我正在使用openwrt以下设置: ————— | |— LAN1 192.168.1.1/24 WAN 194.XXX —| openwrt-box | ———— | |— LAN2 192.168.2.1/24 — 192.168.2.10/24 —| Server | ————— ———— 防火墙 – 区域设置 General Settings Enable SYN-flood protection yes Drop invalid packets no Input accept Output accept Forward reject Zone ⇒ Forwardings Input Output Forward Masquerading MSS clamping LAN1 ⇒ WAN accept […]
我试图让我的公共IP也可以从内部LAN。 我知道,为了有一个内部区域来解决主机与内部IP,但由于很多原因,这是不适用于我的环境,溢出DNS更好。 我有一个“简单”的configuration,一个服务器和几个NAT端口: set nat destination rule 4002 description 'NAT inbound' set nat destination rule 4002 destination address 'xyzk' set nat destination rule 4002 destination port '80,443,10050,10051,11051' set nat destination rule 4002 inbound-interface 'bond1' set nat destination rule 4002 protocol 'tcp' set nat destination rule 4002 translation address '10.0.0.190' set nat source rule 4002 description […]
什么可能导致Could not generate DH key pair on the destination URL错误Could not generate DH key pair on the destination URL ? EDI合作伙伴公司试图连接到我们的HTTPS服务器并遇到上述消息。 或者系统使用商业防火墙和反向代理(基于Apache),具有很高的安全等级(qualsys ssltest中的“A”)。 我怀疑我们的安全级别高于我们的EDI合作伙伴公司的能力,但他们声称与其他HTTPS合作伙伴有工作联系,他们说他们支持“2048位”。 不幸的是我们不能降低我们系统的安全级别来进行testing。 是否有标准的诊断工具,我们可以推荐我们的EDI合作伙伴,以便他们可以分析连接失败? 更新:我使用了Qualsys的SSL诊断工具,发现对于Java(Sun JRE)6客户端来说,没有可能的连接,因为 Java 6u45 – Client does not support DH parameters > 1024 bits 。 对于其他的A级服务器,Java 6客户端可以连接,似乎他们只是不使用DH: Java 6u45 – TLS 1.0 – TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 因此,如果我把这些部分放在一起,我假设我们的服务器坚持DH密钥交换(Java 6客户端不支持),而其他服务器能够协商不同的密码,以便Java 6客户端可以连接。 不过,我不是这方面的专家,所以请让我知道,如果我正在追逐一个红鲱鱼:)
我只能访问http://site.example.com或https://site.example.com (在ddwrt路由器后面运行linux centos),http防火墙允许这些虚拟主机名连接到客户端(我),但不能通过IP地址 我可以在centos box或dd-wrt上安装什么服务器,这样我可以有一个transpartent VPN? Openvpn服务器是一个解决scheme吗? 我花了大概20个小时试读FAQ 先谢谢你。
我有Java应用程序,在我的本地机器上正常工作。 但是当我试图在SoftLayer上启动它,所有的连接太长了。 例如,通过HttpAsync或其他(socket等)的简单http连接持续1-2分钟。 但连接完成后,数据快速发送/接收。 我无法弄清楚什么问题。 我认为,与APF防火墙的MB问题。 但即使在没有防火墙的服务器,我有这个问题。 所以…东西阻止了我在Java中的连接。 简单的curl到相同的url是快速的。 我怎样才能find问题? UPD:即使我尝试连接到127.0.0.1上的本地服务,也是如此 UPD2:但是当我在IDE中启动项目时,不存在这样的问题。 只有手动启动时才会出现问题。
我试图通过HAProxy连接到WebDAV服务器。 目标是通过一个端口5443指引所有通信。我的HAProxy服务器通过SSL绑定到端口5443。 我曾尝试以几种不同的方式连接到WebDAV。 我可以通过https://192.168.1.200:5006在本地直接连接,如果打开端口5006,则通过https://192.168.1.200:5006直接连接。当我尝试通过HAProxy通过https://webdav.domain.com:5443或http://webdav.domain.com:5080我得到一个错误,说:“连接到服务器”webdav.domain.com“有问题。 当我尝试通过局域网连接时,会发生同样的事情。 是否有可能通过HAProxy挂载WebDAV文件系统? 下面我已经包含了我的HAProxyconfiguration文件。 global user haproxy daemon maxconn 256 log localhost user info spread-checks 10 tune.ssl.default-dh-param 2048 defaults mode http stats enable default-server inter 30s fastinter 5s log global option httplog timeout connect 5s timeout client 50s timeout server 50s timeout tunnel 1h listen stats :8280 stats uri / stats show-legends […]
对于Linux内核2.6.32,如果我设置net.ipv4.tcp_syncookies = 1将始终使用或仅在SYN洪水攻击期间? 我发现有两个来源说相反。 1: “但是,在使用SYN cookie时,有两个警告会起作用:首先,服务器仅限于8个唯一的MSS值,因为这些都可以用3位编码;其次,服务器必须拒绝所有TCP选项(例如大窗口或时间戳),因为服务器会丢弃将以其他方式存储信息的SYN队列条目。 虽然这些限制必然导致次优的体验,但是它们的效果却很less被客户注意到,因为它们只有在受到攻击时才被使用。 在这种情况下,为保存连接而丢失TCP选项通常被认为是合理的妥协。“ 2: “缺点是并不是所有的TCP数据都可以放入32位的序列号字段,因此高性能所需的某些TCP选项可能会被禁用。” 这意味着,即使您的服务器当前没有受到攻击,如果启用SYN Cookie,select性应答和TCP窗口缩放等选项也将不起作用。
我已经减less安装到只有2台计算机通过交换机与固定的IP地址连接。 PC-A能够连接到或ping通PC-B PC-B无法连接到或ping通PC-A 两台PC上的Windows防火墙都是禁用的。 我如何知道什么程序阻止了与PC-A的连接? 因为没有硬件会阻塞连接,所以必须有一些软件阻塞,但我不知道如何find它。 谢谢
在尝试通过组策略configurationIPSec规则时,我在Windows 8.1客户端上看到了非常奇怪的行为。 我通过几个策略来configuration几个规则,以便能够针对各个规则。 一个特定的策略不会导致在Windows 8.1客户端上生成任何防火墙规则,尽pipeRSoP告诉我实际上正在应用该策略。 在Windows 2012 R2服务器上,按预期方式创build防火墙规则。 我找不到有关Windows防火墙是否受限于Windows 8.1上的连接安全规则的任何文档,以及导致此行为的原因。 任何build议,以寻找什么将不胜感激。
我需要在服务器和Intranet上的客户端之间build立一个防火墙,以通过FORWARD链上的MAC来过滤访问。 服务器有一个网卡(在子网10.0.0.0/29上),防火墙有两个网卡(一个在子网10.0.0.0/29上,另一个在子网192.100.100.0/23上),客户端有一个网卡(在子网上192.100.100.0/23) 我的目标是能够仅转发来自less数MAC的stream量,然后放弃剩下的stream量。 现在我的iptables设置如下: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -m mac –mac-source 00:00:00:00:00:00 -j ACCEPT 当我检查iptables,我可以看到有规则的stream量,但我发送的ping是没有答复。 有任何想法吗? 提前致谢。