Questions tagged «firewall»

防火墙是用于检查和过滤网络流量的应用程序或硬件设备。

8
阻止员工访问公共云
首先,让我指出这不是我的主意,我不想讨论这种行动是否合理。 但是,对于公司而言,是否有一种方法可以阻止员工访问公共云服务?特别是,他们应该不能将文件上传到Web上的任何位置。 阻止HTTPS可能是第一个简单但非常激进的解决方案。使用IP地址黑名单也无法满足要求。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤HTTPS流量。 到目前为止,这是我的想法。你怎么看?有任何想法吗?

1
Fail2ban jail.local与jail.conf
是否jail.local文件充当覆盖到jail.conf或作为替代,以jail.conf? 当我从教程中学习Fail2Ban时,大多数人通常会说要么将jail.conf复制到jail.local并在那里进行编辑,另一些人却说要创建一个新的jail.local文件并提供许多设置以进行复制并粘贴。但是他们没有解决的是jail.local如何与jail.conf一起工作。这些是两种情况: 覆盖:如果jail.local替代了jail.conf文件,那么我要做的只是将我想覆盖的必要配置添加到jail.conf中提供的默认配置中。在这种情况下,我不需要添加SSH配置等。因为它已经包含在jail.conf中。 替换:如果在存在jail.local时jail.conf变得无效,那么我需要在jail.local中添加所有规则,然后编辑要修改的规则。 当出现jail.local时,您能否确认jail.conf会发生什么?如果jail.local的行为只是jail.conf文件顶部的替代,那么对我来说,只需添加几行要添加的规则就容易了,这也使维护和可读性变得容易。最好的方法是什么?

3
UFW防火墙规则订购?
我在UFW的服务器上有以下规则: To Action From -- ------ ---- 22 ALLOW 217.22.12.111 22 ALLOW 146.200.200.200 80 ALLOW Anywhere 443 ALLOW Anywhere 22/tcp ALLOW 109.104.109.0/26 前两个规则是我们要确保始终可以在(端口22)进行SSH进入的内部IP。接下来的两个规则是允许从任何位置的任何IP地址查看HTTP和HTTPS。最终规则是允许从我们的代码部署系统中使用SSH。 我设置了一条ufw default deny规则,但似乎没有显示。我还应该有一条拒绝一切的最终规则吗? 如果添加“拒绝一切”规则,规则在上方显示的顺序是否有所不同?大概如果此列表变得更长,那么在拒绝规则之上添加另一个允许规则是不可能的,这意味着我必须删除并重新添加一些规则吗?
23 ubuntu  firewall  ufw 


4
UFW的速率限制:设置限制
UFW的手册页提到它可以为我设置iptables速率限制: ufw支持连接速率限制,这对于防止暴力登录攻击很有用。如果IP地址在最近30秒内尝试启动6个或更多连接,则ufw将拒绝连接。有关 详细信息,请参见 http://www.debian-administration.org/articles/187。典型用法是: ufw limit ssh/tcp 不幸的是,这是我能找到的所有文档。我想坚持使用UFW,而不要使用更复杂的iptables命令(以使事情“不复杂”)。 我如何使用ufw将端口80上的所有传入(非传出)流量限制为每30秒20个连接?如何禁用端口30000至30005的速率限制?默认情况下是否为所有端口启用速率限制?

11
如何确定端口是否打开?
我已经在Windows 7计算机上安装了Apache服务器。通过在浏览器的地址栏中输入http:// localhost /,我可以显示默认的index.php 。 但是,我仍然无法通过键入计算机的IP地址(本地(从同一台计算机)到全局(从连接到Internet的另一台计算机)到本地)来查看此页面。 有人告诉我我需要打开端口80。我这样做了(以此处描述的方式),但是它不能解决问题。 首先,我想检查哪些端口已打开,哪些未打开。例如,在尝试打开之前,我不确定端口80是否已关闭。我也不确定在尝试打开它之后是否将其打开。 我试图运行一个用Python编写的非常简单的Web服务器。为此,我使用了端口81,它起作用了!而且我没有尝试打开端口81。因此,默认情况下它是打开的。那么,如果默认打开81,为什么不打开80?还是它? 其他信息: 1.在我的httpd.conf文件中,我有“ Listen 80”。 2. 该站点告诉我计算机上的端口80已打开。 3.如果尝试使用http:// myip:80和http:// myip:81,则会得到不同的响应。在最后一种情况下,浏览器(Chrome)告诉我该链接已损坏。在第一种情况下,我得到:禁止访问您无权访问此服务器上的/。 4. IE写道:“该网站拒绝显示此网页”。

3
CentOS 7防火墙配置
在CentOS 6中,我可以setup从命令行键入内容,然后会看到一组工具,其中一个是Firewall configuration。我仍然可以在CentOS 7中做到这一点,除了列表不再Firewall configuration作为选项。 有人知道我现在在哪里可以找到它,为什么它被移走了吗? 这是我过去用来允许通过HTTP和传入流量的地方HTTPS。如果有更好的方法,我很乐意接受建议。谢谢。
22 centos  firewall  http  https 

8
如何预防零日攻击
传统上,所有防病毒程序和IPS系统都使用基于签名的技术来工作。但是,这对于防止零时差攻击没有太大帮助。 因此,如何预防零时差攻击?

