คำถามติดแท็ก firewall

บริบท ฉันกำลังเรียกใช้ Ubuntu Desktop เป็นเครื่องหลักของฉันซึ่งฉันจะเรียก D. ฉันต้องการเชื่อมต่อกับเซิร์ฟเวอร์ S ผ่าน ssh แต่ไฟร์วอลล์ปิดกั้นฉัน ฉันมีการเข้าถึงเซิร์ฟเวอร์ S ผ่านเส้นทางที่ยุ่งยากมากที่เกี่ยวข้องกับเครื่องเสมือน Windows และฉาบ สิ่งนี้ทำให้การทำงานกับเซิร์ฟเวอร์นี้น่ารำคาญอย่างยิ่ง: สภาพแวดล้อมที่แตกต่างอย่างสิ้นเชิงการคัดลอก / วางไม่ทำงานฉันไม่สามารถใช้เดสก์ท็อปของฉันในขณะที่เชื่อมต่อกับมันได้อย่างเหมาะสม (Alt-Tab ถูกทำลายโดยเครื่องเสมือน) เป็นต้น ฉันตรวจสอบแล้วว่าฉันสามารถ ssh จากเซิร์ฟเวอร์ S ไปยังเครื่องเดสก์ท็อปของฉัน D (ตรงกันข้ามกับสิ่งที่ฉันต้องการ) ฉันสามารถเริ่ม "ส่งต่อพอร์ต" หรือคล้ายกันจากเซิร์ฟเวอร์เพื่อให้ฉันสามารถ ssh ไปยังเซิร์ฟเวอร์จากเดสก์ทอปของฉันได้หรือไม่

17 ssh  firewall  port-forwarding 

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับ NAT และ DNS ขณะนี้ฉันกำลังพยายามตั้งค่าเครือข่ายด้วย DMZ ที่มีเว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์อีเมลที่แยกออกจากอินเทอร์เน็ตโดยใช้ไฟร์วอลล์การแปลที่อยู่เครือข่าย (NAT) ฉันได้ติดตั้งไฟร์วอลล์ NAT ด้วยอินเตอร์เฟสต่อไปนี้: WAN - x.x.x.x (redacted public IP address) DMZ - 192.168.124.5/24 LAN - 192.168.123.5/24 ใน DMZ ของฉันฉันมีโฮสต์ทั้งสองของฉัน: Web server - 192.168.124.30 E-mail server - 192.168.124.32 ฉันรู้ว่าฉันจะต้องกำหนดค่า DNS สำหรับexample.comโดเมนที่จะแก้ปัญหาทั้งสองexample.comและmail.example.comที่อยู่ IP สาธารณะของฉัน ฉันต้องการไฟร์วอลล์ NAT ของฉันเพื่อส่งต่อคำขอขาเข้าทั้งหมดไปexample.comยังเว็บเซิร์ฟเวอร์ที่ 192.168.124.30 และคำขอขาเข้าทั้งหมดไปmail.example.comยังเซิร์ฟเวอร์อีเมลที่ 192.168.124.32 ฉันเห็นคุณลักษณะ "การส่งต่อพอร์ต" ในการกำหนดค่าไฟร์วอลล์ NAT …

17 networking  domain-name-system  firewall  nat 

ฉันใช้เซิร์ฟเวอร์ Linux ที่ - เวลาเผชิญภาระหนักและล้นตาราง conntrack เนื่องจากชุดกฎของไฟร์วอลล์ iptables นั้นง่ายมากฉันต้องการเปลี่ยนเป็นโหมดไร้สัญชาติ ฉันรู้ว่า iptables สามารถทำงานในโหมดการติดตามการเชื่อมต่อ stateful และในโหมดไร้สัญชาติ กฎไฟร์วอลล์ของฉันอยู่ในสถานที่ฉันค่อนข้างมั่นใจว่าพวกเขาไร้สัญชาติ แต่คำถามของฉันคือฉันจะตรวจสอบได้อย่างไรว่าไฟร์วอลล์ทำงานในโหมดไร้สัญชาติจริง ๆ

