(全部连接到交换机,连接到防火墙的LAN1端口) Web服务器有两个networking适配器,第一个连接到LAN,第二个连接到防火墙的DMZ端口。 我build立了NAT规则,将stream量从防火墙的WAN端口redirect到Web服务器的第二个以太网接口(连接到防火墙的DMZ端口),以便HTTP 映射types:虚拟服务器| 界面:Wan1 | 原始IP:任何| 映射IP:| 协议:tcp | 原始端口:http | 映射端口:http 我的networking服务器可以使用我们的公共IP和subdomain.ourdomain.com,而不是使用我们的公共IP(也不使用域名地址)从局域网外访问。 然后我又增加了一条规则 映射types:虚拟服务器| 界面:Wan1 | 原始IP:| 映射IP:| 协议:tcp | 原始端口:http | 映射端口:http 这个,选中“启用NAT环回”选项。 但它也没有帮助,我一直有服务器超时页面。 我错过了什么? 提前致谢
我遇到以下问题: 我正在防火墙后面的CentOS 7上build立一个HAProxy负载平衡器。 HAProxy服务器上的防火墙以及外部防火墙都被configuration为可以访问必要的端口。 内部networking上的一切正常工作。 通过这个,我的意思是在另一台内部服务器上键入HAProxy服务器的IP将带你到正确的网站。 问题是试图从外部访问该网站不工作。 例如,inputdomainname.com首先通过防火墙,但没有被代理服务器正确redirect。 不工作 domainname.com —–> firewall —-> haproxyip —-> haproxy —–> site 工作(从内部networking上的其他服务器) haproxyip —-> haproxy —–>网站 这就是haproxy的configuration文件,如果感兴趣的话。 frontend main bind *:80 bind *:443 ssl crt /cerfilepath/cert.pem redirect scheme https if !{ ssl_fc } default backend app backend app balance roundrobin server app1 xxx.xx.xxx.xx:port server app2 xxx.xx.xxx.xy:port 通过研究发现,大多数HAProxy设置不在防火墙后面。 不幸的是,这不是我的情况。 […]
想对防火墙的不同方面进行testing。 例如,一个testing,将输出信息: 3/4层攻击 DNS放大攻击 SMURF攻击 ACK攻击 第7层攻击 端口阻塞… 将只是项目名称。 如果我只input网站的URL,是否有这样一个工具,可以提供我这样一个粒度反馈。 对于在这里find的参考不同types的攻击: https : //sucuri.net/website-firewall/ddos-protection这可能是一个像github的项目,所以不必在线。 我没有find的东西,并不意味着没有人。