คำถามติดแท็ก firewall

เมื่อเร็ว ๆ นี้เราเริ่มทำการทดสอบกับ IPv6 และหนึ่งในปัญหาแรกที่เราต้องพิจารณาคือการจัดการกับชุดไฟร์วอลล์ (Linux iptables / ip6ables) ที่แยกต่างหากสำหรับโปรโตคอลสแต็คทั้งสอง ตรรกะไฟร์วอลล์ของเรานั้นใช้เครือข่ายเฉพาะจุดประสงค์จำนวนมาก (เช่น 10.0.0.0/24 คือเครือข่ายเวิร์กสเตชันของพนักงาน 10.1.0.0/24 เป็นเครือข่ายฐานข้อมูล 10.2.0.0/24 เป็นเครือข่ายเว็บเซิร์ฟเวอร์ ฯลฯ ) และตรรกะสำหรับทั้ง IPv6 และ IPv4 จะเหมือนกันส่วนใหญ่คำนำหน้าเครือข่ายที่แตกต่างกันแบบโมดูโล ผู้คนกำลังทำอะไรในการจัดการสถานการณ์เช่นนี้? นึกคิดฉันต้องการที่จะสามารถสร้างทั้งกฎ iptables และ ip6table จากไฟล์ต้นฉบับเดียวกัน ฉันได้โยนบางสิ่งบางอย่างโดยใช้ทุบตี แต่มันไม่จำเป็นต้องสวยและฉันสงสัยว่าทางออกที่ดีกว่าต้องมีอยู่ที่ไหนสักแห่งออก ฉันจะให้ความสนใจเป็นพิเศษในโซลูชันที่ใช้หุ่นกระบอกซึ่งใช้ประโยชน์จากกลไกการพึ่งพาของ Puppet เพื่อใช้การเรียงลำดับของกฎที่สัมพันธ์กัน (หรือกลุ่มของกฎ)

10 linux  firewall  iptables  ipv6 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ปิดให้บริการใน6 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันเป็นนักพัฒนาซอฟต์แวร์และไม่ได้จัดการกับผู้ดูแลระบบเซิร์ฟเวอร์หรือระบบเครือข่ายในปีที่ผ่านมาดังนั้น "สนิม" เป็นคนใจกว้างมาก ฉันกำลังตั้งค่าคลัสเตอร์เว็บเซิร์ฟเวอร์ใหม่ (เริ่มต้นด้วย 1U เว็บเซิร์ฟเวอร์สองเครื่องและเซิร์ฟเวอร์ DB หนึ่งตัว) เนื่องจากฉันไม่ได้ทำสิ่งนี้ในสองสามปีที่ผ่านมาฉันไม่รู้จริงๆว่ามีตัวเลือกอะไรบ้างในวันนี้ ฉันต้องการทั้งหมดในอุปกรณ์เดียว: สวิตช์ gbit พื้นฐานที่เล็ก ไฟร์วอลล์ขนาดเล็กขั้นพื้นฐาน เราเตอร์ / DHCP / เกตเวย์พื้นฐานขนาดเล็ก การเข้าถึง VPN ขั้นพื้นฐานขนาดเล็ก เหมาะกับพื้นที่ 1U บางสิ่งที่เรียบง่ายด้วยเว็บอินเตอร์เฟสขนาดเล็กที่ฉันสามารถตั้งค่าได้แล้วลืมไป - 2 ขั้นตอนเหนืออุปกรณ์เราเตอร์ที่บ้าน แก้ไข: ปฏิกิริยาเริ่มต้นจาก sysadmins มักจะ "ไม่มีทาง" เพราะสำหรับพวกเขาอุปกรณ์ที่ทำสิ่งเหล่านี้ทั้งหมดมักจะอึ โปรดตระหนักถึงวัตถุประสงค์ของฉันตอนนี้ก็ใช้ได้ การตั้งค่าของฉัน (และงบประมาณ) เป็นเพียงไม่ใหญ่พอที่จะปรับเฉพาะอุปกรณ์ที่ไม่สิ่งนี้ดีจริงๆ ฉันเพียงแค่ต้องการสิ่งที่ไม่สิ่งนี้ที่ทุกคน ข้อเสนอแนะ?

