Questions tagged «firewall»

语境 我将Ubuntu Desktop作为主要计算机运行，我将其称为D。我想通过ssh连接到服务器S，但是防火墙阻止了我。 我可以通过非常繁琐的路径访问服务器S，其中涉及Windows虚拟机和PuTTY。这使得使用该服务器非常烦人：完全不同的环境，复制/粘贴无法正常工作，在连接到该服务器时我无法正确使用桌面（Alt-Tab被虚拟机破坏）等 我已经验证可以从服务器S SSH到台式机D（与我所需要的相反）。 我可以以某种方式从服务器启动“端口转发”或类似操作，以便可以从台式机SSH到服务器吗？

17 ssh  firewall  port-forwarding 

这是关于NAT和DNS 的规范问题 我目前正在尝试使用DMZ建立一个网络，该DMZ包含一个Web服务器和一个通过网络地址转换（NAT）防火墙与Internet分开的电子邮件服务器。 我已经安装了具有以下接口的NAT防火墙： WAN - x.x.x.x (redacted public IP address) DMZ - 192.168.124.5/24 LAN - 192.168.123.5/24 在DMZ上，我有两个主机： Web server - 192.168.124.30 E-mail server - 192.168.124.32 我知道我将需要为该example.com域配置DNS以便同时解析example.com和解析mail.example.com为我的公共IP地址。 我希望NAT防火墙将所有传入请求转发到example.com192.168.124.30的Web服务器，并将所有传入请求转发到mail.example.com192.168.124.32的电子邮件服务器。我在NAT防火墙的配置中看到了“端口转发”功能，但似乎无法实现我想要的功能。

17 networking  domain-name-system  firewall  nat 

我正在运行一台Linux服务器，该服务器有时会面临沉重的负担，并且conntrack表会溢出。由于它的iptables防火墙规则集非常简单，因此我想将其设置为无状态模式。我知道iptables可以在有状态连接跟踪模式和无状态模式下运行。 我的防火墙规则都已准备就绪，我很确定它们是无状态的，但是我的问题是如何验证防火墙确实在无状态模式下运行？

17 linux  firewall  iptables 

我正在考虑与安全供应商合作在我的VPS上托管网站，但我很难理解。（是的，我知道这是OSI术语，所涉及的站点是基本的牙科和医疗实践网站，没有电子商务，也没有私人信息（SSN等）。 他们的基本计划具有第7层防火墙（我知道这是HTTP，HTTP等），但他们的高级计划也有第3,4层覆盖（我知道是IP和TCP / UDP）。 1）我不了解的是全局图–仅第7层防火墙忽略了第3/4层的问题吗？是否跳过数据包检查？ 2）如果是这样，那么如果您已经有第7层，那么第3/4层防火墙有何必要？ 如果有书或资源，我可以阅读以了解其内容，那也很棒。我想在购买前了解自己在做什么！

17 firewall  website 

我有一个具有以下简单规则的防火墙： iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp --dport 6000 -j REJECT 现在，假设我正在像这样使用TCPDUMP： tcpdump port 6000 而且我有主机192.168.16.21试图连接到port 6000。 会/应该tcpdump输出一些来自的数据包192.168.16.21吗？

17 firewall  iptables  tcp  tcpdump 

为了找出谁最近在我的服务器上登录，我使用以下命令： 从非常奇怪的IP地址登录，例如： username@pc:/home/user$ last username pts/16 59.224.XX.178.d Sun Aug 2 12:26 - 12:27 (00:00) （其中X是数字）。 我的问题：后缀.d是什么意思？当我最后一次使用选项-i时，为什么这些条目消失了？

16 linux  firewall  ip  login  ip-address 

我们的办公室在辩论是否需要在我们的VMWare群集上安装硬件防火墙或设置虚拟防火墙。 我们的环境由3个服务器节点（每个16个核，每个带64 GB RAM）和2个1 GB的交换器，带iSCSI共享存储阵列组成。 假设我们将资源专用于VMWare设备，那么选择虚拟防火墙而不是虚拟防火墙有什么好处？ 如果我们选择使用硬件防火墙，带有ClearOS之类的专用服务器防火墙与Cisco防火墙相比将如何？

16 networking  firewall  vmware-esxi  cisco-asa 

我不确定该功能到底叫什么。但是在Windows Server 2008中，它具有Vista Public / Private / Domain位置。这对于笔记本电脑来说是有意义的，而对于服务器而言则毫无意义。 我的问题是，有时某些网络适配器会决定它们现在位于公共网络上。即使对于“域”网络，这也将完全激活防火墙。因此，最终的结果是，我重新启动了一些计算机，然后它们再也没有回到网络，直到我们将KVM插入并告诉它该网络是私有的。 此功能的名称是什么？是否可以使用GP设置将其关闭并使所有网络都成为“域”？ 编辑：谢谢，这就是NLA。我尝试在非域计算机上禁用该服务，这只会使所有内容公开。在域计算机上，网络列表服务拒绝停止-我将尝试组策略。

