我为游戏服务器托pipe设置了一个专用服务器,它还将托pipe其他一些服务器应用程序(如Web服务器)。 专用服务器总共有四个IP地址,假设它使用以下内容: 192.0.2.0 ; 192.0.2.1 ; 192.0.2.2 ; 192.0.2.3 为了安全起见,我希望每个IP专用于某个服务/一组服务(并使出站端口完全打开),例如: 192.0.2.0 (游戏服务器); 192.0.2.1 (Teamspeak服务器); 192.0.2.2 (Web服务器); 192.0.2.3 (系统[SSH等]) 事件的顺序应该是所有端口都被阻塞 ,然后某些端口被解除阻塞。 我看了这里 ,我有一个粗略的命令列表变成一个bash脚本并设置为在启动时执行: iptables -A OUTPUT -o -j DROP iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT iptables -I INPUT -i eth0 -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -I OUTPUT -p tcp -s 192.0.2.3 […]
我在我的CentOS 7的Firewalld内创build了一个自定义区域。这个自定义区域还没有规则。 我想这样做:首先添加一个规则,允许所有出站stream量和丢弃所有入站stream量。 之后,我想让特定的端口/协议inboung,增加例外的firewalld。 我怎么做? 在我的iptables中,我使用了这个: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT … … 我如何将这些规则迁移到下面的防火墙示例中,其中XXX将是“添加规则”,“增加规则”或您认为正确的东西: firewall-cmd –permanent –zone = custom_zone XXX
我们的云服务要求客户端的服务器允许特定的IP地址在他们的防火墙上列入白名单。 如果IP没有列入白名单,最终用户将遇到问题,但最终用户通常不知道IP地址是否被列入白名单,因此他们必须检查他们的networkingpipe理员,这可能需要几小时不是几天。 我想知道是否有一种方法可以检查某个特定的IP地址是否实际上已被列入白名单,而无需使用networkingpipe理员。
相关主题 : SMTP服务器工作,但telnet到端口25不 无法连接到SMTP服务器 问题 我有一个服务器运行Debian 3.2.65-1,我有一些问题,以连接其他服务器通过SMTP发送电子邮件在基于Drupal的Web应用程序。 我做的第一件事是用telnet将服务器夹住 ,结果是下面的消息。 命令行语法: telnet smtp.mydomain.com 587 结果: Trying XXX.XXX.XX.XXX… telnet: Unable to connect to remote host: Connection timed out 谷歌search后阅读一些关于不同的解决scheme的post: 我可以从其他不同的机器连接到SMTP服务器。 所以我放弃了SMTP服务器作为问题的根源。 1上的声明使我认为这是一个防火墙问题。 然后,我检查了iptables 。 命令行语法: iptables -L 结果: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain […]
我的本地服务器设置为OpenVPN服务器和客户端。 它的客户端连接到另一个远程OpenVPN服务器(我也pipe理)。 两台服务器都运行Ubuntu Linux。 然后,将笔记本电脑(运行Ubuntu Linux)连接到本地OpenVPN服务器。 拓扑如下所示: remote-server: ww.xx.yy.zz VPN server: 10.8.2.1 LAN: 192.168.1.0/24 local-server: aa.bb.cc.dd VPN client: 10.8.2.2 VPN server: 10.6.0.1 LAN: 192.168.3.0/24 laptop: VPN client: 10.6.0.10 从local-server ,我可以ping 10.8.2.1 ,也可以ping 192.168.1.0/24 。 另外,从remote-serve ,我可以ping 10.8.2.2 ,也可以ping 192.168.3.0/24 。 从laptop ,我可以ping 10.8.2.2 ,也可以ping 192.168.3.0/24 。 但是我不能ping通10.8.2.1或192.168.1.0/24任何东西。 它只是挂起。 我已经尝试暂时将两台服务器上的所有iptables策略设置为ACCEPT ,但没有运气。 会发生什么事?
