我正在尝试使用Shorewall的REDIRECT动作拦截目的地为防火墙的端口514(TCP和UDP)到端口5000(也包括TCP和UDP)的stream量,同时也允许直接stream量到后端端口。 (原因并不重要,但简短的版本是我们将日志聚合器作为非特权用户运行,但守护进程不支持删除root权限,因此它不能监听特权端口;同时我们有很多旧的syslog实现,不允许发送到其他端口。) 除防火墙本身之外,还定义了3个区域:loc(10.0.0.0/8),dmz(172.16.0.0/16)和net(其他)。 后者主要是为了拒绝/放弃“不可信”networking的一切。 相关规则如下所示: #ACTION SOURCE DEST PROTO DEST # PORT SECTION NEW REDIRECT:info loc 5000 tcp,udp 514 REDIRECT:info dmz 5000 tcp,udp 514 ACCEPT:info loc $FW tcp,udp 5000 ACCEPT:info dmz $FW tcp,udp 5000 到现在为止还挺好。 (还有其他规则,例如允许SSH和HTTP连接,但是这些是唯一与端口514或5000相关的规则。)默认策略是针对loc和dmz的REJECT ,针对networking的DROP 。 问题是,我有许多主机被拒绝的实例,而同一networking中的相邻主机正在被redirect和接受。 例如,172.16.0.194正在尽可能快地将消息填充到聚合器中,但172.16.0.166却使每个数据包都被拒绝。 同样,10.140.88.150被接受,而10.192.253.4被拒绝。 以下是后者对的示例系统日志消息: Shorewall:loc_dnat:REDIRECT:IN=eth0 OUT= MAC=/*anon*/:08:00 SRC=10.140.88.150 DST=10.1.25.14 LEN=134 TOS=0x00 PREC=0x00 TTL=253 ID=9092 PROTO=UDP SPT=62162 DPT=514 […]
我卡在这里,我有一个Cradlepoint CBA750B IP连接模式连接到我的Sonicwall NSA220 x1。 在Sonicwall后面,我在局域网上有一个networking服务器。 我有X1设置为使用DHCP来获得广域网IP,并得到了静态IP提供我的Verizon一切顺利。 我按照向导设置了一个具有自定义组的外向服务器(我的局域网上的一台服务器提供了HTTP / IMAP / SMTP)。 电子邮件工作良好的外部,我可以收发所有罚款和丹迪。 虽然我无法从外部网站获取网页。 我从来没有过去“等待xxxx …”。 我的Apache日志显示正常预期的GET请求,但浏览器从不连接。 我知道Cradlepoint设置正确,因为如果我直接连接到它,我可以从外部位置拉起网页就好了。 我的Sonicwall日志只显示和传入的NAT映射,但没有返回。 任何想法可能导致这一点? 谢谢,Nat
我一直试图用两天的时间让ClearOS为我的networking做一个代理设置。 这是我需要做的: 我需要阻止所有传出stream量,不pipe它是什么,所有端口和HTTPS 那么只允许两个网站,公司和谷歌。 那么我需要允许公司的两个IP无限制地访问所有的东西。 最后,防火墙必须允许所有信息亭连接的stream量进入我们的软件。 我目前的设置很简单: ISP调制解调器 – >网关服务器(ClearOS) – >办公室路由器 非常简单的基本设置。 我有像这样的互联网configurationClearOS。 eth0是来自ISP的连接, eth1是连接到路由器的WAN端口的连接。 路由器设置简单,静态IP设置为192.168.9.180 ,网关设置为192.168.9.190 。 我知道它连接,因为我可以从任何连接到路由器192.168.9.190和192.168.9.200 PC上ping。 我也可以从networking内部访问ClearOS面板。 所以我知道路由器连接到网关并以这种方式工作。 但是,当我尝试浏览任何网站,包括我的允许列表中的网站,它只是超时。 我早在两天前就已经开始工作了,但是它是零星的。 有时候,它会告诉我说ClearOS阻止我访问Facebook的页面。 有时候会超时。 然而,这是非常缓慢的。 所以我尝试连接交换机,而不是路由器,连接笔记本电脑到交换机,手动设置IP为相同的路由器: 192.168.9.180 同样,我可以访问服务器的IP,但不能在外部访问。 我试过DHCP,但它永远不会得到一个IP。 所以我去静态,而至less允许我的networking级别访问。 我准备好把它叫做退出,然后用IPTables和Squid安装Ubuntu,我只是觉得在将来如果发生变化,configuration会更容易,因为我并不总是在这里configuration它。 我已经包含了我当前ClearOSconfiguration的屏幕截图。
我不记得看到这个政策,因为在我看来,就像“所有港口开放”那样的事情。 它被设置为默认“tcp:0(任何) – udp:0(任何)”如果我禁用这个,甚至networkingstream量将无法正常工作,虽然我特别是有HTTP代理策略启用…这是正常的? 不正常? 最佳做法是什么? 我正在处理试图findcrpytolocker病毒,导致我这…
我对运行10.8的Mac OS X Server的结果感到困惑。 我有一个应用程序在端口8000上运行Web服务器,我希望只能在本地主机上看到它。 这看起来非常适合GUI OS X防火墙,但打开它(并search其有限的选项)后,我仍然能够从远程计算机连接到端口8000。 打开防火墙后,我会自动为AFP,SSH,远程pipe理和屏幕共享打开端口,这些都不会影响8000 AFAIK。 我在这里错过了什么? 这是内置防火墙的工作,还是应该看看pf或ipfw?
