我在OpenVZ容器内使用CentOS 6.4。 我试图configurationAPF 9.7-2允许入站SSH和HTTPstream量(仅)和出站HTTP和HTTPSstream量(如果其他出站工作不关心)。 我的conf.apf文件设置为默认值,但以下情况例外: IFACE_IN="venet0" IFACE_OUT="venet0" SET_MONOKERN="1" SYSCTL_CONNTRACK="131072" IG_TCP_CPORTS="22,80" LOG_DROP="1" (请注意,我没有启用输出过滤;表皮生长因子仍然等于0.) 当我启动APF时,我发现任何出站连接都被阻塞。 [root@beta ~]# wget http://www.google.com –2013-11-19 17:21:02– http://www.google.com/ Resolving www.google.com… 173.194.115.20, 173.194.115.16, 173.194.115.19, … Connecting to www.google.com|173.194.115.20|:80… 这并没有完成。 我可以看到stream量被入站规则阻塞:(我用1.2.3.4replace了我的服务器IP) [root@beta ~]# grep "173.194" /var/log/messages | tail Nov 19 17:21:02 beta kernel: ** IN_TCP DROP ** IN=venet0 OUT= MAC= SRC=173.194.115.20 DST=1.2.3.4 LEN=48 TOS=0x08 PREC=0x00 […]
我在我的networking服务器前面使用了一个反向代理。 在Web服务器上,我安装了fail2ban,并希望使用它来监视日志并阻止坏IP。 我正在使用http的realip模块的nginx。 但AFAIK fail2ban仍然会阻止直接(远程地址)IP。 我怎样才能使它阻止X -forwarded-For IP呢? 如果可能的话,我希望它阻止远程地址IP,如果X -forwarded-For头不存在。
在我们的防火墙日志中注意到,从我们的Web服务器每隔5分钟就会连续build立三个连接,并尝试发送一个数据包到目标端口43(whois端口),通过所有源端口循环(即59466,59467,59468,5分钟稍后的3个端口)到3个不同的IP地址…: 193.0.6.135,200.3.14.10,196.216.2.130 成熟,Lacnic和Afrinic 我知道所有3家公司都是互联网注册商,但是如何通过我们所有的源端口每5分钟循环发送一次数据包就显得有些奇怪。 它看起来像反向端口扫描给我。 这是正常的吗? 编辑: TCPDUMP输出,这个只有2分钟的时间。 注意到有一些补丁会在同一分钟内连续运行20次。 速度和频率各不相同,但没有超过5分钟的差距。 [user@xxxxxxx xxxxxxx]# tcpdump -v -s 5000 -i eth0 port 35921 or port 35920 or port 35919 or port 35916 or port 35917 or port 35918 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 5000 bytes 08:56:33.517976 IP (tos 0x0, ttl 64, id 8127, offset […]
我想通过pf防火墙同时限制FTP连接到我的FreeBSD服务器。 例如,只有10个同时连接可能来自一个源IP的端口20或21。 我使用这个规则: pass in quick proto tcp from any to em0 port {20, 21} keep state (max-src-conn 10) 问题在于,每次上传或下载都会在完成时产生状态为FIN_WAIT_2:FIN_WAIT_2的状态条目。 只有在达到tcp.finwait超时时才会删除此状态。 这个FIN_WAIT状态中有10个不接受服务器新的数据连接。 当您尝试使用单个ftplogin顺序地下载或上载多个文件时,这是一个问题。 有没有人有一个很好的解决这个问题?
我正在使用Vyatta远程访问VPN(PPTP)和NAT代理。 当pc-A和pc-B连接到VPN时,pc-A ipaddress是192.168.10.10,pc-B是192.168.10.11。 [pc-A:192.168.10.10]–internet(VPN)–[Vyatta]–internet(VPN)–[pc-B:192.168.10.11] pc-A可以从pc-B上看到(可以互相ping通)但是我不想连接pc-A和pc-B,因为安全原因,我该如何configuration? (防火墙?)
