我最近试图在我的一个FreeBSD服务器上设置jail,并且在尝试通过FTP下载FreeBSD软件包时遇到了奇怪的错误。 我在PF防火墙中有这些规则,允许在主机上下载软件包,它们工作的很好: ext_if = "bge0" # Allow downloads pass out log on $ext_if proto tcp to any port {20, 21, 22, 80, 443} # Special exception for FTP. pass out log on $ext_if proto tcp to any port > 49151 keep state 但是当我尝试从Jail内部安装软件包时,FTP连接就超时了。 我得到的错误消息是这样的: %pkg_add -vr bash [snipped FTP connection setup] >>> CWD pub/FreeBSD/ports/amd64/packages-8.1-release/Latest <<< […]
我正在寻找数据中心需要Web应用程序的不同解决scheme。 以下是我的要求。 我首先想要一个解决scheme,它可以在一个盒子里提供,尽可能简单 边缘防火墙(因为我们只有Web应用程序,需要防火墙连接到世界没有传统的防火墙像思科asa) 负载平衡器 可以在世界,dmz和内部之间创buildDMZ和防火墙stream量 可以处理SSL Web应用程序防火墙(符合PCI-Dss) 反向代理 VPN(SSL) – 这只是我们进入networking的一个点,所以需要通过VPN完全访问 我们的数据中心将有两台冗余的机器供上述解决scheme,然后是应用服务器,如Web,应用程序和数据库服务器。 没有路由器,没有其他防火墙。 我知道有一些公司提供负载平衡器,防火墙,VPN解决scheme,但有没有提供单一解决scheme? 如果已经使用过你的经验如何?
我有一台Suse11.2机器,具有以下服务:Oracle数据库XE Jboss + Tomcat6.0 我需要将oracle默认的dbms_xdb httpport更改为9080,所以我可以使用tomcat @ 8080端口。 由于我正在开发这个应用程序,我已经做了很多使用localhost:8080的testing,并通过本地主机:1521访问数据库,并正常工作。 但是当我需要访问这个IP,它不响应:像192.168.1.4:8080和:1521它显示我在浏览器中,当我试图连接的oracle,它不能连接服务器….但我不能理解为什么它连接在9080端口(oracle dbms http) 我做的事情: 1在yast2处停止防火墙,防止它自动启动 2运行“/etc/init.d/SuSEfirewall2_setup stop” 回复:“closures防火墙…完成” 3列表iptables规则: ================================================== ======开始链接INPUT(策略ACCEPT)目标protselect源目的地 链FORWARD(政策接受)目标保护select源的目的地 链OUTPUT(策略ACCEPT)目标人select源目的地======================================= =================结束 但它一直阻止其他端口除了9080,icmp …有没有人有什么想法发生:? 在此先感谢,安德烈。
我们之前用SMTP端口25(smtp)有问题 – 有些电脑通过那个端口发送垃圾邮件。 所以我们封锁了这个,只允许我们需要的传出的smtp服务器。 Howerver,我读了有587端口(SMTP邮件提交),例如,由Gmail使用 – 我解除了一些常见的端口像HTTP,HTTPS,FTP,SSH等 – 是否可以安全地解锁587端口到任何目的地IP地址? 垃圾邮件可以通过该端口发送吗?
我很快就要处于一种需要更新防火墙的情况。 如何更新思科ASA访问列表? 例如,如果我从下面开始: access-list outside_in extended ip deny any any access-list outside_in extended tcp deny any any access-list outside_in extended udp deny any any access-list outside_in extended icmp deny any any (有点苛刻,我知道,但忍受着我,出于好奇,有没有更容易的办法来否定一切?) 接着 access-group outside_in in interface DMZ 那么我该如何更新访问列表来打开端口80? 没有重写整个访问列表。 我不能只添加一个规则,因为数据包将被以前的规则拒绝。 所以,我猜我在问什么,如何添加一个规则到访问列表的开始? 谢谢!
假设您使用ASA防火墙给了您现有的networking。 networking可以工作,但是你不确定别的什么。 对于您所知道的,防火墙可能完全不正确的configuration,实际上“内部”和“内部”实际上是在外部。 我的问题是:什么是命令来盘点现有的ASA防火墙设置? 只有CLI访问权限,我怎么知道: 什么接口可用 接口的名称 接口附加的安全级别 连接到接口的访问列表,包括规则和指导 我知道如何设置这些东西( interface ,名称, security-level和access-list / access-group ),但我不知道如何给出一个现有的系统。 在相关说明中,还有什么我应该担心的检查,以确保networking不是开放的? 谢谢!
我想知道我必须做什么才能使以下情况成为可能: _____________ __________________ | | | | | Network A | | Network B | | | | ___________ | | ———-====== Network C | | | | | |___________| | |_____________| |__________________| 也就是说,我想通过networkingB的networking和防火墙将networkingC中的stream量通过networkingA传送到networkingA. 我有 – networkingA上的Cisco ASA-5510 – networkingB上的未知设置 – networkingC上尽可能小的单元的要求 我目前的想法是首先使用ASA-5505,并将其用作使用EZVPN的硬件VPN客户端,但是我希望有一个更加坚固耐用的产品,因为该产品可以在+ 40°C的环境下工作。 顺便说一下:不要介意我疯狂的ASCII艺术技能;)
我有两个在4.7的FreeBSD服务器。 这些是两个较旧的服务器,当我到达这里时已经configuration和设置。 既然原来的pipe理员已经不在了,我已经开始在这些服务器上多找点东西了,我发现没有安装防火墙。 他们运行的服务(如ssh和sendmail)在其各自的configuration中configuration得足够好,可以按照我们的需求过滤stream量。 但是我可以做一个端口扫描和一个20个开放端口列表的事实popup是关于。 所以我准备了ipfw的一些防火墙规则,并去服务器上安装它们,发现服务器对IPFW一无所知(/ sbin / ipfw中的二进制文件不存在)。 此外,我用来加载内核模块(kldload)的命令也不存在。 我已经查看了端口,没有端口来安装它。 在FreeBSD的pipe理员指南里说IPFW是在4.x版本中join的。 任何人都知道为什么我没有它或我怎么能得到它? PF是在ipfw之前存在的防火墙程序吗?
几个星期前,我们安装了新的MS Forefront防火墙服务器。 从那天起我们在networking上遇到了麻烦。 例如:用户正试图访问www.google.com – >他的浏览器打开www.facebook.com 用户正在尝试去msdn.microsoft.com – >他的浏览器试图打开msdn.facebook.com / …这种情况不规律。 它不容易重现。 我们的一些用户报告说,当他们尝试访问SSL受保护的网站(https://)时,会发生这种错误。 我们已经试图分析最前沿的防火墙和我们的MS DNS服务器的日志文件。 但没有运气… 你有什么主意吗?
我有一台运行KVM的Linux机器,有几个虚拟机,都有公共IP:s。 目前,我已经把所有的东西都通过一个桥(br0),这很好。 我还需要主机上的防火墙来限制对主机和虚拟机的访问:我想我们正在谈论路由和iptables? 我不是经验丰富的iptables /桥接/networking的东西,需要一个正确的方向点。 任何build议? 主机:Ubuntu服务器11.04,虚拟机:混合,Linux和Windows