我们在Docker容器中设置了一个jupyter笔记本( https://jupyter-notebook.readthedocs.io/en/latest/notebook.html )。 这个想法是,用户从个人电脑上的networking浏览器连接到jupyter,然后可以分析运行在容器主机上的postgres提供的数据。 这个工作到现在为止,我们使用docker端口映射,用户可以将他们的浏览器指向http://host-server.ch:8080 ,笔记本打开。 要控制对主机的访问并避免数据泄露到外部世界,我们希望限制networking设置,以便: 外部世界可以连接到正在运行的容器的端口8080的http://host-server.ch:8080 从容器连接到主机上的端口5432是允许的 来自容器内的所有其他连接都被禁止 这可以通过在主机上configurationiptables来完成吗? 我不是iptables专家。
我正在运行一个程序,它绑定防火墙后面的主机(运行Windows 10)上的特定端口,而且我没有权限直接通过networking进行端口转发。 相反,我试图通过SOCKS隧道通过外部服务器(运行Debian)转发此连接,以便公开访问。 我遇到的问题是,我使用的SSH命令将本地端口绑定,呈现程序无法正确绑定端口本身,并正确启动。 (改变程序不是一个选项,它必须绑定。) 我通过SSH使用以下命令来设置一个SOCKS隧道: ssh -vg -D 8123 meself@[external IP] 我已经validation了这个隧道使用了下面的curl,它会转储Google的索引页面: curl –socks5 127.0.0.1:8123 http://www.google.com/ 另外,netstat也显示连接是活的: netstat -t | grep "[external IP]" TCP [internal IP] [external IP]:ssh ESTABLISHED InHost 我已经尝试使用FreeCap从主机上的程序捕获stream量,并强制它通过SOCKSredirect,但这似乎并没有工作。 FreeCap表示代理function正常,但程序仍尝试本地绑定端口8123。 还值得注意的是,该程序是用Java编写的。 我用来在主机上执行程序的命令是: java -DsocksProxyHost=127.0.0.1 -DsocksProxyPort=8123 -jar [program .jar] 在上面的条件下,这就吐出了一个端口8123已经绑定的错误。 我的最终目标是使外部服务器可以直接访问我的主机上运行的程序,这样当客户端连接到服务器时,他们相信他们直接连接到主机上的程序,主机上的程序认为它直接连接到客户端。 我从哪里出发? 这可以做到不引入VPN? (注意:我有权以这种方式绕过防火墙。) (另请注意:我只挑选了8123作为示例端口。)
我有我的代理/服务器configuration正确,我知道这是因为它工作。 我只是对代理端的防火墙进行了更改,限制了端口10050的访问,但允许服务器像这样访问: $ firewall-cmd –new-zone=zabbix $ firewall-cmd –reload $ firewall-cmd –get-zones $ firewall-cmd –permanent –zone=zabbix –add-rich-rule=' rule family="ipv4" source address="<<server_ip>>" port protocol="tcp" port="10050" accept' $ firewall-cmd –reload $ firewall-cmd –zone=zmonitor –list-all 现在有一个沟通的问题。 代理日志报告如下: no active checks on server [<<server_ip>>:10051]: host [<<hostname>>.local] not found 服务器报告如下: cannot send list of active checks to "<<agent_ip>>": host [<<hostname>>.local] not […]
有没有办法在Azure中分组几个IP地址范围? 用法示例:我有一个Salesforce的IP范围列表,我想将其列入一组NetworkSecurityGroups的白名单。 假设他们增加一个范围。 我不想进入所有这些,并添加规则。 有没有一种机制来组合这些types的IP范围?