17 linux  firewall  iptables 

ฉันกำลังคิดที่จะไปกับผู้ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ที่โฮสต์ใน VPS ของฉันและฉันก็ลำบากที่จะเข้าใจบางสิ่งบางอย่าง (ใช่ฉันรู้ว่านี่เป็นคำศัพท์ OSI และเว็บไซต์ที่เป็นปัญหาคือเว็บไซต์ทันตกรรมและการแพทย์ขั้นพื้นฐานที่ไม่มีอีคอมเมิร์ซและไม่มีข้อมูลส่วนตัว (SSN เป็นต้น) แผนขั้นพื้นฐานของพวกเขามีไฟร์วอลล์ Layer 7 (และฉันเข้าใจว่าเป็น HTTP, HTTPs และอื่น ๆ ) แต่แผนขั้นสูงของพวกเขามีเลเยอร์ครอบคลุม 3,4 เช่นกัน (และฉันได้รับนั่นคือ IP และ TCP / UDP) 1) สิ่งที่ฉันไม่เข้าใจเป็นภาพรวม - ไฟร์วอลล์ Layer 7-only ไม่สนใจปัญหาของ Layer 3/4 หรือไม่ การตรวจสอบแพ็คเก็ตข้ามหรือไม่ 2) และถ้าเป็นเช่นนั้นเลเยอร์ 3/4 ไฟร์วอลล์จำเป็นอย่างไรถ้าคุณมีเลเยอร์ 7 อยู่แล้ว? หากมีหนังสือหรือแหล่งข้อมูลฉันสามารถอ่านเพื่อทำความเข้าใจกับสิ่งนี้ได้เช่นกัน ฉันต้องการเข้าใจสิ่งที่ฉันทำก่อนตัดสินใจซื้อ!

17 firewall  website 

ฉันมีไฟร์วอลล์พร้อมกฎง่าย ๆ เหล่านี้: iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp --dport 6000 -j REJECT ตอนนี้สมมติว่าฉันใช้TCPDUMPเช่นนี้ tcpdump port 6000 และฉันมีโฮสต์พยายามที่จะเชื่อมต่อกับพอร์ต192.168.16.216000 จะ / ควรtcpdumpส่งออกแพ็กเก็ตบางส่วนที่มาจาก192.168.16.21ไหน

17 firewall  iptables  tcp  tcpdump 

เพื่อค้นหาว่าใครเข้าสู่ระบบบนเซิร์ฟเวอร์ของฉันเมื่อเร็ว ๆ นี้ฉันกำลังใช้คำสั่ง: มีการเข้าสู่ระบบจากที่อยู่ IP ที่แปลกมากเช่น: username@pc:/home/user$ last username pts/16 59.224.XX.178.d Sun Aug 2 12:26 - 12:27 (00:00) (โดยที่ X คือตัวเลข) คำถามของฉัน: ต่อท้าย. d หมายถึงอะไร และทำไมรายการเหล่านี้ถึงหายไปเมื่อฉันใช้ล่าสุดกับตัวเลือก "-i"?

16 linux  firewall  ip  login  ip-address 

เรามีการถกเถียงกันในสำนักงานของเราว่าจะต้องมีไฟร์วอลล์ฮาร์ดแวร์หรือตั้งค่าเสมือนบนคลัสเตอร์ VMWare ของเราหรือไม่ สภาพแวดล้อมของเราประกอบด้วย 3 โหนดเซิร์ฟเวอร์ (16 คอร์ w / 64 GB RAM แต่ละ) มากกว่า 2x 1 GB สลับกับอาร์เรย์เก็บข้อมูลที่ใช้ร่วมกันของ iSCSI สมมติว่าเราจะทุ่มเททรัพยากรให้กับอุปกรณ์ VMWare เราจะได้รับประโยชน์จากการเลือกไฟร์วอลล์ฮาร์ดแวร์ผ่านเครื่องเสมือนหรือไม่? หากเราเลือกที่จะใช้ไฟร์วอลล์ฮาร์ดแวร์ฮาร์ดแวร์ไฟร์วอลล์เฉพาะที่มี ClearOS จะเปรียบเทียบกับไฟร์วอลล์ของ Cisco ได้อย่างไร

16 networking  firewall  vmware-esxi  cisco-asa 

ฉันไม่แน่ใจว่าคุณลักษณะนี้เรียกว่าอะไร แต่ใน Windows Server 2008 มีตำแหน่ง Vista สาธารณะ / ส่วนตัว / โดเมน สิ่งนี้เหมาะสมสำหรับแล็ปท็อปและไม่มีเลยสำหรับเซิร์ฟเวอร์ ปัญหาของฉันคือบางครั้งอะแดปเตอร์เครือข่ายบางคนตัดสินใจว่าตอนนี้พวกเขาอยู่ในเครือข่ายสาธารณะ สิ่งนี้จะเปิดใช้งานไฟร์วอลล์อย่างสมบูรณ์แม้สำหรับเครือข่าย "โดเมน" ดังนั้นผลกระทบสุทธิคือฉันรีบูตเครื่องบางเครื่องแล้วพวกเขาจะไม่กลับมาบนเครือข่ายจนกว่าเราจะได้ KVM และบอกว่าเครือข่ายนั้นเป็นส่วนตัว คุณสมบัตินี้มีชื่อว่าอะไร? มีการตั้งค่า GP ที่ฉันสามารถใช้เพื่อปิดและทำให้เครือข่ายทั้งหมดเป็น "โดเมน" หรือไม่ แก้ไข: ขอบคุณนั่นคือ NLA ฉันพยายามปิดการใช้งานบริการบนเครื่องที่ไม่ใช่โดเมนและมันก็พลิกทุกอย่างสาธารณะ บนเครื่องโดเมนบริการรายการเครือข่ายปฏิเสธที่จะหยุด - ฉันจะลองใช้นโยบายกลุ่ม

