我想configuration防火墙阻止特定进程的某些域。 但是这些被阻止的域名应该可以被其他进程使用。
从远程浏览器访问端口8100上的侦听服务(Ionic)时遇到困难。 我在Ubuntu 16.04 LTS服务器上安装了iptables,设置如下: -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 127.0.0.0/8 ! -i lo -j REJECT –reject-with icmp-port-unreachable -A INPUT -p icmp -m state –state NEW -m icmp –icmp-type 8 -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -m state –state […]
我正在下载Amazon Web Services的CIDR列表: https://ip-ranges.amazonaws.com/ip-ranges.json 然后把它们放在一个ipset与行: sudo ipset -q -A tor $ip 并用下面的命令阻止iptables: sudo iptables -A INPUT -m set –match-set tor src -j DROP 总共有约65,000个IP在ipset tor 。 它也有阻止IP和其他一些,这对于这些工作正常,但由于某种原因,似乎无法阻止任何亚马逊IP。 有任何想法吗? 完整的规则列表: sudo ipset -N whitelist nethash sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m set –match-set whitelist src -j ACCEPT sudo iptables […]
我试图允许ssh访问另一个子网中的计算机防火墙后面的计算机。 防火墙后面的计算机在10.66.1.1/255.255.0.0,而另一台计算机在10.99.1.1/255.0.0.0。 我试图添加下面的规则到iptables,但我仍然无法访问防火墙的计算机。 iptables –append INPUT –match tcp –protocol tcp –src 10.99.1.1 –sport 22 –dst 10.66.1.1 –dport 22 –jump ACCEPT
我打算很快购买一台服务器。 我希望服务器尽可能安全,只有POP3,SMTP,SSH和HTTP打开。 我知道如何编写一个iptables脚本,只允许这些连接,并放弃一切,但我不知道如何防止攻击。 是否有任何示例脚本,尽可能地迎合尽可能多的不同的攻击(块和可选的日志)? 一个脚本,可以阻止DDoS攻击(SYN泛滥,ICMP泛滥等),端口扫描,蛮力攻击等。一切(或尽可能接近我们可以得到的)
这是我的三个select: 现在我有一个思科ASA,我用于防火墙,VLAN路由器,网关和ISP故障转移。 ASA没有足够的控制来满足我的需求,而且执行许可证的成本非常高。 所以升级许可证是我最不喜欢的select。 我的思科也只有100Mb接口,所以我的两个VLAN之间的文件传输将非常慢。 我正在考虑让一个戴尔的R210 II处理所有这些任务。 它的dell规格最低的机架服务器。 我只想添加一个4端口的千兆网卡。 我将使用它来设置我的两个VLAN之间的路由,一个防火墙,以及所有使用IPTables的ISP故障转移。 有人build议我把这个服务器包含到我的虚拟服务器中,这个虚拟服务器是一个具有相同物理备份的大型4u服务器,但是将域控制器和应用程序服务器与防火墙放在同一个物理设备上似乎是个坏主意。 DMZ服务器。 我想去第二个选项,因为它将连接服务器从我的其他服务器中分离出来。 这也便宜很多,我将完全控制IPTables。 我们的networking中有大约200个设备,在这样的低端服务器上似乎很容易处理。 我是否错过了一些东西,或者我应该继续与IPTables单独的Linux服务器?
我有一个新的服务器,我不知道iptables。 我试过打开端口(25565,如下所示),但仍然无法连接。 iptables -L说以下; Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp — anywhere anywhere ACCEPT all — anywhere anywhere ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh REJECT all — anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination […]
我试图阻止一些攻击者试图从我的网站利用XSS漏洞,我发现大多数恶意尝试都是从经典的“alert(document.cookie);”testing开始的。 该网站不容易受到XSS的影响,但是我想在发现真正的漏洞之前先阻止违规的IP地址,同时保持日志清洁。 我的第一个想法是有一个脚本不断检查在Apachelogging所有的IP地址,以探针开始,并发送这些地址到一个iptables的下降规则。 有了这样的事情: cat / var / log / httpd / -access_log | grep“alert(document.cookie);” | awk'{print $ 1}'| uniq的 为什么将这个命令的输出发送到iptables是一种有效的方法? 预先感谢您的任何意见!
我试图让我的移动设备从任何地方连接,Wi-Fi或不连接到运行webmin服务的Linux服务器的特定端口。 我使用iptables来设置一些规则,IP地址可以连接到该端口,例如我的房子。 我没有任何其他设备或IP连接到我的服务器的webmin服务,所以我放弃与iptables每隔一个连接。 此外,我的房子ipadress变化,这是一个问题,因为我必须更新规则。 不过,我希望通过手机与移动数据或Wi-Fi连接。 MAC地址不是一个选项,因为该设备将改变互联网连接,这是不可通过浏览器。 所以问题是,有没有办法确定一个特定的设备请求,让它访问或不到我的服务器?
我试图让互联网stream量端口7778在我的服务器上,但无法做到这一点。 可能在这里犯了一些菜鸟的错误。 你能帮我诊断和解决这个问题吗? 我只是做了以下几点: sudo iptables -A TCP -p tcp -m tcp –dport 7778 -j ACCEPT 如果我做iptables -S ,我会看到列表中附加的规则,例如: -A TCP -p tcp -m tcp –dport 22 -j ACCEPT -A TCP -p tcp -m tcp –dport 80 -j ACCEPT -A TCP -p tcp -m tcp –dport 443 -j ACCEPT -A TCP -p tcp -m tcp […]