试图禁用用户的networking访问权限: [root@notebook ~]# iptables -I OUTPUT -m owner –uid-owner tempuser -j DROP [root@notebook ~]# ip6tables -I OUTPUT -m owner –uid-owner tempuser -j DROP Could not open socket to kernel: Address family not supported by protocol [root@notebook ~]# [root@notebook ~]# iptables -I INPUT -m owner –uid-owner tempuser -j DROP iptables: Invalid argument. Run `dmesg' for more […]
我正在使用puppetlabs防火墙模块,并且遇到了为简单的Web主机设置iptables的麻烦。 我遵循本指南并希望设置其他规则。 https://sysadmincasts.com/episodes/18-managing-iptables-with-puppet 例如,我已经添加了规则来允许使用git和mysql端口传出stream量: firewall { '200 allow outgoing mysql': chain => 'OUTPUT', state => ['NEW'], proto => 'tcp', dport => '3306', action => 'accept', } firewall { '200 allow outgoing git': chain => 'OUTPUT', state => ['NEW'], dport => '9418', proto => 'tcp', action => 'accept', } 并在iptables看,我可以看到以下规则: root@app01:~/geppetto# iptables -L -n Chain INPUT […]
我已经知道如何使用iptables设置防火墙,但在IT安全部门访问后,他们说我需要过滤OUTPUT ,但是对我来说,这是没有意义的,我真的可以find一个场景,我需要做的是。 所以,这是我的第一个问题: 我真的需要过滤OUTPUT ? 我的OUTPUT默认接受所有,没有规则。 这是一个安全漏洞? 他们还说,我有规则,代表安全违规,我不同意这一点。 以这个FORWARD为例: -P FORWARD DROP -A FORWARD -m state –state ESTABLISHED -j ACCEPT -A FORWARD -s XX.XX.XX.XX/24 -d XX.XX.XX.XX/32 -p tcp –dport 80 -j ACCEPT 他们表示接受ESTABLISHED而没有指定source和destination并且作为第一条规则是安全漏洞 。 真? 这是另一个安全漏洞吗? ACCEPT ESTABLISHED而不指定source和destination是不好的做法?
为了防止端口转发和双重NAT的需要,我打算将调制解调器置于网桥模式。 有没有任何副作用或问题可能来调制解调器桥接模式,以便更容易获得内部服务?
一个EC2实例在VPC中的公共子网中运行Amazon Linux。 以下是安全组的出站规则: ALLOW TCP on port 80 to 0.0.0.0/0 ALLOW TCP on port 443 to 0.0.0.0/0 ALLOW ICMP to 0.0.0.0/0 首先我SSH到实例。 然后,我试图向外部互联网提出一个简单的请求: [ec2-user@nat1 ~]$ curl -v wikipedia.org/ * Trying 208.80.154.224… * Trying 2620:0:861:ed1a::1… * Immediate connect fail for 2620:0:861:ed1a::1: Network is unreachable 请注意,DNS正在由我自己的VPC内的AWS Route 53 dns服务器解决,因此不能certificate外部连接。 我看到Trying 208.80.154.224…没有任何关于失败的细节 – 有什么办法可以在那里获得更多信息? 下一步看起来像是将这个地址转换成IPv6的格式不正确。 这是一个线索吗? 或者只是IPv4失败时的自动追索? 最终的错误“networking无法访问”似乎可能是指IPv6networking的整体故障 […]
我已经build立了一个AWS RDS实例。 我使用“端点”作为主机名来build立通过MySQL工作台的连接。 但连接失败。 我坐在一个公司的防火墙后面,按照在线工具,端口3306,我用来连接的端口是closures的。 这可以成为我无法连接的原因吗?
我有一个非常简单的网关,运行一个最小的Linux,在局域网上用作一个带有NAT和DHCP的IP路由器,在广域网上有一个静态IP。 从LAN侧的网关路由器转到一个大型交换机,从中可以获得大约200个用户的访问权(DHCP将它们分配给NAT地址)。 在局域网上的这200个主机中,有一个(称为氩),我想从局域网和广域网中的一个固定的静态IP地址访问。 假设我的NAT是192.168.1.0/24,我的网关上的LAN地址是192.168.1.1,Boron是局域网上的主机,IP是192.168.1.2,Carbon是WAN上的主机,IP是1.1.1.1。 说我拥有IP 10.10.10.10。 我想把10.10.10.10分配给Argon,并且能够发送和接收来自Boron(在192.168.1.2)和Carbon(在1.1.1.1)的TCP和UDPstream量,其中Boron和Carbon都将发送消息到10.10.10.10的IP地址到达氩气。 我不认为我的路由器有能力运行DNS或VPN,所以我想避免这些路线作为解决scheme,如果可能的话。 但是,如果我所处的限制使问题无法解决,我宁愿将DNS设置为一个解决scheme,而不是VPN,所以如果有人有这个问题的DNS解决scheme(这不是dynamic的DNS),我会欣赏那些解决scheme也。 道歉,如果这个问题是基本的,或不是关键; 我绝对是一个networking新手。 感谢您的帮助。
我正尝试设置远程桌面访问几台计算机。 我创build了以下自定义服务: 然后,我添加了以下VIP对不可信接口的条目: 然后我从不信任到信任创build了以下策略: 但是,我无法连接到电脑。 我究竟做错了什么? 我错过了一个步骤?
对不起我的英语不好。 我有一些麻烦了解是否应该通过input,输出或两者打开端口。 例如,让我们把基本的HTTP端口80.build立一个标准的客户端。 如果我想要访问Internet,我想我应该在客户端的INPUT AND OUTPUT打开端口80。 是对的吗? 这就是为什么我认为: 客户端将在端口80上发送HTTP GET,因此端口80输出必须打开。 服务器将响应并发送端口80上的页面,所以客户端必须打开端口80input。 这同样适用于服务器,它将在端口80上接收请求并在端口80上发送响应,因此HTTP服务器必须在INPUT和OUPUT上打开端口80。 我理解得好吗?
有两个域:“dom1”和“dom2”。 “dom1”是信任域。 “dom2”是受信任的域名。 也就是说,域“dom1”信任域“dom2”是一种单向信任。 join域“dom2”并使用“dom2”域中的帐户login的服务器可以访问join“dom1”域的服务器上的文件共享。 这里没有问题。 但是,在join到“dom1”域(服务器名称: myserver.dom1.com )的服务器上,使用“dom1”域中的帐户login(使用dom1\myuserondom1login到服务器),则无法运行使用“以其他用户身份运行”并在“dom2”域中使用用户帐户的应用程序(例如:使用诸如dom2\myuserondom2的帐户) 试图这样做时,显示下面的错误: 目前没有可用于login请求的login服务器 在myserver.dom1.com ,如果我执行nslookup dom2.com它会正确返回名称服务器。 在myserver.dom1.com ,我们无法将dom2\myuserondom2添加到任何本地组。