我运行了两台基于Xen / CentOS 6.5的虚拟机,这两台虚拟机都是由同一家公司托pipe的,但是在不同的物理位置连接到不同的networking(基本/ 24位W /单个网关.1)。 我在第一台主机上开发了一个iptables防火墙,其中一部分从各种保留networking(192.168.0.0/16,127.0.0.0/8等)logging和丢弃了stream量,包括在这个列表中的是224.0.0.0/4。 在第一个虚拟机上,我很less看到任何保留networking的stream量,并且可以安全地假设它是伪造的并且放心的。 但是,一旦我在第二个vm上安装了相同的一组iptables规则,它就开始每隔几分钟从0.0.0.0到224.0.0.1logging数据包。 Jan 6 21:44:43 server kernel: ipt (reserved): IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:25:90:2f:69:a8:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 tcpdump已经明确说明数据包实际上是IGMPv2组播数据包。 19:44:43.779680 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA)) 0.0.0.0 > all-systems.mcast.net: igmp query v2 IGMP的主机知识似乎是: […]
这是一个非常奇怪的问题,我希望有人可以帮忙。 我们运行10.6.8服务器来托pipe我们的内部维基。 我们在该机器上启用了防火墙,没有任何问题。 上个星期,一个用户无法进入维基。 在对他们的工作站进行故障排除时,我发现他们无法通过任何用户帐户(包括新的testing帐户)通过Safari访问wiki。 他们可以通过另一个浏览器(Chrome + FF)访问它。 他们也可以访问该服务器上的共享点。 我删除了一些Safari系统的首选项无济于事。 对于脚踢,我禁用了服务器上的防火墙,他们可以通过Safari访问wiki。 所以,我认为这是自适应防火墙。 我检查了AF黑名单文件,但她的机器不在上面。 尽pipe我把用户的机器列入了白名单,但是没有任何改变。 我完全禁用了自适应防火墙,没有任何改变。 我启用了拒绝数据包的日志logging,并在她的机器连接时观看。 四个港口被封锁,4097,2052,17500,5353。 我已经临时创build了一个FW规则来允许这些端口,没有改变。 然后,我尝试保持防火墙,但允许所有连接,她仍然无法从她的机器上从Safari访问维基。 我很难过 它似乎应该是自适应防火墙,但是当黑名单文件中没有任何内容并且AF被禁用时,这是没有意义的。 任何想法将不胜感激。 我意识到她现在可以使用Chrome或FF作为解决方法,但它应该是一个可以解决的问题。
有没有办法使用uPnp或其他东西来自动请求路由器/防火墙redirect到外部的数据到运行Ubuntu的机器? 这里的交易,我应该准备一定数量的机器,这将作为信息亭,他们将被派往海外; 那些收到他们的人应该只是插入交stream和局域网电缆,没有更多。 现在,我需要打开一些端口来控制这些机器(ssh),我不会在那里configuration他们的路由器。 谁来接通他们将是完全无能的,只想插上电源,做好准备和工作。 我也可以像这样重新构造这个问题:当我运行no-ip守护进程时,我想让机器回答,而不是路由器。 非常感谢您的耐心
我刚开始进入networking安全,防火墙等,请原谅我这个基本问题。 我查看了IPtables并获得了很好的结果(远不及成为专家),但是现在理解数据包stream,挂钩以及某种程度上的libnetfilter_queue库。 刚开始看snort,并认为我可以用iptables来做大部分的snort(最坏的情况是使用一些libnetfilter_queue C附加组件)。 我的观察是否正确?
我们的公司正在成为符合PCI规范的过程,其中一个要求是限制我们服务器的出站访问。 我们只有一个属于PCI范围的EC2实例,并且我想限制对此实例的出站Internet访问仅限于所需的服务。 有没有build立呢? VPC是最好的select吗? 非常感谢, 埃利