10 networking  vpn  firewall  hosting  router 

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ โปรแกรมป้องกันไวรัสและไฟร์วอลล์ของเซิร์ฟเวอร์ Windows ฟรีอะไรบ้างที่สามารถติดตั้งได้ที่ Windows Server 2003 บริการหลักของเซิร์ฟเวอร์ของฉันคือการโฮสต์เว็บไซต์ PHP และเซิร์ฟเวอร์ซ็อกเก็ต VB.NET สองสามตัว

10 windows-server-2003  firewall  anti-virus 

nmap -p 7000-7020 10.1.1.1 จะส่งออกพอร์ตที่กรองทั้งหมด Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 12:18 EET Nmap scan report for 10.1.1.1 Host is up (0.00091s latency). PORT STATE SERVICE 7000/tcp filtered afs3-fileserver 7001/tcp filtered afs3-callback 7002/tcp filtered afs3-prserver 7003/tcp filtered afs3-vlserver 7004/tcp filtered afs3-kaserver 7005/tcp filtered afs3-volser 7006/tcp filtered afs3-errors 7007/tcp …

10 firewall  tcp  nmap  port-scanning 

tl; ดร ฉันมีอินสแตนซ์ SQL Server (SQLSERVER01-i01) พร้อมที่อยู่ IP เฉพาะและพอร์ต (162.xxx.xxx.51: 1433) บนเซิร์ฟเวอร์ SQL แบบหลายอินสแตนซ์ (อินสแตนซ์ SQL Server แต่ละอินสแตนซ์บนเซิร์ฟเวอร์ Windows มีที่อยู่ IP ของตนเอง ) ซึ่งทำงานบนเซิร์ฟเวอร์ Windows เครื่องเดียว (SQLSERVER01 / 162.xxx.xxx.50) ฉันยังมีอินสแตนซ์บริการรายงานเฉพาะ (SQLSERVERRS01-i01) พร้อมที่อยู่ IP และพอร์ตของตัวเอง (168.xxx.xxx.71: 1433) ซึ่งทำงานบนเซิร์ฟเวอร์ Windows อื่น (SQLSERVERRS01) ด้วยที่อยู่ IP ของตนเอง (168 .xxx.xxx.70) ทุ่มเทเซิร์ฟเวอร์บริการรายงานมีแอพลิเคชันAPPL1ซึ่งสามารถเข้าถึงได้ผ่านทางหรือผ่านทาง http://SQLSERVERRS01-i01:80/Reports_APPL1http://SQLSERVERRS01:80/Reports_APPL1 SSRS จะรับคำขอทั้งสองเนื่องจากการ*:80กำหนดค่าในการกำหนดค่าบริการรายงานสำหรับส่วนหัวของโฮสต์ เรามีไฟร์วอลล์หลายตัวระหว่างช่วง …

9 sql-server  firewall  windows-server-2012-r2  ip  ssrs 

(ย้ายจาก SO) ฉันมี iptables ปกป้องเซิร์ฟเวอร์ sip มันปิดกั้น IP ทั้งหมดยกเว้นที่ฉันเปิดขึ้นเป็นพิเศษและดูเหมือนจะใช้ได้กับทุกคน ฉันได้ทดสอบจากที่อยู่ IP จำนวนมากที่ไม่ได้อยู่ในรายการสีขาวและพวกเขาทั้งหมดได้ลดลงตามที่ควร แต่ฉันได้เลือก "แฮ็กเกอร์" ที่ดูเหมือนจะสามารถข้ามกฎ iptables ได้ INVITEs พิสูจน์ของเขาทำให้มันผ่านและฉันไม่มีความคิดอย่างไรหรือว่ามันเป็นไปได้ ใน 10 ปีฉันไม่เคยเห็นสิ่งนี้มาก่อน ฉันคิดว่ามันต้องเป็นสิ่งที่ฉันทำไปแล้ว แต่ฉันมองไม่เห็น iptables ที่สร้างเช่นนี้ (MYIP ที่กำหนดไว้ที่ด้านบน - redacted): iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables …

9 linux  iptables  firewall  voip  sip 

ฉันกำลังทำงานบนเซิร์ฟเวอร์ CentOS 7 และฉันพยายามทำให้ JBoss ทำงานในแบบที่ฉันต้องการ ฉันกำลังใช้งาน Java 8 และ JBoss (อย่างดุเดือด) 8. ฉันได้ติดตั้งและใช้งานพอร์ตเริ่มต้นแล้ว แต่ฉันต้องการให้ JBoss ทำงานบนพอร์ต 80 ฉันรู้ว่าฉันสามารถใช้งานพอร์ต 80 ได้ถ้าฉัน เรียกใช้เป็น root แต่ฉันรู้ว่าไม่ใช่ความคิดที่ดีและฉันไม่ต้องการเรียกใช้เป็น root แต่อย่างใด ฉันได้ลองส่งต่อพอร์ต 80 ถึง 8080 แล้ว แต่ฉันยังไม่ได้ใช้งาน ฉันคิดว่าฉันขาดขั้นตอน แต่ฉันไม่รู้ว่าฉันพลาดอะไรไป ฉันใช้ firewall-cmd ฉันได้เปิดทั้งสองพอร์ต (80 & 8080) และฉันได้เปิดใช้งานการปลอมแปลงสำหรับพื้นที่สาธารณะ ฉันยังใช้คำสั่งนี้เพื่อส่งต่อพอร์ต firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080. ความคิดใด ๆ ที่ฉันหายไป?