16 windows  windows-server-2008  networking  firewall  group-policy 

当前，我们的Web服务器位于DMZ中。Web服务器看不到内部网络中的任何内容，但是内部网络可以看到Web服务器。在DMZ和内部网络之间的防火墙上仅对Intranet中的一台Web服务器打一个洞有多安全？我们正在做的工作将与我们的多个后台应用程序（都位于一台服务器上）接口，如果我们可以直接与持有此数据的IBM i服务器进行通信，那么做这个项目会容易得多（通过网络服务）。 根据我的了解（我不知道品牌），我们为DMZ设置了一个防火墙，该防火墙的外部IP与使用另一个防火墙的主IP不同。另一个防火墙位于Web服务器和Intranet之间。 所以像这样： Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz 

我一直在尝试将基本服务器iptables脚本放在一起，该脚本适用于仅使用HTTP（S）和SSH（端口80、443和22）运行基本Web服务器的大多数站点。毕竟，大多数VPS仅需要这些起始端口规则，并且以后可以根据需要添加邮件或游戏端口。 到目前为止，我有以下规则集，我想知道是否有人知道更好的脚本或可以添加的任何改进。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows …

15 linux  security  firewall  iptables  best-practices 

什么是边缘服务器？我们看到了一些对它们的引用，但从未见过定义。

15 security  firewall  hardware  gateway 

我正在使用的环境是大规模的Web托管操作（受管理的数百台服务器，几乎所有公用地址等，因此任何有关管理ADSL链接的事情都不太可能奏效），我们重新寻找可以同时管理核心规则集（目前iptables中约有12,000个条目）和我们为客户管理的基于主机的规则集。我们的核心路由器规则集每天更改几次，而基于主机的规则集每月可能更改50次（在所有服务器上，因此每月每五台服务器更改一次）。 我们目前正在使用filtergen（一般来说是球，在我们的经营规模中是超级球），过去我在其他工作中使用过Shorewall（比filtergen更好，但我认为必须会有比这更好的东西）。 我们为任何替换系统提出的“笨蛋”是： 必须相当快地生成一个规则集（在我们的规则集上运行filtergen需要15-20分钟；这简直太疯狂了）-这与下一点有关： 必须生成一个iptables-restore样式文件并一键加载，而不是为每个规则插入都调用iptables 重新加载规则集时，切勿长时间关闭防火墙（同样，这是以上几点的结果） 必须支持IPv6（我们不会部署任何不兼容IPv6的新东西） 必须不含DFSG 必须使用纯文本配置文件（因为我们通过版本控制来运行所有内容，而使用标准的Unix文本操作工具是我们的SOP） 必须同时支持RedHat和Debian（首选打包方式，但至少不能对发行版的任何标准公然敌视） 必须支持运行任意iptables命令的能力，以支持不属于系统“本地语言”的功能 不符合所有这些条件的任何事物都将不予考虑。以下是我们的“必备品”： 应该支持配置文件“碎片”（也就是说，您可以将一堆文件放在目录中，并对防火墙说“将规则集中的所有内容都包含在此目录中”；我们广泛使用配置管理，并且希望使用此功能来自动提供特定于服务的规则） 应该支持原始表 应该允许您在传入数据包和REJECT规则中指定特定的ICMP 应该优雅地支持可解析为多个IP地址的主机名（我们已经被filtergen捕获了几次；这在屁股上是一个非常皇家的痛苦） 该工具支持的更多可选（可选）/怪异的iptables功能（本机或通过现有或易于写的插件）更好。我们时不时地使用iptables的奇怪功能，而“可行”的功能越多，对每个人都越好。

15 linux  firewall  iptables 

我怀疑我国政府正在以某种方式销毁TCP连接上收到的ACK数据包。 当我尝试在80以外的端口上建立与外部主机的TCP连接时，TCP握手将不会成功。我捕获了pcap文件（gmail.pcap：http ://www.slingfile.com/file/aWXGLLFPwb ），我发现我的计算机在发送TCP SYN后将收到ACK，但没有回复它会发送的SYN ACK RST。 我检查了来自外部主机的ACK数据包，但这似乎完全合法。我知道的序列号和所有标志都是正确的。谁能告诉我为什么我的计算机（Linux计算机）将发送RST数据包？

14 networking  firewall  tcp  rst 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 8年前关闭。 目前，我正在使用VisualSVN Server，并且只能在我的家庭网络上访问。最终会有其他人访问它，但是现在只有我一个人，我希望能够下到咖啡店（或任何地方），并能够离开屋子工作。 目前，我正在访问服务器http://user-pc:xx/svn/Projects/。当我设置路由器将端口XX转发到服务器时，应采取哪些步骤保护服务器安全？ 请记住，我是在Windows上执行此操作的，尽管我广泛使用常规命令提示符，但到目前为止，我使用SVN的时间还不够长，到目前为止，除了TortoiseSVN之外，没有使用其他任何工具来使用它。 编辑：据我所知，攻击者可能做的唯一有害的事情是：猜测进入存储库的端口号，用户名和密码。但是俗话说，我不知道我不知道什么。 因此，我不一定要求逐步说明（尽管我当然也希望有这样的说明）以及在打开端口后可能要进行的任何形式的攻击时需要考虑的事项。

14 windows  security  firewall  svn  visualsvn-server 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，以使其成为服务器故障的主题。 7年前关闭。 有谁知道具有2个NIC的低功耗服务器/ PC，因此可以将其用于（OpenBSD）防火墙？ 桑德拉

14 security  firewall  hardware  bsd