3
Windows Advanced防火墙:“边缘遍历”是什么意思?
这应该是一个非常简单的方法: 在Windows Server 2008+的高级Windows防火墙的 “ 属性”>“高级”中,“ 边缘遍历 ”是什么意思? 我用Google搜索了它,但是无法给出具体的答案,当我在Thomas Schinder的博客上看到以下内容时,我尤其感到震惊: 边缘遍历选项是一个有趣的选项,因为它的文档介绍得不够好。这是帮助文件的内容: “边沿遍历这表明是启用边(是)还是禁用边遍(否)。启用边缘遍历后,该规则适用的应用程序,服务或端口可全局寻址,并可从网络地址转换(NAT)或边缘设备外部访问。” 您认为这可能意味着什么?通过在服务器前面的NAT设备上使用端口转发,我们可以使服务跨NAT设备可用。这可能与IPsec有关吗?可能与NAT-T有关吗?可能是该功能的帮助文件编写器也不知道,并且做了一些表示重言式的事情吗? 我不知道该怎么做,但是如果我发现了,我将确保在我的博客中包含此信息。 我很欣赏他的诚实,但如果这个人不知道,谁会呢? 一旦机器位于路由器的另一侧,我们就很难连接到VPN,我想知道这是否有帮助?因此,我非常渴望听到有关“ Edge Traversal”功能的正确描述!

3
“传入”和“传出”流量是什么意思?
我已经看过很多资源,它们解释了如何设置服务器的防火墙以允许HTTP标准端口(80和443)上的传入和传出流量,但是我不知道为什么需要它们中的任何一个。我是否需要同时取消阻止这两个 “常规”网站才能正常工作?要进行文件上传?在某些情况下,建议取消阻止一个,而另一个阻止? 抱歉,这是一个基本问题,但是我找不到任何地方可以解释的问题(而且我不是英语母语人士)。我知道在“常规”网站上,客户端始终是发起请求的客户端,因此我假设Web服务器必须接受这些端口上的传入流量,并且我的常识告诉我服务器被允许发送响应而不会取消阻止其他任何内容(否则,拥有两种类型的规则将毫无意义)。那是对的吗? 但是什么是传出的Web(服务)流量,其用途是什么?AFAIK如果服务器要启动与另一台计算机的连接,则重要的特定端口是另一端的端口(即目标端口为80),在该端可以使用任何空闲端口(源端口为随机端口))。我可以从服务器打开HTTP请求(wget例如使用),而无需取消阻止任何操作。因此,我假设我的“传入”和“传出”概念是错误的。

4
在服务器之间复制UFW规则
我正在Colo上进行硬件刷新,只需要将UFW规则从旧服务器复制到新服务器即可。我似乎无法让他们将所有活动规则从旧服务器复制到新服务器。 如何在服务器之间复制活动的UFW规则?
20 firewall  ufw 

2
为什么我们的防火墙(Ubuntu 8.04)拒绝带有RST的最终数据包(FIN,ACK,PSH)
背景技术长期以来,我们的防火墙一直存在问题,有时防火墙会将HTTP请求的部分挂起挂起,直到TCP超时为止。 在防火墙上跟踪流量之后,我注意到它仅在某些定时条件下发生,例如,当Web服务器在客户端已在有效负载上发送其第二个ACK之前发送了整个响应时。[SYN,SYN / ACK,ACK]已被交换,REQUEST已发送并被ACK',并且第一个RESPONSE数据包已被接收并ACK',然后网络服务器将其余的响应主体发送到一个镜头中(8个数据包)包括最后一个FIN,PSH),并且在客户端对其中任何一个进行确认之前,带有RST的Firewall REJECTS指向Web服务器,并保持客户端无限挂起。 这是整个wireshark跟踪以及来自防火墙双方的数据包。192.168.126.161是客户端的专用NAT'et IP地址。172.16.1.2是Web服务器IP(未显示真实的公共IP),而10.1.1.1是防火墙外部IP(未显示真实的公共IP) 2105 0.086275 192.168.126.161 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2106 0.000066 10.1.1.1 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2107 0.002643 172.16.1.2 10.1.1.1 TCP http > 37854 [SYN, ACK] Seq=0 …

3
iptables错误:未知选项--dport
定义规则时,命令iptables不再识别最常用的选项之一:--dport。 我收到此错误: [root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. 上面的add rule命令只是启用Terraria连接的示例。 这是我目前作为准系统iptables配置(listiptables别名为iptables -L -v --line-numbers)所具有的,并且很明显--dport在过去有效: root@dragonweyr /home/calyodelphi]# listiptables Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out …

3
调试iptables和常见的防火墙陷阱?
这是一个建议的 规范问题如何了解和调试在Linux系统上的软件防火墙。 为了回应 EEAA的回答和@Shog的评论,我们需要适当的规范问答来结束有关iptables的常见相对简单问题。 有什么结构化的方法可以调试Linux软件防火墙(通常由userland接口iptables引用的netfilter数据包过滤框架)的问题? 有哪些常见的陷阱,重复出现的问题以及一些简单的或稍微晦涩难懂的内容,以检查偶尔的防火墙管理员可能会忽略或从中受益? 即使当您使用UFW,FirewallD(aka firewall-cmd),Shorewall或类似工具时,如果没有这些工具提供的抽象层,您也可以从内部查看而受益。 此问题并非旨在作为构建防火墙的方法:请查看产品文档,例如为iptables Trips&Tricks贡献配方,或搜索已标记的iptables ufw Firewalld Firewall-cmd问题,以获取现有的常见且广受好评的高分问与答。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.