我有一个远程位置的HP ProCurve 2610,通过SHDSL连接到networking的其余部分。 这个网段有两个三层networking。 ACL设置为拒绝一个子网(192.0.2.0/24)由于应用于连接到上游连接的端口而离开交换机。 另一个子网应该被允许自由离开交换机。 两个子网都在同一个VLAN上。 不幸的是,SFlow非常清楚地显示了上行连接上来自192.0.2.0/24的广播stream量。 ProCurve ACL并不是我的强项,但我觉得我错过了一些非常简单的东西。 ip access-list extended "Filter for Camera Network" deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit interface 24 name "DSL – UPLINK" access-group "Filter for Camera Network" in exit 除非我误认为来自192.0.2.0/24的stream量应该通过上行链路端口(int 24)而被丢弃,而所有其他stream量将由以下默认允许规则来允许。 我在这里错过了什么? 编辑: 首先,为什么你在同一个VLAN中包含两个子网? 因为这是以前的pipe理员configuration的方式,虽然从概念上讲,单个子网“映射”到单个VLAN,但没有任何技术上的限制,我知道这是必须的。 您应该过滤出站stream量,而不是在您的上行链路上过滤入站stream量。 HP2600系列只能过滤接口上的入站stream量。 我应该改变我的filter否认任何192.0.2.0/24?
这可能很简单。 这是在我到达之前设置的,并一直在努力阻止Facebook。 我最近在这个2691上淘汰了一些静态的端口转发(因为我不认为其他的东西已经改变了),现在Facebook又可以访问了。 为什么这个列表不是在做它应该做的事情? 一个扩展的出站ACL是否更合适(我认为,如果我一开始就负责创build这个ACL,我会这么想)? 有些不同? 我已经包含了下面我认为是configuration的相关部分。 interface FastEthernet0/0 ip address my.pub.ip.add my.ip.add.msk ip access-group 1 in ip nat outside ip virtual-reassembly duplex auto speed auto access-list 1 deny 69.171.224.0 0.0.31.255 access-list 1 deny 74.119.76.0 0.0.3.255 access-list 1 deny 204.15.20.0 0.0.3.255 access-list 1 deny 66.220.144.0 0.0.15.255 access-list 1 deny 69.63.176.0 0.0.15.255 access-list 1 permit any […]
我有一个ACL来防止常规工作站访问交换机上的pipe理VLAN。 每5分钟我们会得到以下日志条目: %SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets 交换机是运行IOS C3750-IPBASEK9-M,版本12.2(52)SE的Cisco 3750G acl是: ip access-list standard mgtvlan-acl permit [management workstation netowrk] permit [other management networks] deny any log acl应用于名为Vlan50的第3层接口 interface Vlan50 description management vlan ip address 199.254.98.xx 255.255.255.192 ip access-group mgtvlan-acl in 我已经尝试了vlan50接口上的各种debugging命令和ip记帐。 我还打开了terminal监视器,以确保无需依赖syslog服务器即可看到所有内容。 有没有什么办法可以得到更多的信息,这些数据包是什么或他们来自哪个物理接口,而不需要经过设置wireshark的麻烦?
我有一个Windows 2003 Server中的1.5TB硬盘。 两个分区,一个FAT和另一个NTFS。 服务器崩溃了,而当我们订购一个新的,我想访问该卷上的数据。 但是,当我将驱动器连接到Windows 7 64位桌面时,整个NTFS卷显示为拒绝访问(Access Denied)。 (FAT卷是可以访问的。) 在资源pipe理器中,音量显示没有信息: 在“逻辑磁盘pipe理器”中,卷出现时没有任何信息: 我试着在卷上运行TAKEOWN,但由于整个卷不可访问,所以不起作用: 我也没有权限使用Windows 7 GUI获取所有权: 我有这个卷以前的服务器的所有者的用户名,密码和SID。 卷未encryption,未压缩。 我怎样才能访问这个驱动器?
httpd进程使用apache用户/组凭证运行,而/ var / www / html文件夹由root用户/组拥有。 pipe理公共html文件夹权限的最佳做法是什么? 将它们保留为root或将每个文件和文件夹分配给apache用户?
