Questions tagged «firewall»

防火墙是用于检查和过滤网络流量的应用程序或硬件设备。

5
管理ipv4和ipv6 iptables的并行规则?
我们最近开始试验IPv6,我们要解决的第一个问题是为两个协议栈处理一组完全独立的防火墙规则(Linux iptables / ip6ables)。我们的防火墙逻辑主要基于许多专用网络(例如10.0.0.0/24是员工工作站网络,10.1.0.0 / 24是数据库网络,10.2.0.0 / 24是Web服务器网络等) ),IPv6和IPv4的逻辑将大体相同,只是网络前缀不同。 人们正在做什么来管理这种情况?理想情况下,我希望能够从同一源文件生成iptables和ip6table规则集。我已经用bash拼凑了一些东西,但是它不一定漂亮,我怀疑必须有更好的解决方案。 我对基于Puppet的解决方案特别感兴趣,该解决方案充分利用了Puppet自己的依赖机制来实现规则(或规则组)的相对排序。
10
基本的防火墙,交换机和路由器设备?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 6年前关闭。 已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 我是一名开发人员,多年来没有处理服务器管理员或网络事务,因此“生锈”非常慷慨。我正在设置一个新的Web服务器群集(从两个1U Web服务器和一个DB服务器开始)。几年来我还没有这样做,所以我真的不知道今天有哪些可用的选项。 我想要一台设备中的所有设备: 小型基本型gbit开关 小型基本防火墙 小型基本路由器/ DHCP /网关 小型的基本VPN访问 适用于1U空间 我可以通过最小的Web界面进行一些简单的设置,然后省去-我想是家用路由器设备上方的两个步骤。 编辑:来自sysadmins的最初反应通常是“无路可走”,因为对他们来说,执行所有这些操作的设备通常都是垃圾。请意识到出于我的目的,目前可以。我的设置(和预算)还不够大,不足以证明能够很好地完成此工作的专用设备。我只是需要的东西做这个东西,在所有。 建议?
4
有没有办法查看实际过滤TCP端口通信的内容?
nmap -p 7000-7020 10.1.1.1 将输出所有过滤的端口 Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET Nmap scan report for 10.1.1.1 Host is up (0.00091s latency). PORT STATE SERVICE 7000/tcp filtered afs3-fileserver 7001/tcp filtered afs3-callback 7002/tcp filtered afs3-prserver 7003/tcp filtered afs3-vlserver 7004/tcp filtered afs3-kaserver 7005/tcp filtered afs3-volser 7006/tcp filtered afs3-errors 7007/tcp …
2
为什么fail2ban不禁止这种攻击?
我安装了fail2ban以禁止对ssh密码进行暴力破解尝试。对于禁止在此计算机上禁用密码身份验证,存在一些业务要求。 使用同一厨师食谱安装了fail2ban,该厨师食谱有效地禁止了对其他计算机的ssh攻击。有一个配置的ssh监狱: # service fail2ban status fail2ban-server (pid 5480) is running... WARNING 'pidfile' not defined in 'Definition'. Using default one: '/var/run/fail2ban/fail2ban.pid' Status |- Number of jail: 1 `- Jail list: ssh 手动禁止用户的作品: # fail2ban-client set ssh banip 103.41.124.46 但这似乎并没有自动禁止任何人: # cat /var/log/fail2ban.log 2014-11-20 18:23:47,069 fail2ban.server [67569]: INFO Exiting Fail2ban 2014-11-20 …
2
多实例服务器上的SQL Server Reporting Services(SSRS)IP处理
Tl;博士 我在多实例SQL Server(Windows Server上的每个SQL Server实例都有其自己的IP地址)上有一个具有专用IP地址和端口(162.xxx.xxx.51:1433)的SQL Server实例(SQLSERVER01-i01) )都在一台Windows服务器(SQLSERVER01 / 162.xxx.xxx.50)上运行。 我还有一个专用的Reporting Services实例(SQLSERVERRS01-i01),具有其自己的IP地址和端口(168.xxx.xxx.71:1433),该实例在具有其IP地址(168)的其他Windows服务器(SQLSERVERRS01)上运行.xxx.xxx.70)。 专用的Reporting Services服务器具有一个应用程序APPL1,可以通过http://SQLSERVERRS01-i01:80/Reports_APPL1或通过来访问http://SQLSERVERRS01:80/Reports_APPL1。 由于*:80Reporting Services配置中主机标头的配置,SSRS将同时接收这两个请求。 每个IP范围之间都有多个防火墙,这意味着我们必须为每个IP到IP或IPrange到IP连接申请特定的规则。但是,当涉及两台服务器时,安全性要求它始终必须是防火墙中的IP到IP规则。 题 (基于屏幕截图) 当Reporting Services服务器连接到SQL Server实例(位于162.xxx.xxx.51上)以检索数据时,它将始终与Windows服务器的基础IP地址(168.xxx.xxx.70 /首选)建立连接。 )表明SSRS正在运行,或者它(有时)会使用SQL Server Reporting Services实例的IP地址(168.xxx.xxx.71)? 这与使用IP到IP方法配置防火墙规则有关。我将必须申请一个规则,该规则定义通过端口1433连接168.xxx.xxx.71至162.xxx.xxx.51或通过端口168.xxx.xxx.70连接至162.xxx.xxx.51端口1433。 