服务器 Gind.cn

Articles of 防火墙

阻止所有直接的IP请求,但允许域请求

什么是最好的Linux选项阻止所有直接的IP请求到公共接口IP,但同时允许某些fqdn(基于域的)请求? 例: 服务器的公共IP为166.137.1.1,www.mywebsite.com DNS指向该服务器和IP。 以下是一些情况: 请求166.137.1.1 – BLOCK(在所有端口上) 请求www.mywebsite.com – 允许(只有端口80和443) 请求www.maliciouswebsite.com哪些点不知道我的服务器的IP为166.137.1.1 – BLOCK(在所有端口上) 示例3给恶意用户提供了例如欺骗web服务器的环境variables(CGI范围)的能力,例如HTTP_HOST

在Debian 9 Stretch中是否有相当于“iptables-services”的软件包?

我想通过iptables-save而不是ufw或firewalld保存好的,老式的iptables命令来pipe理我的firewalld 。 对于RHEL来说,有一个叫做iptables-services简单包,就是这样做的。 (见这里 )对Debian来说,似乎没有一个。 我只能将iptables-restore </etc/default/iptables放到/etc/rc.local然后把它放在那里,但我想要一个更清洁的设置。 如果它可以作为一个systemctl单位它会是理想的。

远程桌面到NAT防火墙后面的计算机可能吗?

我住在大学住房,但我在异地工作。 我希望能够在白天远程访问我的计算机,但大学的路由器内置了防火墙,或者阻止绝对所有传入的连接。 我还需要提及的是,我不能将程序安装到我的工作计算机上,但它有远程桌面,这就是为什么我需要使用它而不是VNC或其他东西。 任何帮助是极大的赞赏!

需要帮助build立一个小型networking

请参考图片 http://oi51.tinypic.com/1zd6r9h.jpg 我们即将为我们的实验室build立一个新的networking,以下是我们正在考虑的服务器 文件服务器(Samba) SVN服务器 Web服务器(运行Apache和Tomcat) 开发工作站。 我们购买了一台“Yamaha rtx1200”路由器,它将作为防火墙/ VPN工作。我们需要通过互联网(通过VPN)访问SVN和Samba服务器。 我们正考虑在一台物理服务器上托pipeSamba服务器,SVN服务器和Web服务器(Apache,Tomcat)。 1.我们需要一些数据保护(对于SVN仓库和Samba),但不想为此分开备份服务器。我想知道一个支持RAID的服务器是否足够完成这个任务(涉及的configuration较less)? 2.我们通过HTTP访问SVN如何限制networking外的人访问SVN? 我们应该通过HTTPS使用SVN并阻止HTTPS到外部? 任何提示和build议? 提前致谢。

转换思科PIX到思科ASA

我正要将PIX 515E,6.3(4)configuration迁移到Cisco ASA。 我没有在巴黎的PIX,我有一个记事本文件的configuration。 我不知道思科ASA模型是否将在下周交付。 我以前没有这样做过,而且公司正在赶时间。 在开始之前我应该​​关注哪些问题?

全天候端口扫描“受害者” – 我应该如何担心? (CentOS的)

除了作为技术支持专家的日常工作之外,我还运营一个共享的networking托pipe环境,并为此运行多个服务器。 我运行一个LAMP环境。 从今天凌晨4点开始,我的防火墙已经提醒我在我的服务器上执行了许多端口扫描。 当他们没有停下来的时候,我放下了允许的端口扫描数量,然后把IP地址直接阻塞了一段时间 – 我又增加了时间限制(从3600秒到6900秒)。 扫描只是继续 – 我的防火墙一直阻止IP地址。 现在,我开始考虑阻塞3或4个不同的B类子网。 我还记得我已经安装了Telnet,因为它没有做任何有用的事情,所以我继续去除它。 在大约一周前,我已经安装了所有的安全更新,尽pipe我有一些软件包可以提供一些非安全的更新。 我有多担心,不pipe这个人是否要用这个尝试的攻击来跟踪这些端口扫描? 你会推荐我直接阻止这些B类子网吗​​? 编辑:当然,我应该提到,我现在正密切关注我的日志。

通过udp协议连接到互联网

如果防火墙阻止所有HTTPstream量,但udp协议打开连接到互联网是否可能? 因为Skype使用udp协议连接,用户可以使用Skype。 但技术上有可能作弊,并使用代理通过udp协议连接到networking?

iptables第一场比赛最后一场比赛

iptables是否有能力指定规则的第一个或最后一个匹配? 如果这样怎么样? 其次,当指定规则时,是否存在隐式删除,或者下面仅提供该function? iptables –policy INPUT DROP iptables –policy OUTPUT DROP iptables –policy FORWARD DROP

iptables:如何创build一个不适用于其他网站的单个网站的规则?

虚拟专用服务器主机10个网站。 1用iptables做的防火墙 如果这10个网站中的一个受到来自一个IP地址的太多ping请求的攻击,那么我怎样才能限制或放弃这个网站,而不会为其他9个网站放弃? 我是否为每个网站创build防火墙? 如果是这样,怎么样? 还是改变我的规则更好? 如果是这样,怎么样? 谢谢。 原来的问题是张贴在这里https://serverfault.com/questions/373259/iptables-whats-best-practice-when-therere-several-websites-but-you-want-to-us但它太模糊。 让我知道是否需要更多的信息。

在GNU / Linux中阻塞分配给lo接口的公共IP上的端口

我已经按照这里给出的答案设置我的Ubuntu服务器作为路由器和networking服务器。 我面对的接口eth0 ISP有一个私人的172.16.xx / 30 ip和我的lo接口有一个公共IP在上面链接的问题的答案中提到。 设置工作正常。 我遇到过的唯一障碍是我无法find一种方法来阻止在lo接口上公开的IP所暴露的端口。 我试着做iptables -A INPUT -i eth0 -j DROP ,并且我的服务器失去了与公共networking(互联网)的连接。 我无法ping任何公共ips。 我想要的是一种方法来阻止在公共接口上公开的ip暴露的端口。 而且我还需要iptables的规则,可以暴露端口像80或openvpn端口到公共networking。
Intereting Posts
要求对IRC连接进行身份validation(InspIRCd) nginx将不会执行PHP代码,当redirect像SEO一样的URL时 迁移到AWS的SSL证书 如何编写“List-Unsubscribe”的正则expression式? 为什么单个驱动器比RAID5中的4个驱动器要快得多呢? 群组托pipe服务帐户可以授予诸如“以批处理作业login”的权限吗? 我可以在普通EC2上使用新的免费SSL / TLS AWS证书,而不使用ELB或Beanstalk吗? Solaris OS最新版本为i386 NetworkManager向上运行两次脚本 Nginx为来自iPad的客户端证书提供“不受支持的证书目的”,但同样的证书在桌面浏览器上正常工作吗? 如何删除SWAP分区,并在cli中添加回根分区 用于Java部署的私有云解决scheme 从代理访问时,gzip,deflate不显示 多个VLAN在同一个子网中 为Icinga2创build自定义插件