简介 :在“networkingpath”上ping主机时, TTL不会递减 我的笔记本电脑( 10.10.13.10 )通过OpenVPN连接到一个服务器( 10.10.13.1 ),该服务器拥有多个networking接口。 其中之一是10.10.10.254 ,即通往10.10.10.0/24networking的网关。 10.10.10.11是该networking上的一台主机。 从笔记本电脑到10.10.10.11的path是 >tracert -d 10.10.10.11 Tracing route to 10.10.10.11 over a maximum of 30 hops 1 34 ms 32 ms 32 ms 10.10.13.1 2 83 ms 34 ms 35 ms 10.10.10.11 我现在正在查看TTL的时候,从我的笔记本电脑到远程主机ping各种接口。 >ping 10.10.13.10 Reply from 10.10.13.10: bytes=32 time<1ms TTL=128 >ping 10.10.13.1 Reply from 10.10.13.1: […]
有没有办法打开谷歌云计算引擎上运行的MySQL数据库(而不是云SQL)和本地计算机上运行的MySQL工作台之间的端口3306连接? 我可以通过在防火墙规则下的所有networking(0.0.0.0/0)上打开端口3306来连接它。 但是,我想限制它只连接到我的笔记本电脑,而不是所有的networking。 我有一个dynamic的IP地址,但我不介意每次连接时都创build防火墙规则。 请指教。
当我们从puttyinput命令时,它会突然挂起5-10秒或更长的时间,但命令稍后会发送到terminal。 所以似乎是经常发生的延迟。 但是,我也可能是错的。 在排除故障时,我们的观察是:从机架中的服务器连接到我们的服务器(因为它们在相同的交换机侧/同一机架中)没有问题。 但是当我们尝试从过去的交换机端连接的时候就会出现这个问题。 我认为这可能是一个切换问题。 到目前为止,我们还没有完全控制自己是否在切换问题。 但是谁能告诉我们什么问题可以基于症状。 问题的发生频率是随机的,没有固定的时间间隔。 而且,当连接到使用相同交换机的外部networking时,机架中的其他服务器也没有问题。
我有兴趣设置防火墙。 这将包括您通常的NAT,以及传入连接的端口转发。 不过,我希望传出连接使用主机名的白名单。 我也希望同一台设备充当我的电脑使用的DNS服务器,所以当电脑试图连接时,它总是知道白名单上任何主机名的最新IP。 这可以是推荐的Cisco IOS,也可以是Illumos或Linux服务器。 我在想,使用服务器会给我更多的灵活性,但我愿意提供build议。 这是我想要发生的事情:(从我的networking上的用户传出的连接) 用户的PC为给定站点执行DNS查询(即serverfault.com) 防火墙服务器将其与主机名的白名单进行比较,如果允许,则将得到的IP地址传回PC。 如果允许DNS查找,那么IP访问列表将立即用来自DNS的最新结果更新。 (合理到期) 如果一台PC发起一个任意IP地址的连接,而这个IP地址没有在任何被批准的DNS响应中列出,那么可以拒绝任意的数据包。 (可选,但更可取)嗅探TCP连接以validationHTTP或HTTPS连接的主机名。 通过这种方式,我们可以阻止访问可能存在于共享的白名单IP上的非白名单站点。 我认为我可以用ipfilter来完成项目1-3,并结合自定义的DNS服务器来处理白名单,并触发ipfilter的添加。 这听起来是否合理,还是会有不可避免的问题与ipfilter没有立即认识到变化? 我很确定ipfilter将与Linux / Illumos NAT一起工作。 Linux或Illumos的应用程序是否已经实现了DNS触发的IP白名单? (阻止我重新发明车轮) 我还没有听说过运行DNS服务器的IOS。 在Cisco IOS中有解决办法吗? 有一个明显的解决scheme,我应该知道,或者这只是一个不寻常的防火墙设置?
今天我的IP地址改变了。 由于这个我的Ubuntu服务器已经locking了我。 当我尝试通过SSH访问服务器时,出现以下错误: ssh_exchange_identification: read: Connection reset by peer 我认为这是由于我的新IP地址没有出现在hosts.allow列表中,因此被阻止。 我如何重新获得访问权限? 这是一个远程的亚马逊EC2服务器。 将重新启动帮助?