Questions tagged «firewall»

防火墙是一种程序,用于控制系统上的传入和传出网络流量。使用此标记可以解决与防火墙配置和操作有关的所有问题。

4
反向SSH隧道如何工作?
据我了解,防火墙(假定默认设置)会拒绝所有先前没有对应的传出流量的传入流量。 基于“ 反向ssh连接”和“ SSH隧道轻松”,反向SSH隧道可用于解决讨厌的防火墙限制。 我想在远程计算机上执行shell命令。远程计算机具有自己的防火墙,并且位于其他防火墙(路由器)之后。它的IP地址为192.168.1.126(或类似名称)。我不在防火墙后面,而且我知道从Internet看到的远程计算机的IP地址(而不是192.168.1.126地址)。另外,我可以先要求某人以ssh (something)root用户身份在远程计算机上执行。 谁能一步一步地向我解释反向SSH隧道如何绕过防火墙(本地和远程计算机的防火墙以及它们之间的附加防火墙)? 什么是开关(的角色-R,-f,-L,-N)?
1
在iptables中设置-j REJECT或-j DROP更好吗?
在archlinux Wiki上有一个iptables规则示例: # Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j …
33 iptables  ip  firewall  tcp  udp 
4
UFW:仅允许来自具有动态IP地址的域的流量
我运行了一个我想使用UFW进行保护的VPS,仅允许连接到端口80。但是,为了能够对其进行远程管理,我需要保持端口22的开放状态并使其可在家中访问。 我知道UFW可以配置为仅允许从特定IP地址连接到端口: ufw allow proto tcp from 123.123.123.123 to any port 22 但是我的IP地址是动态的,因此这不是解决方案。 问题是:我具有DynDNS的动态DNS解析功能,是否可以使用域而不是IP创建规则? 我已经试过了: ufw allow proto tcp from mydomain.dyndns.org to any port 22 但是我得到了 ERROR: Bad source address
2
如何配置Centos 7 FirewallD以允许Docker容器自由访问主机的网络端口?
我在CentOS 7上安装了docker,并且正在运行firewallD。 从容器内部转到主机(默认为172.17.42.1) 启用防火墙 container# nc -v 172.17.42.1 4243 nc: connect to 172.17.42.1 port 4243 (tcp) failed: No route to host 关闭防火墙 container# nc -v 172.17.42.1 4243 Connection to 172.17.42.1 4243 port [tcp/*] succeeded! 我已经阅读了关于firewalld的文档,但我并不完全理解它们。有没有一种方法可以简单地允许docker容器中的所有内容(我猜是在docker0适配器上)不受限制地访问主机?
5
有没有办法找到哪个iptables规则负责丢弃数据包?
我有一个已配备防火墙的系统。防火墙包含1000多个iptables规则。这些规则之一是丢弃我不想丢弃的数据包。(我知道这一点是因为我确实做到了,iptables-save然后iptables -F应用程序开始工作。)有太多规则无法手动进行分类。我可以做些什么来告诉我哪个规则丢弃数据包吗?
8
在CentOS 7中将源IP地址列入白名单
我想设置CentOS 7防火墙,以便除我白名单中的原始IP地址外,所有传入请求都将被阻止。对于白名单IP地址,所有端口都应可访问。 我能找到一些解决方案(不确定它们是否可以使用),iptables但CentOS 7可以使用firewalld。我找不到与firewall-cmd命令相似的东西。 这些接口位于“公共区域”中。我已经将所有服务都移到了公共区域。
23 ip  firewall  firewalld 
1
iptables表和链如何遍历
我知道linux有3个内置表,每个表都有自己的链,如下所示: 过滤器:预打印,前进,后送 NAT:预输出,输入,输出,写入 混合:预输出,输入,前进,输出,输出 但是我不明白它们是如何遍历的,以什么顺序遍历。例如,在以下情况下如何遍历它们: 我将数据包发送到同一局域网中的PC 当我将数据包发送到其他网络中的PC时 当网关收到数据包并且必须转发时 当我收到发给我的小包时 任何其他情况(如果有)
2
(/ etc / sysconfig / iptables)“不建议手动自定义此文件。”为什么?
直接编辑此文件 /etc/sysconfig/iptables 可以为我省去那么多头痛,那么多时间等等... 但它在文件的最上方说: Manual customization of this file is not recommended. 这是全新的centos 6.4云服务器附带的'/ etc / sysconfig / iptables'。 # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED …
1
无法使用nc托管主机,但可以ping通
我正在尝试使用netcat从一台虚拟机连接到另一台虚拟机的端口25,但它告诉我no route to host虽然我可以ping通。我确实将防火墙默认策略设置为丢弃,但是我有一个例外,可以接受该特定子网上端口25的流量。我可以使用nc从VM 3到端口25上的VM 2进行连接,但不能从VM 2 TO 3进行连接。 这是我的VM2防火墙规则的预览 这是我的VM 3防火墙规则的预览 当我显示监听服务时*:25,这意味着它正在监听所有ipv4 ip地址和:::25ipv6地址。我不明白错误在哪里以及为什么不起作用,两个防火墙规则都接受端口25上的流量,因此应该可以连接。我尝试比较两者之间的差异,以了解为什么可以从vm3连接到vm2,但配置完全相同。关于可能是什么问题的任何建议? 更新停止iptable服务可以解决问题,但我仍然需要那些规则。
2
每进程防火墙?
我一直在阅读,但似乎找不到找到创建每个进程防火墙规则的方法。我知道,iptables --uid-owner但这仅适用于传出流量。我考虑过脚本编写netstat,iptables但是这似乎效率很低,因为如果某个进程仅在很小的时间范围内处于活动状态,脚本可能会错过它。基本上,我想在不影响其他进程的情况下对进程的端口和dst实施特定限制。有任何想法吗? 作为参考,selinux可以做到这一点,并且效果很好。设置有点麻烦。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.