熟悉电子邮件服务器组件和configuration。 知道了对Dovecot 2.x的configuration更改,并且愿意使用SSLencryption,我已经遇到了这个指南 。 Postfix,Dovecot和带有SSLconfiguration的POP。 IMAP和SSL的区别仅仅是“/etc/dovecot/conf.d/10-master.conf”中的软件包(dovecot-imapd和dovecot-pop3d)和参数的区别。 完全按照指南,创build2个电子邮件用户帐户。 当试图连接OSX邮件程序时,我首先遇到以下问题。 dovecot: auth: Error: passwd-file /etc/dovecot/passwd: User xx@domain is missing userdb info 注意到用户名和密码存储在单独的文件中,我更改了“/etc/dovecot/conf.d/auth-system.conf.ext”,以包含用户文件,如下所示 passdb { driver = passwd-file args = scheme=cram-md5 username_format=%u /etc/dovecot/passwd #driver = pam #[session=yes] [setcred=yes] [failure_show_msg=yes] [max_requests=<n>] #[cache_key=<key>] [<service name>] #args = dovecot } userdb { driver = passwd-file args = username_format=%u /etc/dovecot/users #<doc/wiki/AuthDatabase.Passwd.txt> #driver […]
我在ubuntu(12.04或14.04)上使用ufw在高stream量的networking服务器上(很多http / httpsstream量)。 我试着调整与连接跟踪有关的内核参数,并取得了一些成功 但是考虑一下,我不做NAT,因此我不认为我至less需要连接跟踪端口80或443。 我尝试着从这个问题的方向来适应,那就是: sudo iptables -t raw -A PREROUTING -p tcp –dport 80 -j NOTRACK 和我的原始表格看起来像: Chain PREROUTING (policy ACCEPT) target prot opt source destination NOTRACK tcp — anywhere anywhere tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination 为了testing一切正常,我使用wrk使用3个线程和1000个连接请求机器上的一个nginx实例。 wrk -t 3 -c 1000 "http://<server_ip>/" 由于这些不应该被追踪,我不应该看到他们的连锁数量 不过,我呢… sudo sysctl […]
嘿,我正在使用Apache服务器来为我的Python-Flask应用程序供电。 它使用urllib2,它使传出的连接请求被UFW阻塞。 我如何只允许Apache发出传出的连接请求,而不是别的?
我已将运行Ubuntu 14.04.4 LTS的Amazon EC2实例configuration为仅使用一个AWS安全组,其中所有出站通信都已打开,并且传入通信受限,以允许从任何位置传入TCP连接到22,80,443,5000。 我也有ufwconfiguration和运行,以便这些端口根据ufw status : Status: active To Action From — —— —- Nginx Full ALLOW Anywhere 5000 ALLOW Anywhere 22 ALLOW Anywhere Nginx Full (v6) ALLOW Anywhere (v6) 5000 (v6) ALLOW Anywhere (v6) 22 (v6) ALLOW Anywhere (v6) 尽pipe如此,当我在本地机器上运行nmap到服务器的地址时,我得到这个: Starting Nmap 7.12 ( https://nmap.org ) at 2016-08-17 22:55 EDT Nmap scan report […]
我pipe理安装了ispconfig 3的Ubuntu服务器(14.04)。 服务器正用于邮件,networking和数据。 我之前的系统pipe理员已经启用了fail2ban和ufw,但是我们今天一整天都在遇到dovecotauthentication的问题。 当我试图访问防火墙时,我不断收到错误消息: 错误:运行iptables的问题:另一个应用程序当前持有xtables锁。 也许你想使用-w选项? 尝试软重启冻结了服务器,并且硬重启使问题马上回来。 然后,通过使用lsof -p $(pidof iptables)进一步调查,我得到以下输出: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME iptables 1526 root cwd DIR 9,1 4096 2 / iptables 1526 root rtd DIR 9,1 4096 2 / iptables 1526 root txt REG 9,1 87768 261694 /sbin/xtables-multi iptables 1526 root mem REG 9,1 6336 […]