目前,我将同时申请这两个防火墙规则。 奖金问题 我可以配置Reporting Services服务器与专用IP地址通信吗?在这种情况下,请使用168.xxx.xxx.71地址。 我不要找的答案 我没有寻求有关如何优化防火墙配置或如何为我们的网络实施分区概念的建议。(它已经在准备中)。另外,我对建议在同一服务器上使用SQL Server和SSRS可以解决我的问题的反馈不感兴趣。我知道这一点,并且很乐意这样做,但需要与SSRS组件一起运行的第三方软件。 有用 如果在SSRS和SQL Server实例之间同时应用了两个防火墙规则,则可以使用我的配置。 168.xxx.xxx.71 --> 162.xxx.xxx.51 : 1433 168.xxx.xxx.70 --> 162.xxx.xxx.51 : 1433 我想通过一条防火墙规则来安全地减少数据,并确保一切仍然正常。(请参见下面的屏幕截图) 编辑:到目前为止,我已阅读的文章暗示我只需要第二条规则,但不能保证。 我已经咨询过的文章 …
2
黑客绕过iptables
(从SO移开) 我有保护SIP服务器的iptables。它阻止了除我专门打开的IP之外的所有IP,并且它几乎适用于所有人。我已经从许多未列入白名单的IP地址进行了测试,并且它们都被丢弃了。 但是,我选择了一个“黑客”,他似乎能够绕过iptables规则。他的探测邀请成功了,我不知道该怎么做,甚至不知道那是可能的。十年来,我从未见过这种情况。 我想这一定是我做的,但是我看不到。 像这样创建的iptables(顶部定义了MYIP-已编辑): iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -d $MYIP --dport 22 -j …
2
Centos 7上的转发端口
我正在使用CentOS 7服务器,并且正在尝试使JBoss也能按我想要的方式工作。我正在运行Java 8和JBoss(疯狂地)8。我已经安装了它们并在默认端口上工作,但是我想让JBoss在端口80上工作。我知道,如果我可以在80端口上工作,以root身份运行它,但是我知道这不是一个好主意,我也不想以任何方式以root身份运行它。 我已经尝试将端口80转发到8080,但是我没有让它工作。我想我错过了一步,但是我不知道自己在想什么。 我正在使用firewall-cmd。我已经开放了两个端口(80和8080),并且可以伪装成公共区域。我还使用了此命令来转发端口 firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080. 知道我缺少什么吗?
2
使用Nagios检查服务不可用是否合理?
假设我有一台带有专用接口和公用接口的服务器。公用可能具有HTTP(S)服务器之类的东西,私人可能具有MySQL和SSH。 显然,Nagios对于检查服务是否在各自的接口上运行很有用。但是,建立检查以明确测试MySQL和SSH端口是否未在公共接口上打开是个好主意吗?这样做的目的是发现因疏忽而引起的错误配置,这些错误配置打开了应该是私有的服务,并发出了适当的警报。 我的一部分想法是,这无法很好地扩展-假设有一个iptables DROP规则,例如,检查必须等到超过检查超时后才能完成并继续。但是该超时必须足够高,才能将阻塞的服务与真正陷入困境的开放服务区分开。 这是一个实际的想法吗?Nagios是正确的工具吗?我什至没有研究过否定TCP检查插件的结果的可行性,但是我敢肯定它是可行的...
2
Linux iptables / conntrack性能问题
我在实验室中使用4台机器进行了测试设置: 2台旧的P4机器(t1,t2) 1个Xeon 5420 DP 2.5 GHz 8 GB RAM(t3)Intel e1000 1个Xeon 5420 DP 2.5 GHz 8 GB RAM(t4)Intel e1000 来测试Linux防火墙的性能,因为在过去的几个月中,我们遭受了许多次洪水攻击。所有机器都运行Ubuntu 12.04 64位。t1,t2,t3通过1GB / s的交换机互连,t4通过额外的接口连接到t3。因此,t3模拟了防火墙,t4是目标,t1,t2发挥了攻击者产生分组风暴的作用(192.168.4.199是t4): hping3 -I eth1 --rand-source --syn --flood 192.168.4.199 -p 80 t4丢弃所有传入的数据包,以避免与网关混淆,t4的性能问题等。我在iptraf中查看数据包统计信息。我已经按照以下步骤配置了防火墙(t3): 库存3.2.0-31-通用#50-Ubuntu SMP内核 rhash_entries = 33554432作为内核参数 sysctl如下: net.ipv4.ip_forward = 1 net.ipv4.route.gc_elasticity = 2 net.ipv4.route.gc_timeout = 1 …
9 linux  firewall 
2
为什么不能ssh或ping我全新的Amazon EC2实例?
我刚刚创建了一个带有所有默认值的免费EC2实例。它说它正在AWS管理控制台中运行。在“实例操作”菜单上,单击“连接”。我复制提供的DNS名称(看起来像ec2-a-dashed-IP-address.compute-1.amazonaws.com),然后尝试通过SSH进行连接。没有反应。我什至无法ping通它。是什么赋予了?
6
防火墙反模式?
什么是配置防火墙的最常见和最错误的方法?我将从以下列表开始: 盲目地阻止ICMP。这是1998年的普遍做法,当时蓝精灵攻击风行一时。今天,您冒着创建PMTU黑洞并使其难以诊断问题的风险。如果必须阻止ICMP,则至少允许需要分段,并通过回显请求/答复。 过时的规则。太糟糕了,我们无法在规则上设置到期日期。迁移服务时,我常常忘记删除旧服务的规则。
9 firewall 
5
如何扫描防火墙以找到开放的传出端口?
我正在寻找可以在防火墙网络中使用的工具,以扫描防火墙以查找开放的传出端口。 我已经做过一些研究,发现Firewalk了,但是10年来它一直没有得到维护,并且当我尝试它时似乎对我没有用。 我进行了一次谷歌搜索,发现一些网站说您可以使用nmap进行此操作,但是我也无法正常进行。 有没有人比在防火墙外设置一个监听每个端口并尝试从内部进行端口扫描的盒子更好的方法?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.