我在Centos 6.5上使用了Iptables,并尝试将iptables规则转换为centos 7的firewalld规则。然而,在firewalld中,我发现我无法 丢弃无效状态的数据包 创build一组规则来保护端口扫描 创build一个针对SYN攻击的规则(意思是寻找带有syn标志的数据包) 使用散列限制来限制每个IP每秒的连接数 我想我认为firewalld与iptables相比有一些不太可能的特性吗?
我正在尝试添加一个丰富的规则来隔离开发环境,供承包商开发。 我已经把机器放在一个DMZ上,但是我想将它隔离一点,从操作系统一级。 运行CentOS 7.1.1503 firewalld 0.3.9-11 firewall-cmd –permanent –add-rich-rule="rule family='ipv4' source address='192.168.1.225' destination address='192.168.1.222' drop" 我收到错误 Error: INVALID_RULE: destination action 这似乎是一个全面的错误。
当我有一个监听特定IPv6地址的服务时,它在启动时失败,声称地址仍然不可用。 每个正在侦听特定地址的服务都会发生这种情况。 为了避免这种情况,我为服务创build了一个After=… network.target通过After=… network-online.target更改After=… network.target ,这样可以解决IPv4地址绑定问题,而不是IPv6。 我尝试了一些接口的特定目标没有成功,他们等待IPv6的IPv4位号为止。 作为解决方法,我也添加到服务部分: [Service] Restart=on-failure RestartSec=10s StartLimitInterval=1min 这似乎是大家都在解决这个问题,但是我对此并不满意,似乎是允许systemd等待IPv6地址的一种方法。 我的系统是CentOS 7.2 ,禁用了NetworkManager和firewalld,启用了networking和iptables,使用静态IP,所有networking在接口充满IPv4 / IPv6后正在工作IN / OUT。 我的ifcfg-eth0: DEVICE=eth0 BOOTPROTO=none NM_CONTROLLED="no" ONBOOT=yes IPADDR=XXXX PREFIX=24 GATEWAY=XXXX DNS1=XXXX DNS2=8.8.8.8 SEARCH=xxx.xxx IPV6INIT=yes IPV6_AUTOCONF=no IPV6ADDR="X:X:X:X::X" 我也注意到在一些双栈IPv4 / IPv6部署的系统中,IPv6需要一些时间来初始化静态地址,这是由路由设置以及其他一些新的IPv6内容引起的。 所以我的问题是,如何确保服务单元只在将IPv6链路全局分配给接口后启动? 编辑:经过一些评论指向我的爸爸,我认为systemd-networkd已合并DAD等待,但只在主分支,不存在系统220(Centos 7.2有systemd 219)。 NetworkManager似乎有一些补丁,但我没有使用任何。 我在阅读后发现了可接受的时间解决scheme,并进行了一些testing,对于我的情况,在服务器上的IP是固定的,不能分配另一个,这篇文章告诉我解决scheme: https://www.agwa.name/blog/post/beware_the_ipv6_dad_race_condition 我还基于乐观的DAD RFC4429testing了评论的DAD解决scheme,这并不能解决我的绑定问题。 最后在界面上禁用DAD,服务正常启动。 :d。 net.ipv6.conf.eth0.accept_dad = 0 随着IPv6的发展,我会把目光投向这个引导DAD的问题。 我只看到这个服务绑定到特定的IPv6地址。
我正在亚马逊EC2服务器上运行OpenVpn的Centos 7服务器。 我怎样才能configuration它只允许访问端口2087和2083当我连接到VPN,但不是当我没有连接。 谢谢
新的Linux和寻求友好的援助。 我的公司正在重新configuration我们的networkingDNS基础设施,将我们的内部DNS服务器指向我们DMZ中的两台新的CentOS 7 / BIND 9机器,而不是直接解决未知主机。 我已经安装了CentOS内核,为服务器所在的networkingconfiguration了IP,掩码和网关,并validation了IP连接正在工作。 # cat /etc/sysconfig/network-scripts/ifcfg-ens160 TYPE="Ethernet" BOOTPROTO="none" DEFROUTE="yes" IPV4_FAILURE_FATAL="no" IPV6INIT="yes" IPV6_AUTOCONF="yes" IPV6_DEFROUTE="yes" IPV6_FAILURE_FATAL="no" NAME="ens160" UUID="939ac388-1804-487d-a38c-307b7fa8ac18" DEVICE="ens160" ONBOOT="yes" IPADDR="10.1xx.xx" PREFIX="24" GATEWAY="10.1xx.x.1" DNS1="127.0.0.1" DNS2="8.8.8.8" DNS3="198.41.0.4" IPV6_PEERDNS="yes" IPV6_PEERROUTES="yes" IPV6_PRIVACY="no" 然后我可以安装BIND和BIND-UTILS。 之后,一切都已经下山了。 我无法从任何服务器或从我的内部testingDNS服务器上执行nslookups。 我和我们的防火墙工程师一起工作过,他已经validation了DNS内部testingDNS服务器与两个DMZ DNScaching服务器之间允许DNS通信, 试图联系他,以确保外部NAT正在工作。 我将localhost,8.8.8.8和198.41.0.4configuration为DNScaching服务器的DNS服务器。 # cat /etc/resolv.conf # Generated by NetworkManager search <my.domain> nameserver 127.0.0.1 nameserver 8.8.8.8 nameserver 198.41.0.4 主机文件: # […]