9 networking  centos  firewall 

สมมติว่าฉันมีเซิร์ฟเวอร์ที่มีส่วนต่อประสานส่วนตัวและส่วนต่อประสานสาธารณะ สาธารณะอาจมีสิ่งต่าง ๆ เช่นเซิร์ฟเวอร์ HTTP (S) ส่วนตัวอาจมี MySQL และ SSH เห็นได้ชัดว่า Nagios มีประโยชน์ในการตรวจสอบว่าบริการกำลังทำงานอยู่บนอินเตอร์เฟสที่เกี่ยวข้อง แต่เป็นความคิดที่ดีหรือไม่ที่จะสร้างการตรวจสอบที่ทดสอบอย่างชัดเจนว่าพอร์ต MySQL และ SSH ไม่ได้เปิดอยู่ในส่วนต่อประสานสาธารณะ แนวคิดคือการตรวจจับการกำหนดค่าผิดพลาดโดยไม่ได้ตั้งใจซึ่งเปิดบริการที่ควรเป็นแบบส่วนตัวและแจ้งเตือนอย่างเหมาะสม ส่วนหนึ่งของฉันมีความคิดที่ว่าสิ่งนี้จะไม่ขยายขนาดอย่างมาก - ลองจินตนาการว่ามีกฎ DROP iptables ตัวอย่างเช่นการตรวจสอบจะต้องรอจนกว่าการตรวจสอบการหมดเวลาเกินกว่าจะเสร็จสมบูรณ์และดำเนินต่อไป แต่การหมดเวลานั้นจะต้องสูงพอที่จะสามารถแยกความแตกต่างของบริการที่ถูกบล็อกจากบริการเปิดที่จมลง นี่เป็นแนวคิดที่ใช้ได้จริงหรือไม่? Nagios เป็นเครื่องมือที่ใช่หรือไม่? ฉันยังไม่ได้ดูถึงความเป็นไปได้ของการคัดค้านผลจากปลั๊กอินตรวจสอบ TCP แต่ฉันแน่ใจว่ามันเป็นไปได้ ...

9 firewall  monitoring  nagios  service  private-ip 

มีข้อดีในการปิดพอร์ตที่ไม่มีบริการใดทำงานอยู่หรือไม่? ฉันจะได้อะไรในการยุติการเชื่อมต่อที่ระดับ iptables แทนที่จะทำอะไรต่อไป (ฉันเดาว่า OS)

9 linux  networking  iptables  firewall  port 

ฉันมีการตั้งค่าการทดสอบในห้องปฏิบัติการด้วย 4 เครื่อง: เครื่อง P4 เก่า 2 เครื่อง (t1, t2) 1 Xeon 5420 DP 2.5 GHz RAM 8 GB (t3) Intel e1000 1 Xeon 5420 DP 2.5 GHz RAM 8 GB (t4) Intel e1000 เพื่อทดสอบประสิทธิภาพของไฟร์วอลล์ linux เนื่องจากเราถูกกัดจากการโจมตีของ syn-flood ในช่วงหลายเดือนที่ผ่านมา เครื่องทั้งหมดใช้ Ubuntu 12.04 64 บิต t1, t2, t3 เชื่อมต่อผ่านสวิตช์ 1GB / …

9 linux  firewall 

ฉันเพิ่งสร้างอินสแตนซ์ EC2 ฟรีพร้อมค่าเริ่มต้นทั้งหมด มันบอกว่ามันทำงานอยู่ใน AWS Management Console ในเมนู "การกระทำของอินสแตนซ์" ฉันคลิก "เชื่อมต่อ" ฉันคัดลอกชื่อ DNS ที่ระบุ (ดูเหมือน ec2-a-dashed-IP-address.compute-1.amazonaws.com) และลอง SSH ไม่มีการตอบสนอง ฉันไม่สามารถปิงได้ สิ่งที่ช่วยให้?

