Questions tagged «firewall»

有没有任何iptables防护的服务器：ACCEPT all.. 该服务器上可能有自定义应用程序。 如果我们需要使用严格的iptables规则来加固该服务器（因此拒绝所有，仅让应用程序需要什么），我们必须手工找出哪个应用程序使用了哪个应用程序dst/src port/protocol，然后为该应用程序编写iptables规则他们.. 问题：是否有任何脚本可以帮助从运行中的计算机收集这些信息？（从日志？）-并且自动生成iptables规则？ 就像有audit2allow在SELinux。只为iptables！ 机器不能有任何故障！ 例如：“ MAGIC”脚本应该在机器上运行一周/一个月，收集信息，然后，在一周/一个月之后，该脚本将能够产生一个我们可以使用的iptables规则文件。 许多人可能会遇到这种情况（如何针对iptables强化服务器）。如果有一个脚本/解决方案可以做到这一点，那就太好了：\

9 linux  iptables  firewall 

我想运行一个开放的Tor路由器。 我的退出策略将类似于ReducedExitPolicy。 但是我也想使网络变得更加难以滥用我的资源。 我想防止客户通过Tor进行的案例： 用很多数据包锤击一个站点。 整个IP块的综合网络扫描 我不想阻止客户通过Tor进行操作的情况： 将几百个图像文件上传到云 种子洪流 我的问题是，这完全可以做到吗？ 我首先想到的是某些防火墙（Linux / iptables或* BSD / ipfw / pf）-但是由于Onion路由器的固有属性，这可能毫无用处。 在这个主题上是否有任何正在进行的torproject团队开发？ 我还要求提供有关保护Tor出口节点安全的一般提示。 更新（2012年9月） 从有用的答案和其他一些研究中，我认为这是不可能完成的。 要阻止人们滥用出口节点为DDOS做出贡献，最好的办法就是检测定向到一个IP的非常频繁的数据包。 “非常频繁”的阈值取决于总节点带宽。如果错了，将出现误报，阻止实时TCP应用程序的合法流量以及从许多客户端到一个目标的流量。 更新（2014年12月） 我的预测显然是正确的-我收到了来自互联网提供商的一些网络滥用投诉。 为了避免服务关闭，我必须采用以下iptables规则集（ONEW是用于传出TCP SYN（又名NEW）数据包的链： 我不确定是否足够，但是这里是： -A ONEW -o lo -j ACCEPT -A ONEW -p udp --dport 53 -m limit --limit 2/sec --limit-burst 5 -j ACCEPT -A …

9 linux  networking  iptables  firewall  tor 

我的VPS上有两个接口：eth0和eth0:0。我想eth0:0使用iptables 阻止端口80上的传入数据包。我试过了，但是不起作用： iptables -A INPUT -i "eth0:0" -p tcp --destination-port 80 -j DROP 如果我更改eth0:0为eth0它可以正常工作。问题是什么？

9 iptables  firewall 

我在大学中使用公共IP设置了服务器（Debian 7）。当我从校园外进入系统时，在收到密码提示之前，我会得到5到10秒的奇怪延迟。这是为什么？ 我跑去ssh -v得到详细的输出： debug1: Roaming not allowed by server debug1: SSH2_MSG_SERVICE_REQUEST sent debug1: SSH2_MSG_SERVICE_ACCEPT received .... delay of 5-10 seconds here debug1: Authentications that can continue: publickey,password debug1: Next authentication method: publickey debug1: Trying private key: /home/nass/.ssh/id_rsa debug1: Trying private key: /home/nass/.ssh/id_dsa debug1: Trying private key: /home/nass/.ssh/id_ecdsa debug1: Next …

9 ssh  dns  firewall  delay 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 5年前关闭。 在CentOS 7中，我如何找到并查看所有系统日志，这些日志告诉我谁试图进入系统，谁进入，他们联系了哪些流程，他们完成了哪些事情，等等。我希望能够将每个活动链接到其中一个用户ID或远程IP地址。 我的var/log/目录包含许多资源，包括/var/log/messages和/var/log/secure，但是大多数文件都是类型的Binary (application/octet-stream)，除非我将一些未知的查看程序与它们关联，否则操作系统不知道如何打开它们。另外，var/log/firewalld似乎没有包含有用的信息。 我可以找到我的应用程序，数据库和NginX / Apache生成的所有日志。

8 centos  logs  firewall  systemd  rsyslog 

我正在准备的新安装的家用服务器有一些问题。我已经在上面安装了CentOS7，我发现默认情况下端口80和443是关闭的。因此，我使用以下命令将它们添加到iptables中： iptables -I INPUT 5 -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -I INPUT 5 -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT service iptables save 我还安装了不存在的iptable服务。问题是，每次我重新启动计算机时，都会擦除新配置。 我试图将iptable服务添加到chkconfig中，但出现以下错误： [root@CentOS-7]# chkconfig --add iptables error reading information on service iptables: No such …

8 centos  rhel  iptables  firewall 

我刚刚读了一本关于PF的书（《 PF的书》，没有淀粉），但是有一个问题没有解决。 如果我有一台使用两个接口$ int_if和$ ext_if的网关计算机，并且我将NAT从$ int_if：net（即10.0.0.0/24）到$ ext_if的包使用matchNAT转换为NAT，则应用NAT ？过滤规则之前还是之后？ 例： match out on $ext_if from 10.0.0.0/24 nat-to ($ext_if) pass out on $ext_if from 10.0.0.0/24 block drop out on $ext_if from 10.0.0.23 那样有用吗？还是获取来自10.0.0.23的数据包的源IP NAT到$ ext_if的地址，然后检查其是否来自10.0.0.23？ 我认为，此图对回答这个问题没有帮助，但是仍然很有趣：[ http://www.benzedrine.cx/pf_flow.png ] 如果您阅读PF NAT FAQ [ http://www.openbsd.org/faq/pf/nat.html ]，尤其是“配置NAT”部分，则会遇到以下句子： 当通过匹配规则选择数据包时，该规则中的参数（例如nat-to）会被记住，并在达到与数据包匹配的通过规则时将其应用于数据包。这允许通过单个匹配规则来处理整个数据包类别，然后可以使用阻止和通过规则来做出是否允许流量的特定决定。 我认为这听起来不像我在上一段中所说的那样，因此源IP被“记住”，直到对要对该数据包执行的操作做出决定为止。如果做出决定，将应用NATting。 你怎么看？ PS：这是一个非常理论上的问题。如果您有点务实，可以按照以下方式进行： match out on $ext_if …

8 networking  freebsd  firewall  openbsd  pf 

我在FreeBSD上使用带有IPFW的fail2ban。有没有一种方法可以忽略特定的IP地址，以确保fail2ban永远不会阻止或报告该IP地址？

8 firewall  fail2ban 

我认为没有iptables / pf解决方案只能在例如：出站tcp端口80，eth0上允许XY应用程序。因此，如果我有一个用户ID：“ 500”，那么如何阻止端口80 / outbound / tcp / eth0上提到的其他通讯？（例如：仅privoxy正在使用eth0上的端口80） 额外：virtualbox也使用端口80？当访客操作系统上的浏览器访问网站时。如何将其删除？-设置普通用户将有太多漏洞

8 iptables  firewall  pf