我首先在debian上重新安装openldap 2.4.28。 他们是debian软件包的一些问题,并与gnuTLS,所以我编译与opennSSL库的版本。 官方文档很难理解如何使用openLDAP的新的cn = configpipe理从头开始安装。 所以,我使用以下命令首次启动openLDAP时,从slapd.conf转换为cn = config: /usr/local/libexec/slapd -u openldap -g openldap -f slapd.conf.seb -F /usr/local/etc/openldap/slapd.d/ -d -1 我的slapd.conf.seb等于: include /usr/local/etc/openldap/schema/cosine.schema include /usr/local/etc/openldap/schema/nis.schema include /usr/local/etc/openldap/schema/inetorgperson.schema include /usr/local/etc/openldap/schema/openldap.schema include /usr/local/etc/openldap/schema/misc.schema include /usr/local/etc/openldap/schema/ppolicy.schema include /usr/local/etc/openldap/schema/gosa/samba3.schema include /usr/local/etc/openldap/schema/gosa/trust.schema include /usr/local/etc/openldap/schema/gosa/gofax.schema include /usr/local/etc/openldap/schema/gosa/gofon.schema include /usr/local/etc/openldap/schema/gosa/gosystem.schema include /usr/local/etc/openldap/schema/gosa/goto-mime.schema include /usr/local/etc/openldap/schema/gosa/goto.schema include /usr/local/etc/openldap/schema/gosa/goserver.schema include /usr/local/etc/openldap/schema/gosa/gosa-samba3.schema include /usr/local/etc/openldap/schema/gosa/openssh-lpk.schema include /usr/local/etc/openldap/schema/gosa/dnszone.schema […]
问题:在文件夹或文件上使用ACL时,CentOS似乎没有考虑辅助组 场景: CentOS 6基本安装,使用LDAP帐户来validation用户。 我正在尝试在某些文件夹上设置相当复杂的权限。 我已经确保文件系统通过ACL支持进行挂载,并确定LDAP用户能够正确login。 重现步骤:作为testing,我有一个简单的文件夹结构。 文件夹test1由root拥有,拥有770个权限,我已经将另一个组添加到该文件夹setfacl -mg:testgroup:rwx test1/文件夹的getfacl输出如下所示: getfacl: Removing leading '/' from absolute path names # file: share/test1/ # owner: root # group: root user::rwx group::rwx group:testgroup:rwx mask::rwx other::— 用户andrew属于域组和testing组,如groups andrew所示。 组域是用户主组。 如果用户安德鲁尝试读取位于test1中的任何内容,则会显示权限被拒绝的错误。 但是,如果用户主要组更改为testing组,则用户可以与该文件夹的内容进行交互。 有人可以告诉我这里发生了什么,如果有办法获得预期的行为? 编辑这似乎是与LDAP有关的问题。 我只是testing使用本地用户帐户,一切都按预期工作。
我一直试图解决这个谜,但我想我已经走到了一个死胡同。 我们已经将用户创build和pipe理委派给一个组。 此权限应用于祖父级OU并inheritance到父OU和子OU,它们包括除完全控制和删除以外的所有内容( 删除子树已标记)。 来自组的用户可以在所有OU上创build和修改用户,但是他们只能从子OU(最后一级)删除用户。 如果他们试图从其他OU中删除一个用户,他们会得到一个访问被拒绝的错误。 我已经检查过的东西: “保护对象免于意外删除”不被检查。 比较使用来自不同OU的对象的有效权限,它们是相同的,不包括删除权限,但包括删除子树权限。 使用dsacls.exe从不同的OU中导出用户的ACL。 这些文件是相同的。 我到目前为止看到的奇怪的事情: 在根OU上有一个明确的拒绝删除(适用于后代用户对象) 。 不应该这也阻止从子OU中删除用户? 我猜这与删除子树权限有关,但我还没有find关于它的许多信息。 再多一点,域function级别是2008 R2,如果有帮助的话。
我在Cisco ASA上从互联网上的主机到内部networking上的主机端口转发遇到问题。 ASA的外部接口通过DHCP进行分配。 为了使这个工作正确,还有其他事情要做吗? 更新到问题 (outside) to (outside) source dynamic VPN_NETWORK interface 每: https://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_rules.html (outside) to (outside) after-auto source dynamic VPN_NETWORK interface 数据包追踪: # packet-tracer input outside tcp 74.xxx 1025 71.xxx 555 Phase: 1 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 71.xxx 255.255.255.255 identity Phase: 2 Type: ACCESS-LIST Subtype: Result: DROP Config: […]
在以下设置中: Client -> LB -> Varnish 我想configurationVarnish acls根据客户的IP采取一定的行动。 LB发送客户端IP到名为“ClientIP”的variables中,该variables可以通过req.httpd.ClientIP.读取req.httpd.ClientIP. 我试过这个: acl admin_net { "10.10.1.160"/27; } sub vcl_deliever { if (req.http.ClientIP ~ admin_net) { // do something … } } 但VCL编译失败,“预期的CSTR得到'admin_net'”(Cstring?)。 我可以通过req.http.ClientIP ~ "10.10.1.*")来解决这个问题,但是我必须注释掉ACL行。 有没有另外一种方法来使用ACL的这个工作? 我也查看了client.ip ,这是一个只读variables。 在上面的设置中,它包含LB的IP而不是客户的IP。