它会自动接受来自所有状态的数据包吗? 在那张纸上,有什么区别: iptables -A INPUT -p tcp –dport 22 -j ACCEPT 和 iptables -A INPUT -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT 什么是build议日常使用? 另外,我看到有些人使用“-p tcp -m tcp”符号,有些人只是把“-p tcp”。 在指定协议之后立即加上“-m tcp”是否正确? 这是我第一次configurationiptables,我想知道我所做的一切。
我有一个坐在8000端口上的WCF服务,现在几个月来一直没有任何问题。 当试图远程访问服务时,它今天停止工作(连接超时)。 我检查了以下内容: 该端口在路由器中转发 入站防火墙规则允许来自我的IP地址的连接 netstat -a -n显示 TCP 0.0.0.0:8000 0.0.0.0:0聆听 TCP [::]:8000 [::]:0聆听 我启用了日志丢弃的数据包 ,但是即使尝试连接到服务器,日志文件仍保持为空 netsh防火墙显示状态 当前在所有networking接口上打开的端口: 端口协议版本程序 ————————————————– —————– 8000 TCP任何(空) netsh防火墙显示configuration显示 域configuration文件的端口configuration: 端口协议模式通信方向名称 ————————————————– —————– 8000 TCP启用入站PnPService 我可以从服务器本地访问服务,但不能从networking外访问 我仍然可以通过远程桌面连接访问服务器 注意 :其他人可能在我不知情的情况下对服务器进行了更改,但我不知道要从上面检查什么,所以任何build议都会非常有帮助! 我真的很感激任何帮助或指导,请让我知道,如果我可以提供任何额外的细节。 谢谢
Vigor 2820Vn路由器(固件3.3.7.8)使用URL关键字filter阻止IP地址的URL。 filter本身工作正常,并根据关键字阻止URL,但是此规则也会阻止与规则中设置的关键字无关的IP地址。 以下是syslog在规则运行时所说的内容: Aug 24 14:13:12 Vigor: [CSM_UF][Block][Type=KW(G:O=0:3)][@S:R=2:3, 192.168.2.13:14293->http://www.skype.com/:80][HTTP][HLen=20, TLen=365, Flag=AP, Seq=2579681218, Ack=953919792, Win=16473] 这是正确的,因为URLfilter被设置为阻止包含skype地址。 以下是规则错误地阻止IP地址时的样子: Aug 22 18:48:34 Vigor: [CSM_UF][Block][Type=IP][@S:R=2:3, 192.168.2.18:49180->http://216.58.212.46/favicon.ico:80][HTTP][HLen=20, TLen=338, Flag=AP, Seq=3564157813, Ack=1077026064, Win=258] 这是我使用ping -a google.com的IP地址。 它与skype或其他任何其他关键字无关。 这是如何设置这个规则: 没有进一步的规则可以处理。 系统日志消息清楚地表明这个规则是阻止访问的规则( @S:R=2:3部分: filter set 2, rule 3 )。 这个规则应该如何修改,以便它不会阻止IP地址的URL,只是基于关键字阻止?
我有一个场景,我需要同步2个数据库。 1是MSSQL和其他MySQL。 我正在testing我们工作networking上的一些同步软件(DBBalance),并且一切正常。 我可以连接到源数据库(需要VPN)和目标数据库(无需VPN)并执行同步。 问题是,现在,我已经在连接到他们的networking的办公室安装了电脑,我不能通过软件(使用ODBC驱动程序3.51)连接到MySQL服务器。 我得到这个错误: 事情在我们的networking上工作正常,但是当我试图ping服务器(dedi33.cpt2.host-h.net)一旦连接到他们的networking,它超时多次100%的损失。 我让他们看看这个,他们解决了这个问题,所以我可以ping通服务器。 我只是不明白为什么我不能连接到主机,如果我可以ping服务器(我对networkingconfiguration知之甚less)。 我曾经想过在http://dba.stackexchange.com/上发布这个消息,但是由于在我们的networking上正常工作,我几乎是100%的networkingconfiguration问题。 如果你知道这可能是什么原因,请你在这个问题上提出一些看法。 非常感谢! PS:VPN数据库可以很好地连接,直到他们解决了ping问题。 现在这两个数据库都无法通过软件访问