16 windows  windows-server-2008  networking  firewall  group-policy 

ขณะนี้เรามีเว็บเซิร์ฟเวอร์ของเราใน DMZ เว็บเซิร์ฟเวอร์ไม่สามารถเห็นอะไรในเครือข่ายภายใน แต่เครือข่ายภายในสามารถเห็นเว็บเซิร์ฟเวอร์ได้ ปลอดภัยแค่ไหนที่จะเจาะช่องโหว่ในไฟร์วอลล์ระหว่าง DMZ และเครือข่ายภายในไปยังเว็บเซิร์ฟเวอร์เดียวในอินทราเน็ต เรากำลังทำงานกับสิ่งที่จะเชื่อมต่อกับแอปพลิเคชันแบ็คออฟฟิศหลายแห่งของเรา (ซึ่งอยู่บนเซิร์ฟเวอร์เดียว) และมันจะง่ายกว่านี้มากหากทำโครงการนี้หากเราสามารถสื่อสารโดยตรงกับเซิร์ฟเวอร์ IBM i ที่เก็บข้อมูลนี้ ( ผ่านบริการเว็บ) จากความเข้าใจของฉัน (และฉันไม่รู้แบรนด์) เรามีไฟร์วอลล์หนึ่งไฟร์วอลล์สำหรับ DMZ ที่มี IP ภายนอกที่แตกต่างจาก IP หลักของเรากับไฟร์วอลล์อื่น ไฟร์วอลล์อื่นอยู่ระหว่างเว็บเซิร์ฟเวอร์และอินทราเน็ต ดังนั้นสิ่งที่ชอบ: Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz 

ฉันพยายามรวบรวมสคริปต์ iptables เซิร์ฟเวอร์พื้นฐานที่จะทำงานกับเว็บไซต์ส่วนใหญ่ที่ใช้เว็บเซิร์ฟเวอร์พื้นฐานโดยใช้ HTTP (S) และ SSH (พอร์ต 80, 443, & 22) ท้ายที่สุด VPS ส่วนใหญ่ต้องการกฎพอร์ตเริ่มต้นเหล่านี้เท่านั้นและสามารถเพิ่มเมลหรือพอร์ตเกมในภายหลังได้ตามต้องการ จนถึงตอนนี้ฉันมี ruleset ต่อไปนี้และฉันก็สงสัยว่าถ้าใครรู้ถึงสคริปต์ที่ดีขึ้นหรือการปรับปรุงใด ๆ ที่สามารถเพิ่มได้ *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 …

15 linux  security  firewall  iptables  best-practices 

Edge Server คืออะไร เราเห็นการอ้างอิงถึงพวกเขา แต่เราไม่เคยเห็นคำนิยาม

15 security  firewall  hardware  gateway 

สภาพแวดล้อมที่ฉันทำงานอยู่นั้นเป็นการดำเนินการบนเว็บโฮสติ้งขนาดใหญ่ (เซิร์ฟเวอร์หลายร้อยเครื่องภายใต้การจัดการการจัดการที่อยู่เกือบทุกสาธารณะ ฯลฯ ดังนั้นสิ่งใดก็ตามที่พูดถึงการจัดการลิงค์ ADSL นั้นไม่น่าจะทำงานได้ดี) และเรา กำลังมองหาบางอย่างที่สะดวกสบายในการจัดการทั้งชุดกฎหลัก (ประมาณ 12,000 รายการใน iptables ตามจำนวนปัจจุบัน) พร้อมชุดกฎพื้นฐานที่เราจัดการให้กับลูกค้า ชุดกฎเราเตอร์หลักของเรามีการเปลี่ยนแปลงวันละสองสามครั้งและชุดกฎที่ใช้โฮสต์จะเปลี่ยนเดือนละ 50 ครั้ง (ในเซิร์ฟเวอร์ทั้งหมดดังนั้นอาจมีการเปลี่ยนแปลงหนึ่งครั้งต่อเซิร์ฟเวอร์ห้าเครื่องต่อเดือน) ขณะนี้เรากำลังใช้ filtergen (ซึ่งก็คือลูกบอลทั่วไปและซุปเปอร์บอลในระดับปฏิบัติการของเรา) และฉันเคยใช้ชอร์วอลล์ในอดีตที่งานอื่น ๆ (ซึ่งน่าจะดีกว่ากับ filtergen แต่ฉันคิดว่ามันต้องมี เป็นอะไรที่ดีกว่านั้น) "musts" ที่เรามีมาพร้อมกับระบบการเปลี่ยนใด ๆ คือ: ต้องสร้างชุดกฎอย่างรวดเร็ว (ตัวกรองใช้ชุดกฎของเราใช้เวลา 15-20 นาทีนี่เป็นเพียงสติ) - มันเกี่ยวข้องกับประเด็นต่อไป: ต้องสร้างไฟล์สไตล์ iptables-restore และโหลดในครั้งเดียวไม่ใช่ call iptables สำหรับทุกกฎการแทรก ต้องไม่ใช้ไฟร์วอลล์เป็นระยะเวลานานในขณะที่โหลดชุดกฎ (อีกครั้งนี่เป็นผลมาจากประเด็นข้างต้น) ต้องรองรับ IPv6 (เราไม่ได้ปรับใช้สิ่งใหม่ที่ไม่รองรับ IPv6) ต้องปลอดจาก …

