我有一个Linux路由器,它通过dynamicIP通过PPPoE连接到互联网 我希望它不响应从外部(互联网)ping(或任何其他types的ICMP),但我想从内部(局域网)ping(和所有icmp,如traceroute,tcptraceroute,mtr等)并从服务器到外部目标工作,我该怎么办呢?
我正在尝试使用IPTablesconfiguration防火墙,防火墙位于LAN和Web服务器之间。 我想让局域网访问网站上的网站服务器。 但是,Web服务器不能启动与LAN的连接。 我正在使用以下规则,但我无法build立连接。 networking服务器:172.16.10.88局域网:192.168.0.0/16 iptables -A FORWARD -p tcp -s 192.168.0.0/16 -d 172.16.10.88 -m multiport – -dports 80,443 -m state –state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -s 172.16.10.88 -d 192.168.0.0./16 -m multiport –dports 80,443 -m state –state ESTABLISHED -j ACCEPT iptables -A FORWARD -j DROP 我怎样才能解决这个问题? 谢谢
我正在开发强制门户系统(现在),我想知道是否有任何方法来阻止透明代理设置上的HTTPSstream量。 下面是我所拥有的: GNU / Linux路由器(Netfilter),运行Squid v3.4.8,其接口具有以下configuration。 eth2(LAN): 192.168.0.0/24,172.16.255.1/27,10.255.255.0/24 eth1(WAN): 192.168.100.0/24 以下是我现在使用的防火墙规则,即使我使用这样的规则,对于特定的IP,它也不起作用: -A INPUT -i eth2 -p tcp -s 192.168.0.11 –dport 443 -j REJECT 我可能错过了一些重要的东西(对不起,如果我太盲目…)。 我只是不明白,为什么我不能只是拒绝访问目的地端口443,从我的networking的特定IP。 我正在使用PREROUTING规则,但所有这些规则都将目标路由到80(HTTP)到3128(Squid)。 *nat :PREROUTING ACCEPT [19:2473] :INPUT ACCEPT [13:2173] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] ######### SQUID (Transparent Proxy Rules) ######### -A PREROUTING -i eth2 -s 192.168.0.0/24 -p tcp –dport 80 […]
在我的服务器上,我有一个到eth0接口的默认路由。 它有公共的互联网地址,面向ISPnetworking。 我已经启用了数据包转发function,并且很less有私有的10.xxx地址的本地接口/网桥。 而且,所有打到ISPnetworking的包都被伪装了。 问题是:如果我理解正确,任何数据包到不存在的192.168.xx地址将通过公共服务器接口(上行链路)转发到我的ISP。 这是不希望的。 我该如何configurationlinux来防止通过公网接口转发任何带有私网地址的数据包? 我想只是添加一个单一的iptables规则是不够的,因为有多个标准的专用networking空间(10.xxx,192.16.xx,172.16.xx和其他人,还有ipv6地址)。 有没有任何iptables插件/系统的政策来完成? 我希望有一些系统策略将接口标记为面向Internet的上行链路。 推理:我的ISP不喜欢任何具有专用networking范围目的地的软件包。 我正在使用通过VPN访问我的工作的DNS服务器。 所以当VPN发生故障时,我的ISP会收到对私人networking地址的DNS请求,并locking整个互联网连接。 他们说这是为了安全(只是在某些病毒覆盖我的系统DNS到一个自定义的情况下)。
可能重复: 开源统一威胁pipe理软件选项 我想安装具有以下function的防火墙:反垃圾邮件,防病毒,Web过滤,Userwise访问,入侵防御等是任何开源产品)(即untangle / ipcop)任何其他解决scheme的上述实施,如果任何人可以帮助我这个。
在我们使用Windows Server的时候,Kerio Winroute防火墙发挥了最好的作用。 强大的防火墙。 负载平衡和故障切换function。 带宽限制器,限制每个主机。 问题是,有没有Kerio WinRoute防火墙的Linux等价物? 谢谢。
我今天检查了我们的防火墙日志,发现了上千条这样的消息 Jul 3 15:59:36 sg580 Pluto[295]: packet from 218.185.86.50:500: initial Main Mode message received on xxx.xxx.xxx.xxx:500 but no connection has been authorized Jul 3 15:59:44 sg580 Pluto[295]: packet from 218.185.86.50:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] Jul 3 15:59:44 sg580 Pluto[295]: packet from 218.185.86.50:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] Jul 3 15:59:44 sg580 Pluto[295]: packet from […]
我的一台PIX 501设备有一个电源插孔,对机箱的任何移动都非常敏感。 如果我轻轻推动PIX,电力stream被中断,PIX重新启动。 我记得读到这是PIX 501的常见问题,并想知道这是否是一个容易的事情来解决。 我希望听到处理了很多501的人,并可以提供关于修复这个特定型号的电源sockets的详细build议。
有没有人有从Cisco PIX迁移到所谓的非企业级防火墙/路由器/ VPN的经验? 我是一个非联网的专业人员(开发人员),这个专业人员(CCNA)只有730名,并且发现自己错过了使用家庭防火墙/路由器产品获得configuration的简单性。 环境是一个有远程办公室的小办公室。 据我所知,D-LINK DFL-CPG310将做我们需要的东西 : 站点到站点VPN(将远程办公室连接到本地办公室) DHCP服务器(与PIX不同,您不需要额外支付许可证费用) 将数据包路由出入接口(因此通过VPN连接到本地办公室的家庭用户可以看到远程办公室局域网上的资源)。 PIX不会这样做。 VPN服务器(Vista的支持将是一个不错的加) 内置DMZ支持。 基于Web的configuration界面(更喜欢没有命令行作为选项的方式,以保证所有事情都可以通过web进行configuration) 系统日志支持。 因此,我们可以将连续的日志stream转储到PC,直到我们需要硬盘驱动器空间并删除它们。 访问控制具有足够的function是有用的。 例如,我们可以阻止对站点的访问,或者完全由MAC地址阻止访问,而不需要编写像ifconfig这样的一行。 一个链接到用户手册的网站。 我们不需要的东西 : 一个串口接口 任何事情都以任何方式。 单独的VLAN。 我们都是一个大快乐的子网。 TFTP支持。 我们将通过浏览器上传configuration备份。 24×7技术支持。 当他们派人时,购买替代品会更便宜。 一个网站有几十个链接到几十个不相关的提示。 独立的安装,configuration,维护和升级指南,每一个都与中型小说一样长。 一个单独的命令参考比圣经更长。 我对任何其他产品都有成功的开放。
我不确定我是否使用了正确的术语。 在我工作的唯一的开放端口是端口80.我试图通过互联网广播,使用端口8080stream音乐。有没有办法让我的VPS连接到端口8080stream,然后让它redirectstream到80端口本身,所以我可以连接到它? 或者是我说的不可能?