我为我的创业公司设置了两个Ubuntu虚拟专用服务器。 “公共”服务器(我们称之为www.example.com )应包含公开开放的公司网站和受限但相对较不敏感的服务,如LDAP和邮件服务器。 “dev”服务器( dev.example.com )将是该公司的Fort Knox持有公司的源代码(GIT),工件(Artifactory)和开发者工具(Atlassian)。 访问www.example.com应该对所有人开放,而开发服务器应该是非常安全的,只有非常有限数量的授权开发人员才能访问,其他公众理想情况下甚至不应该猜测服务器是否存在。 这两个服务器将托pipe在一个托pipe公司(我们有完全的根访问权限)。 我打算使用相同的域名和虚拟主机来设置Web访问。 example.com将指向“公共”服务器。 安装在“公共”服务器上的nginx将具有www.example.com虚拟主机(正常服务)和dev.example.com虚拟主机, dev.example.com主机的所有请求都将被代理到运行另一个nginx的“dev”服务器。 “dev”服务器上的防火墙将被设置为拒绝来自“公共”服务器的HTTPS和SSH呼叫以外的所有传入stream量。 因此,不仅可以直接连接到在“开发”服务器上运行开发人员工具的nginx服务器,而且还需要先login到公用服务器,以便能够通过SSH进入“开发”服务器。 因此,一个潜在的黑客无法直接访问“开发”服务器,而无需首先进入公共服务器。 如果重要的话,服务器可能会运行Ubuntu 16.04(我们可以select14.04,16.04,18.04和其他Linux版本,但Ubuntu 16.04对我来说听起来OK)。 我既不是安全专家,也不是系统pipe理员。 我有两个问题。 1)这听起来像是一个安全的设置,确认是“最好的实践”,还是有更好(更简单或更安全)的方法来实现相同的目标? 2) [主要问题] 。 如何限制HTTPS访问,以便只有开发人员才能访问dev.example.com,而其他用户即使猜对了URL也不会看到这个虚拟主机? 到目前为止,我有两个想法。 需要SSH隧道。 nginx中的“公共”服务器上的dev.example.com虚拟主机将被设置为只接受来自“公共”服务器的IP地址本身的请求,因此开发人员将不得不build立到“公共”服务器以访问dev.example.com 。 使用像MyEnTunnel(Window)这样的工具,可以很容易地设置SSH隧道,以便在启动时自动build立。 然而,我所看到的一个很大的缺点是,每个开发者都必须定义"dev.example.com"是指主机文件中的localhost (或者还有其他方法吗?) 客户端证书。 在“公共”服务器上的nginx基本上需要客户端证书才能访问dev.example.com 。 每个开发者除了拥有通常的login名和密码之外,还将拥有自己的客户端证书来访问dev.example.com,以便访问开发人员工具。 但是我对客户端证书不太熟悉,不了解所有的影响。 我看到的一个缺点是,当未经授权的人尝试访问dev.example.com他/她可能会得到一个“客户端证书”错误,这将显示开发服务器在那里,而第一种方法,他们将无法连接。 你会推荐我什么? 这个想法是保持简单,便宜,同时尽可能安全,直到公司发展到能承担系统pipe理员和自己的数据中心的程度。
我们已经安装了Untangle,我们看到来自1个IP(客户端Windows 7)的许多广播。 几乎每分钟它都将广播到255.255.255.255端口0。 我想知道如何追溯造成这种行为的来源。 我已经尝试过与netstat,但它不是完全清楚如何使用它来获得导致此行为的过程或应用程序。 其他build议,欢迎。 我知道它是哪台PC,我没有看到任何恶意软件,应用程序或进程。 这不是关于这可能是危险的交通,但我只是想find来源,危险或不。 提前谢谢大家的帮助
我在我的服务器上运行一些Wordpress网站,他们永远被糟糕的机器人和蛮力企图蹂躏。 我知道过去曾经使用过Sucuri WAF,但是我很好奇,可以用AWS来设置类似的东西。 因此,对mysite.com的请求将通过防火墙进行路由,防火墙将检查请求,然后将合法stream量转发到我的服务器,或者拒绝具有可疑请求的stream量。 我曾看过AWS WAF,但不明白吗? 这似乎是他们的CDN不可分割的一部分,我不想使用它。 谢谢
当我们在远程机器上configuration和启动防火墙时,我们有非常奇怪的问题 当我们运行VIA ssh的以下命令(来自bash脚本)时, 我们有Redhat 7机器 systemctl启动firewalld.service 脚本示例: ssh $USER@$IP systemctl enable firewalld.service ssh $USER@$IP systemctl start firewalld.service 那么我们从命令中得到关于超时的消息 – systemctl start firewalld.service 但是当我们在机器上运行 – systemctl start firewalld.service手册 然后我们访问来运行它 那么为什么威盛SSH我们不能运行命令,但本地我们可以运行它? 这里有什么区别?
我慢慢地在服务器上为自己的企业环境进行自我教育(在IT职业生涯早期) 我一直在玩Windows防火墙,并为Windows防火墙实施了一些额外的入站规则。 但是我知道很多公司也使用专用的硬件防火墙。 有人能给我一些关于一些事情的信息吗? 1)在服务器上使用Windows防火墙对公司来说足够好吗? 2)你将如何整合专用的防火墙和Windows防火墙,所以你有一个额外的安全层3)任何额外的规则,应该被实施,不是默认的; 我个人创build入站规则,以停止UDP和TCP(同一端口)上的TeamViewer 在虚拟机上完成所有这一切之前,你都大发雷霆
我有一台运行着XenServer 7的服务器。 目前,XenServer只有一个虚拟机(FW01),它是我的防火墙解决scheme和路由器,我想通过ETH0将XenServer连接到广域网,并将在ETH0上接收到的所有stream量直接转发到FW01虚拟机,而无需XenServer本身查看收到的软件包,以便该虚拟机可以处理所有安全性问题,而不会影响XenServer本身。 边注。 FW01 VM也是XenServer本身的防火墙,这就是为什么XenServer将在ETH0上接收的所有软件包直接转发到FW01 VM非常重要。 还是他们像一个正式的XenServer的方式归档呢?