从Windows Server 2003开始,我每天凌晨4点将文件(〜50MB)上传到云中的托pipe空间。 我通过调用“计划任务”运行的batch file中的“ftp -s:”执行此操作。 我在下面的文章中做了Edwardbuild议的内容,并在上传时观看了进程监视器: 启用Windows防火墙时FTP传输速度非常慢 打开Windows防火墙时,开始会涉及alg.exe和ftp.exe,并执行相当多的握手操作。 然后最后只有ftp.exe才能发送,并且每个事件(Process Monitor中的每一行)每秒出现一次,大小为65535.上载大约需要10分钟。 当Windows防火墙closures时,alg.exe永远不会显示。 ftp.exe似乎开始发送几乎立即后,前3个事件/行左右。 然后进程监视器中的事件/行显示速度非常快,也有65535的大小。上传大约需要1分20秒。 也想到我会补充说,我尝试使用Windows资源pipe理器中的复制/粘贴相同的事情。 防火墙开启或closures时,上传大约需要10分钟。 进程监视器中的事件/行显示速度相当快,但它们都只有4096的大小。 任何想法如何获得与Windows防火墙更快的上传速度?
ufw insert 1 deny to any ufw enable ufw status 状态输出: Status: active Logging: on (high) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From — —— —- Anywhere DENY IN Anywhere Anywhere (v6) DENY IN Anywhere (v6) 然而,我可以从任何地方强奸服务器,我想…什么给了? 这是在没有安装其他东西的股票Ubuntu 14.04服务器上。 如果有帮助,这是/etc/network/interfaces文件: auto lo iface lo inet loopback auto eth0 iface […]
我试图从CentOS 5.5服务器连接到sftp服务器。 连接永远不会build立。 当我运行命令:nmap -p 22 -P0 <sftp服务器地址> 港口国服务 22 / tcp过滤ssh 我有相同的本地networking上的开发和登台服务器,可以连接没有任何问题。 在iptables中没有条目。 我们的防火墙设置为允许所有传出的请求。 当我testing传出端口22:nmap -p 22 -P0 portquiz.net 22 / tcp打开ssh 它似乎是开放的。 所以这个问题似乎只发生在这个活的服务器上,连接到一个特定的sftp服务器。 有可能是sftp服务器端的防火墙阻止了请求,但我不明白为什么只有这一台服务器可能被阻塞。 我也能够使用我们networking之外的linode服务器连接到sftp。 这个服务器是由其他人设置的。 有没有其他的设置可能导致我的这一端?
有没有办法从控制台更改pfSense中的Web GUIpipe理员用户的密码? 只是提到我没有把自己locking在Web GUI上。
我在八月初注意到,我无法访问SharePoint Online网站,大多数Microsoft Update页面,Microsoft支持页面,Microsoft.com等,因为它们似乎都返回空白页面。 从我们的公司networking中,我们无法查看绝大多数Microsoft网站,而无需将用户代理string设置为IE 10(否则HTML页面的主体样式设置为visibility: hidden; )。 事实certificate,MS一直在使用IE 11和Chrome将Web客户端定向到WebTrends.com托pipe的JS文件,该文件的URLpath长度超过3.3 KB,并被我们的WatchGuard防火墙(HTTP 413)阻止。 这JS文件只包含157个字符(似乎打败了优化的目的,不是吗?) 这里的链接 现在看来,似乎唯一的解决方法是: 将用户代理string设置为Internet Explorer 10或更低版本,所以我们不会定向到如此奇怪的长URL。 请求IT修改我们的WatchGuard系统设置,不检查URLpath长度(因为如果你是微软公司使用URL的未定义长度,现在显然是可以的)。 我不能考虑任何合理的借口来使用URL架构webtrends使用或MS如何使用库URL编码为千字节。 我想从其他成员的angular度来看,我想知道的是: 你认为URLpath长度限制实际上是有效的防止受感染的Web客户端? 我很好奇,如果要求IT从WatchGuard防火墙删除URLpath长度检查是合理的。