这是我们公司的互联网网关路由器。 这是我想要在Cisco 2691路由器上完成的: 所有员工都需要能够无限制地访问互联网(我已经使用ACL阻止了facebook,但除此之外,完全访问) 有一个内部networking服务器,应该可以从任何内部IP地址访问,但只有less数几个外部IP地址。 基本上,我想从networking外部访问白名单。 我没有硬件防火墙设备。 到目前为止,networking服务器并不需要外部访问……或者无论如何,偶尔的VPN在需要的时候已经足够了。 因此,下面的configuration已经足够了: access-list 106 deny ip 66.220.144.0 0.0.7.255 any access-list 106 deny ip … (so on for the Facebook blocking) access-list 106 permit ip any any ! interface FastEthernet0/0 ip address xxxx 255.255.255.248 ip access-group 106 in ip nat outside fa0/0是公网IP的接口 但是,当我添加… ip nat inside source static tcp […]
我们有一些自己的.htaccessnetworking软件。 没有在我们的内部testing服务器上,我们要configuration一些访问权限(htaccess的密码) 我们希望避免特定于.htaccesstesting服务器的修改。 我们在Apache 2的虚拟主机configuration中执行此操作。 .htaccess包含: Order allow,deny Allow from all 我们如何阻止这些设置? 是否有一个基于黑名单的方式的AllowOverride指令? 像DontAllowOverride Order Allow ?
难以使Linux ACL(getfacl / setfacl)与NFS共享一起工作。 我们使用Ubuntu客户端和QNAP存储作为服务器。 目前只有Ubuntu上的root用户拥有读写权限。 普通用户(如www-data)在尝试写入内容时被拒绝。 我们在QNAP上创build了相同的用户(www-data,ubuntu),通过编辑/etc/passwd /etc/group设置相同的UID和GUID,但是没有帮助。 奇怪的。 我们的设置如下: QNAP: 1.)function选中“启用高级文件夹权限” 2.) /etc/exports是在qnap上自动生成的,如下所示 "/share/MD0_DATA/Public" *(rw,async,no_root_squash,insecure) "/share/MD0_DATA/XXX" XXXX(rw,async,no_root_squash,insecure) XXXX(rw,async,no_root_squash,insecure) XXXX(rw,async,no_root_squash,insecure) XXXX(rw,async,no_root_squash,insecure) 基本上它为所有导出的分区设置“rw,async,no_root_squash,insecure” 客户端(Ubuntu): 1) /etc/fstab XXXX:/XXX /external nfs acl,soft,intr,rsize=8192,wsize=8192 2.) getfacl /external显示: # file: external # owner: root # group: root user::rwx user:root:rwx user:www-data:rwx user:ubuntu:rwx user:nobody:— group::— group:users:rwx mask::rwx other::rwx default:user::rwx default:user:root:rwx default:user:www-data:rwx default:user:ubuntu:rwx […]
目前我正在使用rsync从本地机器复制文件到远程。 本地没有ACL,而远程有ACL。 我想要rsynced的文件来维护已经到位的ACL,我到目前为止所做的每件事(–no-perms,–acls,–no-acls等)都以文件结尾没有设置ACL。 这是可能的rsync,或者我需要一些其他的应用程序这个工作? 我只需要从A – > B复制文件,并拥有B的所有权限,ACL和x标志保持不变。
我有思科ASA 8.2(5),并希望configuration端口转发。 思科ASA有2个接口: outside with IP 192.168.57.2 inside with IP 192.168.1.1 我有两个可通过外部接口访问的子网: 192.168.17.0/24 192.168.18.0/24 而通过里面的界面可以得到两个子网: 192.168.14.0/24 192.168.15.0/24 现在我想设置端口转发,以便ASA外部接口上的同一端口被转发到不同的内部主机,具体取决于外部客户端的子网: 如果客户端从一个子网从外部连接到端口4000上的ASA(从192.168.17.124到192.168.57.2:4000),我想转发它到192.168.14.5:3389。 如果另一个子网的客户端连接到ASA外部接口上的同一个端口(从192.168.18.124到192.168.57.2:4000),我想把它转发到另一个子网(192.168.15.5:3389)的主机。 这样的configuration可能吗? 我怎么configuration它? PS我目前的configuration只是总是将端口转发到相同的IP,而不是取决于客户端子网: object-group service OpenedPorts tcp-udp port-object eq 4000 port-object eq 4002 object-group protocol TCPUDP protocol-object udp protocol-object tcp access-list outside_access_in extended permit object-group TCPUDP any any object-group OpenedPorts access-group outside_access_in in interface outside […]