我为我的组织实施了一个网页filter,并且正在考虑zScaler。 我不想使用代理PAC文件。 我刚拿到zScaler的销售电话,他们声称,他们可以使用cookie来区分我的用户后NAT。 他们没有解释它是如何工作,但给我演示。 我的拓扑结构如下所示: RFC 1918 Space – > FW – > 1.1.1.1 – 1.1.1.2 – > Router – > Internet 本质上在路由器上面我将GRE隧道到他们的ZEN节点。 ZEN只会看到我的公共IP 1.1.1.1。 第一次访问互联网时,我将不得不进行身份validation。 之后,使用cookies跟踪用户会话。 这对我来说没有意义,因为: 两个网站,cnn.com和reddit.com,例如将有我的浏览器设置完全不同的cookie。 zScaler会看到类似于: 1.1.1.1:23883 – > cnn.com:80 + HTTP头和由浏览器发送的可能是cnn.com独有的cookie,不一定要把我当作joeDomainUser。 1.1.1.1:26364 – > reddit.com:80 +浏览器发送的HTTP标头和可能的cookie,它们对于reddit.com是唯一的,不一定要把我标识为joeDomainUser。 当然,如果我通过cnn.comauthentication,它可以在响应中注入一个cookie,但是如何在reddit.com上跟踪我呢? 浏览器将发送不同的cookie。
我使用cntlm在公司防火墙中运行ubuntu。 为了使用我的本地开发网站,我必须像No *.local那样插入NoProxy。 我有一个问题,我在本地运行,几乎每个调用服务器调用另一个需要代理身份validation的域名。 澄清:假设我有一个文件www.site.local/test.php : <?php $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, $str); curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0); $output = curl_exec($ch); 所以当我打电话给www.site.local/test.php我需要它是没有代理的,但是对于文件中的curl,我需要代理,现在我正在超时。 有没有办法configurationcntlm排除代理只为域而不是其他调用?
过去几周我每小时login失败的次数达到了1000次,我确定其中有99%是来自僵尸程序。 我已经安装了fail2ban,我一直在阻止一些子网,但是我也决定改变我用于SSH的端口。 这只是我使用服务器,所以它是一个简单的变化,摆脱了很多的机器人请求。 我做了改变,一切工作正常。 我想现在阻止22港口。我已经检查了firewalld,22港口从来没有规定,这让我不知道它是如何工作的。 必须有一些东西来确保端口22的请求不被阻塞。 如何禁用此function并完全locking端口22?
我意识到这个问题可能有点太具体,我已经读过关于VPN上的多点传送,多点接口上的多点传送等所有其他问题。 但是,我已经应用了所有这些问题的信息,而且我认为是最后一步。 背景信息: 局域网在接口x1上是10.xx.xx.xx WLAN在接口x4上是192.xx.xx.xx WLAN上有一个wifi接入点直接插入x4。 Chromecast连接到WLAN,IP地址为192.xx.xx.99 CCTV监视器(Windows 7)通过x1上的非pipe理型开关连接到局域网。 LAN和WLAN上的所有对象都启用了组播 相关的防火墙规则: 局域网>多播,任何来源到任何目的地,任何服务,允许 局域网>无线局域网,任何来源到任何目的地,任何服务,允许 WLAN> MULTICAST,Chromecast到任何目的地,IGMP,允许 WLAN>多播,任何来源到任何目的地,任何服务,拒绝 WLAN> LAN,Chromecast到所有工作站,任何服务,允许 有一些规则阻止交通比我列出的低优先级。 我相信我已经离开了在WLAN和LAN之间路由多播,或者更具体地讲,是10.xx.xx. *和192.xx.xx.99。 我不知道该怎么做。 我猜我需要为IGMP双向创build一个NAT策略? 在我把WLAN和局域网(所有物理硬件)隔离开来之前,chromecast和PC能够进行通信,除了WAP在同一个接口(x1)上插入交换机之外,现在在它自己的接口上X2)。 TL; DR:如何允许x1 LAN 10.xx.xx.151上的PC在x4 WLAN 192.xx.xx.99上投射到Chromecast?
我在networking上使用带有pfSense的强制门户来过滤内容和监视带宽等。这对于办公室中的计算机和移动设备来说是非常有效的,因为每个人都可以使用指定的login凭证每天login。 但是,像偶尔使用Verizon FiOS机顶盒这样的设备,他们无法访问互联网服务,因为pfSense无法提供这些设备的login页面(STB上没有浏览器)。 有没有人有过这个问题,如果是的话,它是如何修复的? 我最后的手段是将它们通过防火墙传递,不过如果可能的话,为了安全起见,我想避免这种情况。 加里
这是我目前的IPTablesconfiguration。 但是我禁止的IP仍然可以ping,ssh,web等等。 IP即时通讯testing这些规则是:195.154.220.14 # Generated by iptables-save v1.4.7 on Thu Feb 16 22:06:28 2017 *nat :PREROUTING ACCEPT [1452:83067] :POSTROUTING ACCEPT [95:6213] :OUTPUT ACCEPT [95:6213] COMMIT # Completed on Thu Feb 16 22:06:28 2017 # Generated by iptables-save v1.4.7 on Thu Feb 16 22:06:28 2017 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [591:260189] :ICMPFLOOD […]