过去几个小时我一直在努力做这个工作,但是还没有到来。 我有一个Windows Server 2008和一个设置本地安全策略防火墙,但“没有”入站规则(还)。 我的域名如下所示: Domain Profile: Inbound = block(default), Outbound = Allow(Default) Private Profile: Inbound = block(default), Outbound = Allow(Default) Private Profile: Inbound = block(default), Outbound = Allow(Default) 几乎默认。 现在我想完成的是阻止除端口80,443,53和其他几个端口之外的所有端口。 在iptables(linux)上,只需要为端口设置ALLOWinput规则,最后使用DROP规则来阻止所有事情。 现在Linux所做的更喜欢DROP的ALLOW规则,而且从我所了解的情况来看,windows并没有这个设置。 那么有没有办法模仿这个function?
UFW规则的组合会拒绝所有出站连接,除了安装Ubuntu安全更新所需的那些外。
我使用iptables多年,因为这是一个简单的解决scheme,没有任何魔法。 但是现在我正在为自己构build一个路由器,我发现Shorewall提供了许多有用的function。 是否有可能在同一时间使用iptables和Shorewall? 我知道Shorewall只是iptables的前端。 但是我不知道是否会引起冲突。 此外,我需要阻止大量的地址,所以ipset是完美的解决scheme。 使用所有这三个防火墙是安全的吗?
我真的从来没有Windows防火墙的问题,但是今天在新的安装我试图打开端口110,但我不能。 我的防火墙规则是: printscreen telnet myip 110 Connecting To myip…Could not open connection to the host, on port 110: Connect failed 如果我将“远程端口”更改为“任何”,一切工作正常。
我在我的CentOS机器上很困扰我的postfix / smtpconfiguration。 我设置一个邮件dns mail.domain.tld,在postfix main.conf文件中configuration,并通过连接到服务器本地进行testing $ telent mail.domain.tld 25 这给了我一个回应,可以从邮件服务器自己发送电子邮件。 现在,我想在我的电子邮件客户端中使用邮件服务器,但是我无法获得与服务器的连接,如果我从本地桌面testingtelnet连接,它已被服务器拒绝。 我知道这应该是像防火墙,有iptables运行,但我添加端口被接受,我添加+保存+重新启动iptables,但没有端口25或587(也configuration从后缀master.conf)不会从外部工作服务器。 (telnet 587也不在本地服务器上工作)。 # lsof -ni tcp:25 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME master 27179 root 12u IPv4 52473467 0t0 TCP *:smtp (LISTEN) master 27179 root 13u IPv6 52473469 0t0 TCP *:smtp (LISTEN) # netstat -an | grep LIST … […]
背景:我的公司正处于重大networking改进的边缘,我们将通过无线电桥将我们的networking扩展到远程办公室。 防火墙将处理: 3个关键任务networking 3个非关键任务networking 3任务关键的voip中继 4万链接 防火墙解决scheme将是Pfsense。 问:为了实现高可用性,我不能决定是否更好的pfsense鲤鱼 ( https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP) )或虚拟化 (使用pipe理程序HA多主机,实时迁移等)。 哪个解决scheme将更加稳固和可扩展? (我读鲤鱼有一些限制) 考虑到我们有紧迫的预算限制,所以解决scheme必须最小化成本。 预先感谢您的好意
我使用nginx和fastcgi运行服务器。 我正在使用TCP套接字的fastcgi而不是Unix套接字,因为我已经读过,这个规模更好。 fastcgi服务器在fastcgi://127.0.0.1:9000上运行。 我试图找出我需要添加到iptables允许stream量通过什么规则。 我已经想清楚了这一点: -A INPUT -p tcp -m tcp -d 127.0.0.1 –dport 8999 -m state –state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp -s 127.0.0.1 –sport 8999 -m state –state NEW,ESTABLISHED -j ACCEPT 但是我在猜测,我也应该为INPUT规则指定一个源端口和源IP,为OUTPUT规则指定一个目标端口和目标IP(为了安全起见)。 那正确的价值是什么? 我希望我的问题是有道理的。
这似乎与基本的“DROP”iptables规则,出站尝试仍然会等待其超时的持续时间。 例如,如果我阻塞一个IP地址出站,然后尝试通过telnet连接到它,它将等待,直到超时被击中。 是否可以指定连接必须立即被拒绝和/或closures? 例如,如果我有: target prot opt source destination DROP tcp — 0.0.0.0/0 208.79.143.151 tcp dpt:443 然后,如果我运行: # telnet 208.79.143.151 443 Trying 208.79.143.151… 它只会挂起,直到最终超出请求。 有没有办法让Linux更突然失败出站连接(在你不能修改应用程序的情况下)? 对于那些想了解更多信息的人来说,这是一个很好的讨论。
我有一个透明的鱿鱼代理,我用来过滤networkingstream量的广告,运作良好,但我想有绕过代理的select,以及有时我需要广告(因为有时黑名单已经结束-热心)。 理想情况下,这可以通过让squid监听两个不同的端口来完成,并允许客户端手动连接到第二个端口,如果他们想要未经过滤的stream量。 是否有可能做到这一点,而不要求在任何端口的身份validation? 目前我有一个防火墙设置,只允许来自鱿鱼代理的出站stream量 – 我可以build立第二个鱿鱼服务器,并允许来自两个stream量,但我宁愿configuration我现有的设置,如果可能的话。 编辑:这是运行在PFsense作为一个networking范围的filter,只是鱿鱼,没有squidgaurd
我在我的Ubuntu服务器14.04上有以下规则: #!/bin/sh # Flushing all rules iptables -F iptables -X # Setting default filter policy iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Allow unlimited traffic on loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Allow incoming SSH iptables -A INPUT -p […]