我们有FreeNAS-9.2.1.3-RELEASE-x64提供一个samba共享给IIS(由2012 R2托pipe,如果这是相关的) ssasan01# smbd –version Version 4.1.6 freenas服务器连接到由Windows服务器提供的AD。 域名是“AD”。 IIS站点作为该站点特有的活动目录用户运行。 应用程序池(每个站点都有自己的身份)和IIS中站点的“物理path凭据”都configuration为相同的活动目录用户。 大多数情况下,除了文件夹创build之外,一切正在运行 在一个文件夹中,IIS用户可以访问(写入/修改/读取/执行)(实际上是应用程序数据)应用程序代码尝试使用DirectoryInfo创build文件夹。创build生成的文件夹在磁盘上成功创build并显示为inheritance来自父级的ACL权限,但是create调用返回一个错误。 Access to the path –snip–\App_Data\packages\created\__testFolder__ is denied. Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code. Exception Details: System.UnauthorizedAccessException: Access […]
我想在acl_check_data config部分configurationexim的内置垃圾邮件filter支持来configuration垃圾邮件过滤。 pipe道,exim头修改(存储结果)效果很好。 以及通过dovecot-lda将邮件传输到Junk文件夹。 我唯一的问题是,我不能通过收件人的虚拟用户spamassassin让垃圾邮件从sql加载用户的喜好。 我知道,exim的“垃圾邮件”关键字左侧是为了这个,但它并没有通过任何变数。 只有静态值:简单地忽略我设置的所有variables。 这是我的configuration部分: acl_check_data: # Deny if the message contains a virus. Before enabling this check, you # must install a virus scanner and set the av_scanner option above. # deny malware = * message = This message contains a virus ($malware_name). # Add headers to a message if it […]
是否可以设置一个文件夹及其所有文件的权限,使多个定义的用户可以添加,修改和删除文件? 我希望能够通过ACL来做到这一点,我得到它的工作,多个用户可以更改文件,但只有所有者能够删除这些文件。
我需要修改CISCO ASA的现有configuration。 在分析configuration时,我注意到了一些对我来说看起来多余的东西 我想看看有人能证实我的疑惑。 access-list LANA_access_in extended permit ip any any log debugging inactive access-list LANA_access_in extended permit icmp any any log debugging inactive access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0 … access-group LANA_access_in in interface LAN_A_Lan 我说的是,在前两行之后,后面两行是完全多余的? 为了使事情变得更好,有这部分的configuration access-list global_access extended permit ip […]
如果我从http://www.vanemery.com/Linux/ACL/POSIX_ACL_on_Linux.html手册http://www.vanemery.com/Linux/ACL/img1.gif中正确理解了这个图片,通过chmod设置700会使 user::rwx mask::— other::— (实际上是这样)。 但是,这意味着我不能创build目录和2个或更多的用户,使得ACL default ,每个用户的子目录将拥有700权限。 它遵循事实, user:some_user:…和group:someuser:…将与掩码相交(在本例中为0,结果也为0)。 我对吗? 简单的例子:MySQL为0700权限的数据库创build目录。 我想从我的用户备份(既不是mysql也不是root )。 这意味着我希望我的mysqlbackup用户获得700权限,以便在mysql目录中由mysql用户创build子目录。 MySQL在创build数据库时创build它们。 root@248261c6cbcc:/var/lib/mysql# getfacl . # file: . # owner: mysql # group: mysql user::rwx user:mysqlbackup:rwx group::— mask::rwx other::— default:user::rwx default:user:mysqlbackup:rwx default:group::— default:mask::rwx default:other::— root@248261c6cbcc:/var/lib/mysql# sudo -u mysql -H mkdir -m 700 it_must_be_database_dir root@248261c6cbcc:/var/lib/mysql# getfacl it_must_be_database_dir/ # file: it_must_be_database_dir/ # owner: […]