我已经在这个好几天了,并尝试了所有可以在网上search的东西,但似乎没有任何工作。 客户端可以连接并接收来自VPN服务器的ping响应,并且在日志中看不到任何错误。 只是客户没有互联网连接。 每当我注释掉在server.conf上push "redirect-gateway def1 bypass-dhcp" ,事情就会push "redirect-gateway def1 bypass-dhcp"但互联网不会被过滤掉。 如果启用,网站将连接,但将无法检索内容。 在客户端: $ wget google.com –2016-10-30 13:39:44– http://google.com/ Resolving google.com (google.com)… 216.58.217.174 Connecting to google.com (google.com)|216.58.217.174|:80… connected. HTTP request sent, awaiting response… 301 Moved Permanently Location: http://www.google.com/ [following] –2016-10-30 13:39:44– http://www.google.com/ Resolving www.google.com (www.google.com)… 216.58.217.164 Connecting to www.google.com (www.google.com)|216.58.217.164|:80… connected. HTTP request sent, awaiting […]
我有一个与Nginx的WordPress的博客设置。 我一直看这个 80.82.64.220 – – [10/Nov/2016:08:21:48 +0000] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 这是每秒一个请求。 所以我试图通过nginx的conf文件拒绝访问xmlrpc.php。 location /xmlrpc.php { deny all; access_log off; } 我尾巴的访问文件,可以看到它仍然被访问。 不知道为什么。 我尝试从我的开发机器curl随机参数,我得到一个XML文件。 我不知道为什么我得到一个XML文件。 我注意到所有请求都来自同一台服务器。 所以我想我们只是阻止IP,所以我做 sudo ufw deny from 80.82.64.220 我检查状态,它确实显示规则被添加。 我尾巴的访问文件,我仍然可以看到该文件正在访问。 防火墙和nginxconfiguration文件(包括访问日志文件)的所有更改都在我的实际服务器上。 这个服务器位于一个nginx反向代理的后面。 反向代理的访问日志没有这个访问日志,所以我猜测,主服务器正在被直接访问。 但是,文件仍然被访问?
我正在使用opbeat在Django应用程序上进行错误报告。 我的应用程序在Ubuntu 15.10的服务器上运行,并使用UFW进行防火墙安全。 不幸的是,防火墙也阻止了从我的服务器发送到他们的云的错误报告opbeat。 Opbeat的支持告诉我,他们的接口连接的端口是什么,我允许来自该端口的所有传入和传出通信。 另外,我允许来往于当前IP地址的stream量。 由于他们使用AWS,他们拥有dynamic的IP地址,所以这只是一个临时解决scheme。 但是,即使使用当前的IP,防火墙仍然不允许错误消息通过。 有没有其他人使用ufw可能有解决scheme的opbeat? 谢谢! 编辑 以下是sudo ufw status verbose的输出。 我已经截断它去除任何不需要做opbeat的IP。 另外,主pipe/ gunicorn运行我的应用程序在端口9000,我有端口8081清漆caching的应用程序。 那些是非标准的,所以值得一提。 Status: active Logging: on (low) Default: deny (incoming), deny (outgoing), deny (routed) New profiles: skip To Action From — —— —- 80 ALLOW IN Anywhere 443 ALLOW IN Anywhere 80/tcp (Nginx HTTP) ALLOW IN Anywhere 443/tcp […]
我的服务器被大量计算机的人滥用。 我注意到他们都在同一个端口上运行,所以要清楚的是,我收到来自以下来源的请求: some-ip1:3333 some-ip2:3333 some-ip3:3333 … 不pipe有多less个IP单独阻塞,一个新的IP只是从一个新的IP而来,但是来自相同的端口号。 我如何使用UFW来阻止来自特定端口号的任何传入请求,但是来自任何IP地址? ufw deny [port]不起作用,因为阻止人们访问我的端口3333,并ufw deny in/out [port]似乎做同样的事情。
为了控制iptables ,我停止使用firewalld ,而是使用ufw 。 我需要应用这些规则,但使用ufw : firewall-cmd –zone=dmz –permanent –add-rich-rule='rule protocol value="esp" accept' # ESP (the encrypted data packets) firewall-cmd –zone=dmz –permanent –add-rich-rule='rule protocol value="ah" accept' # AH (authenticated headers) firewall-cmd –zone=dmz –permanent –add-port=500/udp #IKE (security associations) firewall-cmd –zone=dmz –permanent –add-port=4500/udp # IKE NAT Traversal (IPsec between natted devices) 我知道最后两个很容易,因为如果ufw allow 500/udp, ufw allow 4500/udp […]