我们有一个内部运行的OpenStack云,想让学生从Openstack的Horizon web面板访问NoVNC控制台。 但是在我们的Fortigate防火墙上添加端口80,443和6080(端口novnc监听)后,所有工作都在内部工作。NoVNC控制台刚刚超时。 当我允许Fortigate上的所有TCP端口时,我可以访问VNC控制台。 我试过看netstat,当所有端口都打开时,它显示我的连接到VNC控制台。 然而,我还没有find哪个端口被阻止的运气。 tcp 0 31 10.0.79.2:6080 217.169.0.245:64478 ESTABLISHED 110 298904 27769/python 我怎样才能find哪个端口阻塞NoVNC?
我最近为一家小公司build立了一个多WAN连接,因为他们在任何可能的ISP的末端,服务确实停止了,他们真的依赖于他们的互联网连接。 我正在使用CISCO RV042,它可以在故障切换或负载平衡模式下工作。 使用负载平衡似乎是合乎逻辑的 – 只要你有两个连接,为什么不使用它们。 但是,负载平衡会导致我将要描述的问题。 数量惊人的Web服务显然build立了多个TCP连接,然后当这些连接来自不同的IP地址(当他们通过多个WAN接口进行负载平衡时)失败。 最近,这家公司银行的新电子银行界面显然是这样做的。 例如,在电子银行连接的情况下,简单地变得不可能login到服务。 其他服务提供奇怪的错误,或只是不正常工作。 我可以通过将RV042中的每台个人计算机绑定到一个WAN接口来纠正这个问题。 但是,这意味着使用静态IP地址而不是DHCP,所以这不是一个好的解决scheme。 我可以通过在故障切换模式下运行RV042来纠正这种情况,以便在任何给定时间只有一个WAN正在使用。 也不理想,因为其他连接基本上没有使用。 当然,也可以把问题报告给各种networking服务。 祝你好运。 有很多公司与多万连接。 当然有更好的解决办法? 任何人?
所以看起来OS X 10.10上的连续性在运行中创buildnetworking接口(utun2在这里),我的PF阻止它,所以我不能拨打/接听电话。 我不是pipe理员,只需使用IceFloor进行PFconfiguration。 你知道什么是最简单的方式来configurationPF,而不完全closures? 我可以只说“允许所有进/出任何utun [NUM]”吗? 谢谢
目前我正试图解决一个电子邮件服务器的问题,该服务器将允许用户发送电子邮件,但不能login到服务器(POP3)或使用他们的Outlook客户端接收电子邮件。 以前这是可行的,但移动服务器到它的当前位置打破了它。 出于显而易见的原因,我怀疑这是防火墙引起的问题。 首先,在对防火墙进行任何更改之前,以下是握手(或尝试)的样子: 邮件服务器 :192.168.25.26 客户端 :192.168.25.50 Source | Destination | PROTO | INFO 192.168.25.50 192.168.25.26 TCP 50861 > pop3 [SYN] seq=0 win=65535 len=0 192.168.25.26 192.168.25.50 TCP pop3 > 58601 [RST, ACK] seq=1 win=1 len=0 192.168.25.50 192.168.25.26 TCP [TCP Retransmission] 58061 > pop3 [Syn] etc…. 在失败之前再次发生[rst,ack],[tcp转播]舞蹈。 防火墙(Cisco)有关192.168.25.26和pop3的规则如下: 内: source | destination | service any […]
概要 我目前正在Debian Wheezy上使用Shorewall 4.5.5.3开发一个三接口软件防火墙,而我在loc(eth2)和dmz(eth1)接口上遇到了一些困难。 fw(eth0)接口似乎工作得很好,但我不能在loc或dmz区域上ping PC。 networking中的/ etc / network / interfaces设置可能有问题。 fw接口通过ISP运行在dhcp上,我使用静态IP在这些区域内configuration了loc和dmz接口和PC。 我试图使用的configuration是三接口和单个IPconfiguration。 参考文档位于Shorewall网站“ 三接口防火墙 ”上。 我不知道如何处理eth1或eth2接口上的网关,Shorewall文档没有解释这一点。 我认为这将是eth0相同的网关,但我不知道如何做,因为eth0是在dhcp。 联网 / etc / network / interfaces用于固件节点: # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp # Secondary network interface for dmz auto […]
我有FORTIGATE 200A防火墙保护运行ASP.NET网站的IIS服务器(Windows Server 2008和IIS7) 我不熟悉Fortigateconfiguration和选项。 我最近有一些来自某些IP的“攻击”,通过向网站提交具有无效参数的不同forms,产生了很多错误。 我希望能够根据从asp.net代码(文本文件)生成的列表阻止24小时的IP地址列表。 任何想法如何更新Fortigate 200A防火墙这个临时阻止的IP列表? 也许通过batch file?