15 linux  firewall  iptables 

ฉันสงสัยว่ารัฐบาลประเทศของฉันกำลังทำลายแพ็กเก็ต ACK ที่ได้รับบนการเชื่อมต่อ TCP อย่างใด เมื่อฉันพยายามสร้างการเชื่อมต่อ TCP ไปยังโฮสต์ภายนอกบนพอร์ตอื่นที่ไม่ใช่ 80 การจับมือ TCP จะไม่สำเร็จ ฉันจับไฟล์ pcap (gmail.pcap: http://www.slingfile.com/file/aWXGLLFPwb ) และฉันพบว่าคอมพิวเตอร์ของฉันจะได้รับ ACK หลังจากส่ง TCP SYN แต่แทนที่จะตอบกลับด้วย ACK ACK มันจะส่ง RST ฉันตรวจสอบแพ็กเก็ต ACK จากโฮสต์ภายนอก แต่ดูเหมือนว่าสมบูรณ์ หมายเลขลำดับและแฟล็กทั้งหมดที่ฉันรู้ถูกต้อง ใครสามารถบอกฉันได้ว่าทำไมคอมพิวเตอร์ของฉัน (เครื่อง linux) จะส่งแพ็คเก็ต RST?

14 networking  firewall  tcp  rst 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน8 ปีที่ผ่านมา ขณะนี้ฉันกำลังใช้เซิร์ฟเวอร์ VisualSVN และมันสามารถเข้าถึงได้เฉพาะในเครือข่ายภายในบ้านของฉัน ในที่สุดจะมีคนอื่นเข้าถึง แต่ตอนนี้เป็นเพียงฉันและฉันอยากจะลงไปที่ร้านกาแฟ (หรือที่ใดก็ได้) และสามารถทำงานจากบ้านได้ http://user-pc:xx/svn/Projects/ขณะนี้ฉันกำลังเข้าถึงเซิร์ฟเวอร์ที่ เมื่อฉันตั้งค่าเราเตอร์ให้ส่งต่อพอร์ต XX ไปยังเซิร์ฟเวอร์ของฉันฉันควรทำขั้นตอนใดเพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ โปรดจำไว้ว่าฉันกำลังทำสิ่งนี้บน Windows และในขณะที่ฉันใช้พรอมต์คำสั่งปกติอย่างกว้างขวางฉันไม่ได้ใช้ SVN มานานและไม่ได้ใช้อะไรนอกจาก TortoiseSVN เพื่อทำงานกับมันจนถึงจุดนี้ แก้ไข : สิ่งที่อันตรายเพียงอย่างเดียวที่ผู้โจมตีสามารถทำได้คือสิ่งที่ฉันตระหนักถึงคือ: เดาหมายเลขพอร์ตชื่อผู้ใช้และรหัสผ่านของฉันเพื่อเข้าสู่พื้นที่เก็บข้อมูล อย่างไรก็ตามเมื่อพูดไปฉันก็ไม่รู้ว่าฉันไม่รู้อะไร ดังนั้นฉันไม่จำเป็นต้องขอคำแนะนำทีละขั้นตอน (แม้ว่าฉันจะต้องการได้เช่นกัน) เท่าที่สิ่งที่ฉันต้องคำนึงถึงสำหรับการโจมตีประเภทใด ๆที่สามารถทำได้เมื่อเปิดพอร์ต

14 windows  security  firewall  svn  visualsvn-server 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้เป็นไปตามหัวข้อสำหรับข้อบกพร่องของเซิร์ฟเวอร์ ปิดให้บริการใน7 ปีที่ผ่านมา ไม่มีใครรู้ว่าเซิร์ฟเวอร์ / พีซีที่ใช้พลังงานต่ำมี 2 NIC's ดังนั้นจึงสามารถใช้สำหรับไฟร์วอลล์ (OpenBSD) ได้ แซนดร้า

14 security  firewall  hardware  bsd