这是很长一段时间我configuration我的防火墙,现在我看到可能有一个错误,inheritance人的input部分iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED fail2ban-SSH tcp — anywhere anywhere tcp dpt:ssh ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED DROP tcp — anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE DROP tcp — anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW DROP tcp — anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG […]
使用新的资源pipe理器创build虚拟机时,可以看到默认的networking安全组限制了每个对所有端口(pipe理端口,SSH / RDP除外)的传入访问,这是合理的。 但是如果我在向网关请求UPnP的VM上安装一些软件呢? NetworkSecurityGroup默认允许传入stream量吗? 我是否需要在客人中安装防火墙来防止这种情况发生?
参考问题之一“客户端需要在域控制器上访问哪些端口才能login?” 我有一个alignment的问题正在面临。 请参阅前面为客户端计算机打开的以下端口作为参考。 TCP: 53 88 135 139 389 80 445 464 636 3268 3269 1024 to 65535 UDP: 88 123 137 138 500 4500 464 389 当我们打开这些端口时,我们面临的问题是从客户端的DNS查找不起作用。 例如。 我们限制只允许在端口之上的域控制器。 然后,从客户端计算机上执行nslookup,我们无法得到如www.bing.com , www.google.com , www.badiu.com等某些网站地址的结果。 这意味着无法parsing外部url。 如果您有其他问题,请告诉我。
我有点困惑。 我知道iptables-save命令将帮助将iptables备份到文件中。 但是这个命令是否会重新加载iptableconfiguration。 对不起,我没有服务器来检查这一点,我无法看到任何在线参考。
我们的服务器正在进行UDP-flood欺骗IP攻击。 我想,我们可以用iptables解决这个问题,我想用iptables做一个规则。 当一个ip试图发送一个udp数据包时,iptables将会阻塞这个。 在第一个包之后,持续10秒。 其他数据包将被接受。 我怎样才能使这与iptables?
我试图在networking卡(Wifi和各种以太网)位于不同虚拟机的环境中在虚拟机中设置防火墙,以便防火墙虚拟机位于NetVM和我的主机系统之间。 问题是进入防火墙的数据包以NetVM IP为源地址,所以我不能使用iptables 白名单从恶意恶意源丢弃数据包。 我build议使用端口镜像来复制数据包,但我想直接转发数据包,并且没有NetVM中的内核来处理它们。 我必须在这两个select之间做出决定: 在每台计算机上使用“iptables”规则来过滤传入stream量,并使用防火墙来处理内部scheme,因为我无法控制和维护所有连接的计算机 过滤防火墙虚拟机中的所有stream量。 如果我必须build立iptables并在每台NetVM上安装Psad,Snort和其他工具,防火墙就会失去意义。 如果数据包在内核处理它们之前被转发,如果堆栈代码中的Bug被利用,唯一被攻破的机器是防火墙,它与系统保持“隔离”,并且我只需要检查一个系统,大多数备份/维护/重新安装只有一个虚拟机在错误的情况下, NetVMs和防火墙虚拟机可以使用一个最小的内核为他们的特定范围。 这也与我无法控制一台或多台NetVM的情况有关,我不能指望这台机器是干净的,或者做了适当的过滤。 硬件设备如何处理这种情况?
我试图阻止除美国和加拿大以外的所有stream量。 我添加了所有美国和加拿大的IP到ipset地理块,当我尝试这个命令。 我收到一个错误。 iptables -A INPUT -m set –set !geoblock src -j DROP -bash: !geoblock: event not found 但是当我运行这个命令 ipset list 我得到所有的IP,所以没有任何错误的名称和ipset。 我在7.3.1611上使用iptables v1.4.21
前言 我是一个贸易开发者,所以networking安全并不是我的职责。 但是,解决问题是我的职责,我有一个需要帮助的问题。 另外,请原谅我,如果我得到任何技术术语不正确。 我可以谈好发展,我不讲networking安全好。 当前解决scheme 我的公司使用运行Windows Server 2012 R2 Datacenter的Azure虚拟机。 服务器运行SQL Server和Oracle的实例(不确定版本号)。 目前,如果我想要连接到这两个数据库实例之一,我需要将RDP放入Windows服务器,打开SSMS或SQL Developer ,并连接到本地主机。 期望的解决scheme 我想能够通过安装在本地机器上的数据库客户端连接到数据库服务器。 我不想要RDP,因为这意味着我们必须共享一个RDP插槽。 注意事项 我认为我们使用RDP解决scheme的原因是,build立服务器的人不知道如何configuration防火墙来让我们做我们需要做的事情。 服务器没有完全closuresInternet。 显然,RDP端口是开放的,我们也可以通过Visual Studio发布Web应用程序。 它确实有面向互联网的网站。 这些似乎是很多伟大的攻击媒介。 题 让SQL Server和Oracle端口对互联网开放有多糟糕? 它们比RDP和HTTP更易受到攻击吗? 我们应该如何configuration服务器以允许开发人员通过本地机器连接到数据库? VPN是一个很好的解决scheme吗? 我讨厌走这条路,因为我曾与之合作过的每一个VPN客户端都是痛苦的。 而且我讨厌给我的开发者造成不必要的痛苦。 我们可以configuration服务器的防火墙白名单入站连接从办公室的IP移植数据库? 这将排除在家工作的人连接到服务器,但他们总是可以VPN到办公室networking(在这一点上必要的邪恶)。
我在Sonicwall TZ105和ZyWall USG20W之间configuration了静态IPsec隧道。 问题是,当Sonicwall运行死对等检测时,VPN隧道每分钟都会closures,然后重新build立隧道。 这是从Sonicwall上的日志。 我已经解决这个问题了两天了,并尝试了从固件升级到不同的encryption等等
将SonicWALLs固件从5.8升级到5.9.1.7并尝试login后,我被告知密码不够安全,必须更改才能继续。 问题是每次我尝试设置一个新的密码告诉我,它不符合标准。 然而,我使用的密码符合这些标准,但仍然被拒绝,所以我目前被locking在SonicWall之外 有没有办法避开这个工厂重置?