我正在debugging通过远程服务的访问。 我的Debian VPS。 使用IPTables并允许向外端口21通信。 远程服务是一个FTP服务器(我可以从我自己的PC访问,并且不被远程服务阻止)。 我也检查过Debian可以访问FTP服务器(它可以)。 我想知道,Debian可能会使用什么来阻止IP? IPTables显示没有阻塞的IP地址。 我也有dos-deflate安装,虽然我已经为iptables设置了。 任何想法可能会阻止连接? PS:当尝试使用WGET访问远程FTP(wget与另一个用于testing的FTP协同工作)时,我得到“拒绝连接”。
我的公司只是用新的(Zyxel ZyWALL USG 300)更换了旧的防火墙(Zyxel ZyWALL 70)。 似乎一切正常,但有时候,在非定期的时间内,连接似乎下降了。 Web导航停止,ftp上传被中断,电子邮件检查失败。 编辑 :中断持续10-15秒。 一切工作,如果我们插入旧的防火墙,所以我们试图了解什么可能会导致这个问题。 连接不是通过防火墙拨号,而是通过带有外部调制解调器的以太网(与以前的configuration保持不变)。 根据日志,WAN接口从不closures。 我们如何追查这个问题? 如果您需要任何进一步的信息,请发表评论这个问题。
换句话说就是命令: unset interface ethernet1/1 ip manageable多余? 我曾经想过,为了安全起见,Netscreens可能只对mgt端口启用pipe理是有意义的,但在Netscreen手册中我找不到任何这方面的参考资料。 实际上,我甚至找不到Juniper Netscreen Screen OS CLI指南中提到的“manageable”命令: http : //www.juniper.net/techpubs/software/screenos/screenos5x/screenos5xidp1/CLI_5.0.0-IDP1 .PDF 我正在看的configuration文件将有一个像这样的命令: set interface ethernet1/1 manage-ip XXX.XXX.XXX.XXX 接着 unset interface ethernet1/1 ip manageable 我知道第一个命令会在该接口上设置pipe理端口的IP地址,但是我不确定下一个命令是否真的有必要,因为我后来看到,networkingpipe理员做了如下的操作: set interface ethernet1/1 manage ping set interface ethernet1/1 manage ssh set interface ethernet1/1 manage snmp set interface ethernet1/1 manage ssl …我不知道为什么他们会这么做,如果pipe理该接口默认启用。 但是,如果默认情况下没有启用,为什么还要用“unset”命令呢? 如果这取决于Netscreen设备,请让我知道,所以我可以更具体。
我需要在PIX 515上打开一个端口。 请有人解释我应该input什么,包括命令。 为了解释的目的(所以我可以理解),我已经给出了不同的元素以下ips 我的networking上工作站将联系的目标IP:XXX.XXX.XXX.XXX 我的networking上的工作站YYY.YYY.YYY.YYY PIX IP:ZZZ.ZZZ.ZZZ.ZZZ 端口= PPPPP 我已经通过超级terminallogin到PIX。 谢谢你的帮助。
我已经被分配了维护和configuration我的组织的防火墙和网关路由器的任务,我正在寻找一些关于如何pipe理静态路由表的build议。 (作为上下文,请记住A)我是一个程序员,而不是系统pipe理员,B)我对维护这个基础设施非常陌生,C)我没有兴趣捍卫我公司的决定我负责它; 我不确定我是否同意,但这是我的工作) 以下是目前的设置,据我所知: 一个OpenBSD的防火墙,使用pf作为防火墙规则, block in log all使用默认的block in log all , pass out和一组允许在VLAN之间通信的规则(在这里,我简单地说,这是基本的,不是我的问题的重点。 从外部IPredirect到内部主机使用pf.conf中的rdr pass条目或静态路由来完成。 我应该什么时候使用其中一个? ? pf.conf和rc.local在VCS中进行pipe理,并通过远程脚本(实质上)将其推送到防火墙: scp confs / pf.conf fw:/etc/pf.conf scp confs / rc.local fw:/etc/rc.local ssh fw“/ sbin / pfctl -f /etc/pf.conf” 这适用于防火墙规则更改; 那些立即应用,但真正的伎俩是与静态路由。 它们在rc.local中被设置为一系列route add语句: … route add 192.0.32.136/32 192.0.32.11 route add 192.0.32.137/32 10.10.3.13 … 这里的问题是,当我更改VCS中的路由集时,我不能只重新运行rc.local来刷新路由表。 我想创build一个可以存储在VCS中的脚本,它将在启动时运行以设置静态路由,并且每当路由改变时都可以运行,以便每次都以相同的方式设置它们。 这可能吗? 如果是这样,怎么样?