我有一个使用亚马逊ec2 openswanbuild立一个远程对等/公共IP的VPN隧道。 隧道已经到了,但是我们这边还是远处没有看到交通? 我有没有失踪? 请看我的configuration。 我的/etc/ipsec.conf config setup dumpdir=/var/run/pluto/ protostack=netkey nat_traversal= yes plutodebug=all plutostderrlog=/var/log/pluto.log oe=off include /etc/ipsec.d/*.conf 我的/etc/ipsec.d/con-name.conf conn con-name type=tunnel compress=no auto=start # Define IKE policy authby=secret ike=aes256-sha1 ikelifetime=86400s # Define IPSec policy auth=esp esp=aes256-sha1 pfs=no keyexchange=ike rekey=yes forceencaps=yes keylife=28800s left=%defaultroute leftid=<my vpn public ip> leftsubnet=<my internal vpn ip>/32 # 10.xxx leftsourceip=<my vpn public […]
在过去的48小时内有3次,我们大约有6X的通话量持续了几个小时。 服务器每次处理它,但几乎没有。 这几乎是所有不好的僵尸stream量(或者可能是DOS尝试失败)。 我需要设置某种types的墙,以便在发生这种情况时自动阻止此操作(而不是在第二天手动通过日志)。 当然,fail2ban在我的search中出现了很多,但我找不到任何好的例子或文档来知道它是否适合我。 我需要为apache实现一个filter,忽略大部分日志,具体取决于请求的URL以及用户代理的正则expression式。 然后才开始确定一个IP是否太多了。 问题是,我不能只使用一个简单的阈值禁止IP地址。 每一个合法的页面请求都会紧接着很多其他请求来支持内容(GET / images / …; GET / extensions / …; GET / skins / …)在2秒钟内几乎会抓住所有人。 我需要从任何计算中过滤这些条目,并只计算顶级请求。 但即使我只是看看顶级请求(所以现在也许我10分钟内禁止20个请求),那么我的问题是,我可以轻松地阻止抓取工具,我很乐意为页面提供服务(GoogleBot ,Slurp等),所以我也希望它跳过这些。 是Fail2Ban或任何其他产品在那里强大? 我可以用两个grep -v语句快速获得需要的信息,但是有没有现有的程序已经这样做?
我在一个VirtualBox虚拟机的Ubuntu 14.04上安装了JIRA 6.3.15。 VirtualBox的主机系统也是Ubuntu 14.04。 我将JIRAconfiguration为使用SSL(如以下https://confluence.atlassian.com/display/JIRA/Running+JIRA+over+SSL+or+HTTPS所述 ),在JIRA的server.xml文件中设置一个自定义的HTTPS端口,在虚拟机configuration中添加该端口的转发规则,并打开主机防火墙中的端口。 所有这一切正常。 现在我想让JIRA发送通知邮件。 我添加了一个SMTP服务器到JIRAconfiguration。 只要我closures主机系统的防火墙(即接受所有传入的数据包),这也可以正常工作。 但是,当主机防火墙对传入数据包的默认操作设置为“丢弃”时,通过SMTP在VM内从JIRA发送电子邮件失败。 连接testing失败,出现UnknownHostException。 主机防火墙对传出和转发数据包的默认操作是“接受”。 显然,为了使JIRA电子邮件function正常工作,需要在主机系统中打开一些传入数据包的端口。 任何人都可以指出这是哪个端口? 我已经尝试了465作为目标和源端口没有成功,我找不到任何文档。
我们打算为安全目的检查收到的邮件。 为了做到这一点,我们想出了解决scheme将包括: networkingTAP –将所有SMTPstream量复制到防火墙 防火墙 –防火墙将从TAP获取stream量并将其转发到Exchange服务器 Exchange服务器 –交换服务器(也充当所有邮件发送到的域的DC)将从防火墙获取stream量并存储邮件以供我们分析。 build立这个基础设施后,我们注意到有一个基本的问题:防火墙仅在运行“tcpdump”时才会看到stream量(因为接口变为混杂模式)。 我们所做的是将防火墙分配给我们的域的MXlogging引用的公共IP地址。 这也没有工作,防火墙没有把SMTPstream量视为发送给它,也没有真正发生。 我的结论是,问题是为了这个工作必须有一个TCP三方握手和一个真正的会议,以便一切工作。 很明显,这个TAP没有实现。 对于问题:1.假设是否正确? 2.有什么办法来完成手头的任务吗?