我们正在使用5505 ASA Sec +(8.2)。 有三个接口:内部(172.17.0.0/24),dmz(172.16.0.0/24)和外部(例如1.2.3.4)。 有一些静态NAT规则将1.2.3.4转换为dmz上的服务器(包括1.2.3.4:80到172.16.0.10:80)。 这些工作从外面。 如何让内部用户使用外部IP以与外部用户相同的方式访问DMZ服务器? 因为我们正在使用端口地址转换(取决于端口号的几个不同的服务器),我想避免DNS修改。 无论我们是否使用NAT来进行直接的dmz内部stream量(大部分stream量都将通过公共IP)。 当前的NATconfiguration: ASA Version 8.2(5) same-security-traffic permit inter-interface same-security-traffic permit intra-interface global (outside) 1 interface global (dmz) 2 interface nat (inside) 1 172.17.0.0 255.255.255.0 nat (dmz) 1 172.16.0.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 static (dmz,outside) tcp interface https 172.16.0.10 https netmask […]
我正在寻找关于如何configurationMikrotik路由器loginNAT会话设置和理想的拆卸的build议。 但是,只有设置足以满足我的迫切需求。 我发现了一种方法来logging所有的数据包,我可能会减less这只loggingTCP SYN,FIN和RST数据包,但我还没有find该方法。 这不包括UDP,我也想跟踪。 对于UDP,如果会话超时并再次作为新会话再次出现,那就好了。
我必须像这样连接两个networking: RemoteLan<–>Router3G/Firewall<–>INTERNET<–>Firewall<–>LocalLan 所以,我需要从LocalLan到达RemoteLan中的一个设备。 防火墙具有静态IP地址,也是VPN服务器(OpenVPN或IPsec),但远程3G路由器具有dynamic和低于NAT的IP地址。 远程路由器也是一个防火墙,可以启动Open VPN连接。 这个系统在技术上是否可行,我可以到达远程设备吗? 谢谢
我正在使用VirtualBox尝试将Windows设置为我的开发环境,而将Ubuntu VM设置为我的“虚拟服务器”。 所以,Windows 7是我的笔记本上的主机操作系统。 我的客户操作系统是Ubuntu,它将运行我的LAMP设置。 我把笔记本电脑带到朋友的地方和我的女朋友的地方。 有时我使用我的以太网适配器,有时是无线的 – 所以我使用不同的networking和不同的适配器,并试图保持我的configuration独立,如果这是可能的。 我希望客人有一个静态IP,所以我可以在Windows中设置我的主机文件,指向我的Ubuntu“虚拟服务器”。 我应该怎么做? 我已经设法在Ubuntu中使用NAT在VirtualBox中设置一个静态IP地址,但当然我不能从Windows访问任何东西 – 我需要能够在我的大约访问10.0.2.15,但虚拟机隐藏在NAT … 有任何想法吗? 你能指出我应该如何configuration这个正确的方向吗? 提前致谢!
我们在我们的内部networking中有一个代理服务器,我想把所有的Internet http请求redirect到本地networking中的一个Web服务器。 这就像一个networking广告牌,说:“没有直接连接可用,设置您的代理等。 例如: 用户启动计算机 打开浏览器 尝试打开www.google.com 应该在本地networking上看到Web服务器输出 在互联网上尝试另一个网站 应该在本地networking上看到Web服务器输出 设置代理 试图连接到一个网站 网站应该加载 我已经在Checkpoint防火墙中添加了一个简单的手动NAT规则来解决翻译问题,但它根本不起作用。 这是我的地址转换规则 Source Destination Service T.Source T.Destination T.Service MY_PC A_GOOGLE_IP ALL ORIGINAL INT_WEB_SRV ORIGINAL 然后,当我ping A_GOOGLE_IP ,答复来自INT_WEB_SRV ,正如我所料。 但是,当我尝试从浏览器( http:// A_GOOGLE_IP )连接A_GOOGLE_IP ,SYN_SENT没有响应,并进入超时。 当我查看INT_WEB_SRV的防火墙日志时,可以看到来自MY_PC的传入连接请求被接受,并且NO拒绝。 顺便说一下,从浏览器查看INT_WEB_SRV ( http:// INT_WEB_SRV )是没有问题的。 我的理解是,我的NAT规则在检查点NGX R60不包括返回数据包。 我绝对需要一些帮助。