首先,对我的英语感到抱歉。 在两台特定服务器之间的SSH连接中,我们遇到了一个很奇怪的问题。 假设我们有X1,X2和Y服务器。 如果X1和X2位于同一个防火墙之后,安装了相同的操作系统,对于可能与情况相关的所有事情,使用相同的configuration。 我们没有任何规则来允许或阻止服务器Y上的IPtables上的某些IP地址或IP地址,但无论如何… X1和X2服务器使用相同的IP地址与外部通信。 问题:服务器X1无法通过SSH连接到服务器Y. 它在ping上得到响应,但没有别的,其他任何端口上的服务都不能成功连接。 X2或任何其他服务器成功连接到X1,并且X1成功连接到除Y1以外的任何其他服务器。 [root@X1]# ssh -v root@Y1 OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug1: Connecting to Y1 [Y1] port 22. ** It stalls here ** 我们已经重启了服务器和防火墙。 我们已经做了一个testing,试图连接X1到Y使用不同的端口,而不是configuration该端口,而不是被阻止,我们得到连接被拒绝。 如果我们将Y1 SSH守护进程configuration为接受该端口上的连接,并再次执行相同的testing,则会使用该新configuration的端口进行停止。 任何帮助,将不胜感激。 亚历克斯·特谢拉。
我正在创build一些防火墙规则来阻止我们最近在ESX服务器主机上看到的一些SSH暴力攻击。 我已经从CLI中尝试了以下规则来首先阻止所有SSH通信,然后允许我感兴趣的两个范围: esxcfg-firewall –ipruleAdd 0.0.0.0/0,22,tcp,REJECT,"Block_SSH" esxcfg-firewall –ipruleAdd 11.130.0.0/16,22,tcp,ACCEPT,"Allow_PUBLIC_SSH" esxcfg-firewall –ipruleAdd 10.130.0.0/16,22,tcp,ACCEPT,"Allow_PRIVATE_SSH" 但是,这些规则不能按预期工作。 我知道,如果你不先input阻止规则,那么允许规则将不会被处理。 现在我们遇到了第一个进入的允许规则被忽略的问题,这样阻塞规则就起作用了,最后input的允许规则起作用了。 我很好奇,如果有人对esxcfg-firewall –ipruleAdd命令如何允许一些不同范围的IP有任何意见? 我很茫然,难以find有关这方面的例子或进一步的文档。 在此先感谢您的帮助。
我正在将服务器机房迁移到数据中心,现在是审查当前安全区域设置的好时机。我们正在使用Vsphere 4 Standard和Cisco ASA 5510防火墙。 目前,防火墙是所有DMZ,LAN,WAN和后端区域的单一连接点,因此所有区域之间的所有stream量都会穿越此100 Mb / s防火墙设备。 这工作了一段时间,但是我们部署的新服务将需要一些区域之间的快速连接,即数据库查询和文件传输,因此100Mb / s将成为瓶颈。 为DMZ提供的可能解决scheme之一: – 为每个DMZ主机使用单独的VNIC,一个用于客户从WAN访问的外部连接,一个用于连接到后端/ LAN区域。 – 因此,VNIC1连接到防火墙,用于过滤外部不可信的连接。然而,VNIC2通过安装防火墙,并且所有的过滤都在iptables级别或Windows 2008防火墙上完成。这解决了防火墙强加DMZ和后端之间带宽限制的问题。 然而,这种devise去除了我们以前使用过的一个设备的集中安全模型,并且创build了与服务器绑定的分散的iptables设置的pipe理难题。 应该有更好的方法去做,你会有什么build议? 我有一种感觉,Vsphere Enterprise Plus中的function可能对此有所帮助,例如分布式交换机和vShield区域。 我们计划在明年拿到它,但即使这有助于我们仍然需要一些解决scheme。 我将不胜感激任何build议或阅读材料, 非常感谢 谢尔盖
我有一个基本的防火墙设置在一个漂亮的IOSforms IPv6 access list exterior-in6 evaluate exterior-reflect sequence 1 permit ipv6 any host [my external address] sequence 10 permit tcp any host [my internal address] eq 22 sequence 11 permit icmp any any sequence 800 permit udp any any range 6881 6889 sequence 900 permit tcp any any range 6881 6889 sequence 901 deny ipv6 […]
我有几台Draytek Vigor 2820路由器,并且最近使用另一台设备。 我已经设置在防火墙filter来阻止它很好的山洪。 我遇到的问题是我有一个本地PC上的网站,我通过VPN从远程PC访问,因为我设置了filter,不再允许我访问这个网站。 它只在最近购买的路由器上这样做。 旧的2820n路由器似乎没有这个问题。 如果我在URL内容filterconfiguration文件中取消勾选阻止对IP地址的networking访问,它会让我访问网站,但我不想这样做。 我觉得它是固件,并想知道是否有其他人有这个问题?