我在VirtualBox的虚拟机上configuration了DHCP服务器。 本机有2个networking适配器, enp0s3 – NAT(从我有我的networking连接)和enp0s8 – 内部networking(intnet)。 DHCP服务器正在监听enp0s8接口。 configuration: /etc/dhcp/dhcpd.conf option domain-name "sth.com"; option domain-name-servers ns1.sth.com, ns2.sth.com; default-lease-time 600; max-lease-time 7200; authoritative; log-facility local7; subnet 10.0.3.0 netmask 255.255.255.0 { range 10.0.3.20 10.0.3.30; option domain-name-servers ns1.internal.sth.com; option domain-name "internal.sth.com"; option routers 10.0.3.9; option broadcast-address 10.0.3.255; default-lease-time 600; max-lease-time 7200; } /etc/sysconfig/dhcpd DHCPDARGS=enp0s8 /etc/sysconfig/network-scripts/ifcfg-enp0s8 TYPE=Ethernet BOOTPRO=static NETWORK=10.0.3.0 […]
我有一个configurationSVN服务器的CentOS 7服务器,我有另一台带有LDAP的Windows服务器2012R2,用于域控制器。 我可以使用ldapsearch与Windows服务器通信。 那么我现在的问题是,当我尝试通过浏览器login到svn服务器,无论我input什么,它出现一个内部错误(500)。 这是我在/etc/httpd/conf.moudules.d/10-subversion.conf ldapconfiguration: Alias /svn /var/www <Location /> DAV svn SVNParentPath /var/www AuthType Basic LDAPReferrals Off AuthBasicAuthoritative on AuthBasicProvider ldap AuthName "SVN Server Login" AuthLDAPURL ldap://172.20.2.3:389/,dc=syd,dc=domain,dc=com?sAMAccountName?sub?(ObjectClass=*) NONE AuthLDAPBindDN syd\admin AuthLDAPBindPassword adminpassword Require valid-user </Location> 我得到了这样的错误信息: [Thu May 12 09:55:02.382284 2016] [authnz_ldap:info] [pid 9720] [client 172.19.12.2:61673] AH01695: auth_ldap authenticate: user a.b1 authentication failed; […]
我在Red Hat Linux 7上运行MBR恢复testing。我试图故意删除MBR: dd if=/dev/random of=/dev/sda bs=1 count=512 我可以看到 fdisk -l /dev/sda 分区表损坏,但一旦我重新启动,系统启动罚款! 我怎样才能真正破坏MBR部门? PS:我的安装是RHEL 7,带有单独的/boot分区( /dev/sda1 )和LVM上系统的其余部分。
我有几台运行Samba v3.6的CentOS 7服务器,他们join到Windows Server 2008 R2 Active Directory域,我的客户端是Windows 10.我无法使用主机名访问某些服务器上的samba共享通过IP地址。 我已经检查的东西: DNS工作正常。 当我尝试通过主机名访问服务器时,有在samba中生成的客户端日志。 “wbinfo -u”列出所有的Active Directory用户 “getent passwd”用Unix访问列出本地用户和Active Directory用户。 来自客户端的SSH访问与尝试访问共享的同一用户一起工作。 时间通过NTP与域控制器同步 Sambaconfiguration: [global] netbios name = SERVERNAME workgroup = DOMAIN realm = DOMAIN.INT security = ads idmap config * : backend = nss idmap config * : range = 500-100000000 idmap config DOMAIN : backend = […]
我有一个设置,我的Web服务器上的某个链接被redirect到一个FCGID模块。 当我用' setenforce 0 '禁用SELinux时,该站点工作。 当我启用它将无法正常工作,它给了我一个“错误500 – 内部服务器错误”。 我习惯于修复这些SELinux错误,但是当我查看audit.log时 ,没有与Apache或我的fcgid程序相关的新条目。 在过去,当我有一个SELinux的错误,每次我刷新页面,它给了我一个新的条目在这个文件。 刷新网站后,我的apache error_log添加这些条目: [Thu Jul 07 14:34:04.240551 2016] [fcgid:warn] [pid 18054] (104)Connection reset by peer: [client XXX.XXX.XXX.XXX:34622] mod_fcgid: error reading data from FastCGI server [Thu Jul 07 14:34:04.240629 2016] [core:error] [pid 18054] [client XXX.XXX.XXX.XXX:34622] End of script output before headers: rt-server.fcgi 这是我的服务器信息: OS: CentOS Linux […]