介绍 在我的数据库服务器(CentOS 7)上,我想允许从特定的Web前端访问port 3306 (MySQL)(在我的例子中是10.10.40.6和10.10.40.7 )。 最重要的是,我想允许从所有主机访问port 22 (SSH)。 我通过编辑/etc/firewalld/zones/的XML区域文件来pipe理我的configuration,因此我可以轻松地将它们分发到不同的系统。 组态 这是我的区域configuration: <?xml version="1.0" encoding="utf-8"?> <zone> <short>DB Host</short> <description>Communication to SSH and MySQL.</description> <interface name="eth0"/> <rule family="ipv4"> <port port="22" protocol="tcp"/> <accept/> </rule> <rule family="ipv4"> <source address="10.10.40.6,10.10.40.7"/> <port port="3306" protocol="tcp"/> <accept/> </rule> </zone> 问题 当我从我的web前端扫描机器时,我可以看到port 3306是打开的,但是port 22仍然是closures的: Starting Nmap 6.40 ( http://nmap.org ) at 2015-05-05 16:21 […]
我试图用运行Sophos UTM 9的Linux机器(Debian)分配stream量优先级。我可以看到(并且已经读取)我可以保证一个服务(在这个例子中是一个特定的TCP端口)带宽量,但是这个会保留任何保留的上行链路带宽,无所事事,甚至在上行链路没有被利用的情况下,使得所有其他的运行速度也慢得多。 我以为我可以做到这一点,创build一个单一的带宽池规则,然后添加不同的服务作为stream量select器,但似乎没有任何方式分配带宽池中的stream量select器的优先级。 我只是希望有一些东西能够使服务x的stream量超过服务y或z的stream量。 如果链接已满,请在进一步查看之前排队服务x的stream量。 一个人怎么做?
我有一个通过NAT访问Internet的Linux计算机局域网。 网关运行限制性防火墙。 我有ICMP回应请求和答复允许通过网关上的防火墙,所以我可以从LAN计算机ping任何外部主机,但mtr和traceroute到外部主机挂起在网关跳。 我应该有哪些额外的防火墙规则,这些工具可以正常工作?
我有一台Glassfish v2.1应用服务器(OpenEsb发行版),运行在一个非常严格的防火墙后面。 有时会出现一个底部框架,试图连接到这个地址: http ://glassfishesb.org/isvc/GFMOTD ?[…]这似乎是来自OpenESB的“每日消息”服务。 防火墙不允许这种连接,所以框架只显示消息“连接已经超时,glassfishesb.org上的服务器需要很长时间才能响应”。 还有一个问题可能与此有关,那就是当Glassfish服务器运行了一天左右,pipe理控制台就根本不会显示。 login屏幕的作品,但pipe理页面似乎永远加载。 如何防止Glassfish实例尝试连接到外部服务器?
我有一个安全服务器从我的连接从互联网。 这工作正常,接受当我启用“直接连接到桌面”。 我在这发现了以下声明: 如果绕过安全连接,则客户端必须通过RDP(端口3389)与桌面虚拟机build立直接RDP通信。 这是否意味着我要打开3389(RDP)到互联网,如果我想使用直接连接? 如果我禁用直接连接来使我的安全服务器工作,我必须在我的连接服务器上禁用它。 这是我的理解,这意味着如果我重新启动我的连接服务器,所有的View客户端断开连接。 有没有一种方法可以禁用“直接连接”的安全服务器,而使其从LAN访问? 蒂亚。
我正在从一个基本干净的安装openSuse 11.1框。 我试图做一个SVN出口到http上的框(通过Apache)。 我们的SVN服务器运行在networking上的8080端口上,运行良好(可以通过我的windows系统和我的windows系统上的Ubuntu虚拟机访问)。 Suse框可以很好的ping通SVN服务器,可以通过80端口访问,但是在8080端口上不能通过HTTP访问SVN。而在同一台服务器上运行8080的web页面的基本wget 。 我假设有一些networking或防火墙configuration我缺less,但我不熟悉这些* nix知道从哪里开始。 有任何想法吗? 编辑:我从yast2检查,防火墙甚至没有打开… 更新:运行tcpdump,而我尝试wget端口8080上的网站,我得到以下内容: 13:51:55.486329 IP mysusebox.56489 > mysvnserver.http-alt: S 1456704340:1456704340(0) win 5840 <mss 1460,sackOK,timestamp 42587871 0,nop,wscale 6> 这是一秒之后或尝试wget后列表中唯一的项目。 wget最终失败,出现“连接超时” 更新:解决。 结果发现两者之间有一个硬件防火墙。 谢谢,用tcpdump学了一些新东西!
我在Windows Server 2008 R2上运行一个网站。 查看IIS日志,我注意到有一些IP地址反复请求某些URL(例如/mysql/phpmyadmin/main.php,/phpadmin/main.php),因为该网站是完全不存在的服务于ASP.NET。 他们显然在捕捞已知的漏洞。 我的问题是,有没有防火墙或其他工具(Windows内置或商业),允许我阻止多次请求某些URL的IP地址?
我有一个思科asa5520透明模式。 该接口与某些Windows机器位于同一个子网中,这些机器正在生成大量填满日志的广播stream量。 有没有办法让它不logging它阻止这些数据包? 它的一堆这些消息:“通过设备数据包从pipe理专用networking被拒绝:udp src …” 即时通讯也看到一些这样的消息队列要求放弃日志logging。 我试图只是在pipe理界面上的规则,但显然这是不允许的。 它看起来像把syslogfilter变成错误可能会解决这两个问题,但我会忽略任何潜在的救命信息,忽略信息位?
我知道直接的答案是没有100%可靠的方法。 但是我想创build一个问题,详细说明不同的可能性,实施难度和成功率。 我想从简单的软件IP /请求速度分析到高端复杂的软/硬件工具,例如neural network。 目的是预测和防止虚假的请求,并试图抓取服务。 非常感谢。
我使用PRIVOXY作为Fedora Core 11盒子上的透明代理。 机器有一个接口(eth0),这里是networking的configuration: 10.0.1.1 – router.foobar.com(连接到ISP)10.0.1.2 – proxy.foobar.com(代理)10.0.1.199 – DHCP服务器 我已经在DHCP中设置默认网关选项为10.0.1.2,所以所有stream向0.0.0.0/0的stream量都应该通过它(和10.0.1.1)通过互联网。 这是我的问题….如何确保进出networking的stream量遵循正确的path,不会产生奇怪的路由问题。 在使用代理服务器时,我看到了一些延迟,但是当我通过更改默认网关向networking发送“直接镜头”时,我看不到任何延迟。 这是我目前的iptables conf文件: # Generated by iptables-save v1.4.3.1 on Fri Jul 30 17:02:45 2010 *nat :PREROUTING ACCEPT [1565:151406] :POSTROUTING ACCEPT [1467:94514] :OUTPUT ACCEPT [768:48101] -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j REDIRECT –to-ports 8080 COMMIT # Completed on […]