我正在致力于在Amazon EC2和我的内部部署之间获得IPSec VPN。 目标是能够安全地pipe理这些隧道上的东西,上传/下载数据等。 我已经得到了在使用弹性IP的Fedora 12实例和也是NAT的Cisco路由器之间的openswan隧道。 我认为ipsec部分是可以的,但我很难找出如何路由stream量, 有没有“ipsec0”virutal接口,因为在亚马逊你必须使用netkey而不是KLIPS的VPN。 我听说iptables可能是必需的,我是iptables noob。 在左边(亚马逊),我有一个10.networking。 方框1私下为10.254.110.A,公开IP 184.73.168.B. Netkey隧道已经启动 方框2公开为130.164.26.C,私下为130.164.0.D 我的.conf是: conn ni type= tunnel authby= secret left= 10.254.110.A leftid= 184.73.168.B leftnexthop= %defaultroute leftsubnet= 10.254.0.0/32 right= 130.164.26.C rightid= 130.164.0.D rightnexthop= %defaultroute rightsubnet= 130.164.0.0/18 keyexchange= ike pfs= no auto= start keyingtries= 3 disablearrivalcheck=no ikelifetime= 240m auth= esp compress= no keylife= 60m […]
问题: 一个未知的私人(NAT)客户端感染了恶意软件,它试图随机访问一个Bot服务器。 我们如何知道这一点: 我们收到来自REN-ISAC的 botstream量通知/警报。 不幸的是,我们直到发生后的第二天才收到。 他们提供给我们的是: 源地址(防火墙的) 目标地址(它有所不同,但他们将分配给德国ISP的networking子网) 源端口(其变化 – dynamic端口)。 题: 用思科ASA作为防火墙查找内部主机(历史上)的最佳方法是什么? 我猜测阻塞任何目标地址,并logging这种types的stream量/访问可能让我find源主机,但我不知道哪个工具/命令将是最有用的。 我已经看到Netflow在日志logging中引起了一些反应,但是我把它与Logging,NAL和nBAR的关联以及它们与Netflow的关系混淆了。
这是最初发布到StackOverflow,但由于代码的作品,这很可能是一个networking/防火墙的问题,我想我会问这里。 正如标题所述,我可以通过FileZilla Client从我的服务器连接到另一台机器,但是我不能通过代码(.Net – FTPWebRequest) 我知道代码是好的,因为它从另一台机器上运行。 我遇到的特定机器是在NAT后面,但是SA已经打开了所有与我们正在谈话的主机的通信的端口。 任何build议 – 我错过了明显的东西? 我尝试连接的例外是: "Unable to read data from the transport connection: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond." 而且,我们试图连接的机器的日志显示: 7/26/2010 12:40:23 PM – (not logged in) […]
我已经有一个类似的configuration工作在另一台主机与BIND 8.4.7 我正在迁移到一个新的名称服务器,所以我决定将BIND升级到9.7.3 configuration类似于这个,但我已经添加了一些宽松的(也许是冗余的)限制,试图使其工作。 //named.conf options { listen-on-v6 { any; }; listen-on { any; }; }; acl "lan" { 127.0.0.1; 192.168.x.0/24; }; view "internal" { match-clients { "lan"; }; match-destinations { any; }; zone "foo.com" IN { type master; allow-query { any; }; allow-recursion { any; }; file "foo.com.internal.hosts"; }; }; view "external" { match-clients […]
注意:这是OpenVPN论坛的转贴 我刚刚在我的Linode VPS上安装了OpenVPN,并且已经成功连接了我的Android手机。 现在,我想使用客户端上的“路由所有stream量”选项。 我不知道如何设置服务器端的路由,所以我非常感谢任何帮助。 今年夏天,我在当地的社区学院上课,他们似乎认为一个开放的带有Webauthentication的WAN是足够安全的。 这里是我的界面configuration: eth0 Link encap:Ethernet HWaddr f2:3c:91:93:a8:c2 inet addr:173.255.235.246 Bcast:173.255.235.255 Mask:255.255.255.0 inet6 addr:2600:3c03 :: f03c:91ff:fe93:a8c2 / 64范围:Global inet6 addr:fe80 :: f03c:91ff:fe93:a8c2 / 64范围:连接广播运行组播MTU:1500度量标准:1 RX包:126144742错误:0丢弃:0超限:0帧:0 TX包:315279错误:0丢弃:0超载:0载波:0冲突:0 txqueuelen :1000 RX字节:2301671639(2.3 GB)TX字节:136422020(136.4 MB)中断:44 链路封装:本地环回 inet addr:127.0.0.1掩码:255.0.0.0 inet6 addr:1/128范围:主机UP LOOPBACK RUNNING MTU:16436度量:1 RX包:3971错误:0丢弃:0超限:0帧:0 TX包: 3971错误:0丢弃:0超载:0载波:0冲突:0 txqueuelen:0 RX字节:753104(753.1 KB)TX字节:753104(753.1 KB) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 […]