9 ssh  firewall  amazon-ec2  ping 

วิธีกำหนดค่าไฟร์วอลล์ที่ใช้กันทั่วไปและผิดวิธีใดบ้าง ฉันจะเริ่มต้นรายการดังต่อไปนี้: บล็อก ICMPอย่างสุ่มสี่สุ่มห้า นี่คือการปฏิบัติทั่วไปในปี 1998 เมื่อการโจมตี smurf เป็นความโกรธทั้งหมด วันนี้คุณเสี่ยงต่อการสร้างหลุมดำ PMTU และทำให้ยากต่อการวินิจฉัยปัญหา หากคุณต้องบล็อก ICMP อย่างน้อยต้องมีการแยกส่วนที่จำเป็นและสะท้อนการร้องขอ / ตอบกลับ กฎเก่า มันแย่มากที่เราไม่สามารถกำหนดวันหมดอายุตามกฎได้ เมื่อฉันย้ายบริการฉันมักจะลืมลบกฎสำหรับบริการเก่า

9 firewall 

ฉันกำลังมองหาเครื่องมือที่ฉันสามารถใช้ภายในเครือข่ายไฟร์วอลล์เพื่อสแกนไฟร์วอลล์เพื่อค้นหาพอร์ตขาออก ฉันได้ทำการวิจัยและพบว่าFirewalkแต่มันไม่ได้รับการบำรุงรักษาใน 10 ปีและดูเหมือนจะไม่ทำงานสำหรับฉันเมื่อฉันลอง ฉันทำ googling แล้วและพบบางไซต์ที่บอกว่าคุณสามารถทำได้ด้วย nmap แต่ฉันก็ไม่สามารถทำงานได้เช่นกัน ไม่มีใครรู้วิธีที่ดีกว่าการตั้งค่ากล่องนอกไฟร์วอลล์ฟังในทุกพอร์ตและพยายามที่จะสแกนพอร์ตจากภายใน?

9 networking  firewall  security 

ปิด. คำถามนี้เป็นคำถามปิดหัวข้อ ไม่ยอมรับคำตอบในขณะนี้ ปิดให้บริการใน8 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันมักจะมีไคลเอนต์อีเมลไฟล์ zip ให้ฉันเพียงเพื่อพบว่าไฟร์วอลล์ขององค์กรของพวกเขาได้ปล้นไฟล์ที่แนบมา วิธีที่ตรงไปตรงมาที่สุดในการส่งไฟล์บีบอัดทางอีเมลคืออะไรและหลีกเลี่ยงการแนบไฟล์ของคุณโดยไฟร์วอลล์ over-eager? เพื่อความกระจ่างแจ้งฉันไม่กังวลเกี่ยวกับการส่งไฟล์ออกเนื่องจากฉันสามารถโฮสต์ไฟล์เหล่านั้นบนเว็บเซิร์ฟเวอร์ของฉันเองเพื่อดาวน์โหลด ฉันกำลังมองหาวิธีแก้ปัญหาที่ดีและเรียบง่ายสำหรับให้ลูกค้าส่งไฟล์อีเมลถึงฉัน เพื่อชี้แจงเพิ่มเติม: เนื่องจากฉันสามารถควบคุมซอฟต์แวร์ของฉันที่ทำงานบนระบบไคลเอนต์ออฟไลน์และฉันควบคุมวิธีการสร้างไฟล์ข้อมูลฉันยังคงต้องการสำรวจตัวเลือกว่าจะจัดแพคเกจข้อมูลของฉันอย่างไรเพื่อให้ง่ายที่สุดอีเมลโดยเฉพาะ ฉันต้องการหลีกเลี่ยงให้ลูกค้าของฉันติดตั้งซอฟต์แวร์เพิ่มเติมหรือใช้เว็บไซต์บุคคลที่สามในตอนท้าย

9 security  email  firewall  compression 

ฉันมีอินสแตนซ์ VMWare ESXi ใช้เวอร์ชัน 6.0.0 พนักงานของเราถูกปิดกั้นจากไคลเอนต์หนา ESXi (แอปพลิเคชัน Windows "vSphere Client") เป็นจำนวนมากในเวลานี้ เราได้รับข้อความแสดงข้อผิดพลาด "ชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง" เมื่อพยายามเข้าสู่ระบบหลังจากการวิจัยบางอย่างเราพบว่าเราถูกล็อคออกจากโฮสต์ ESXi ของเราเนื่องจากคุณสมบัติการล็อครูทของ v6.0 ซึ่งล็อคบัญชีสำหรับ กำหนดจำนวนเวลา (ค่าเริ่มต้น: 2 นาที) หลังจากพยายามรหัสผ่านล้มเหลว 3 ครั้งติดต่อกัน ดูเหมือนว่าผู้โจมตียังคงดำเนินต่อไปอีกหลายชั่วโมงจนกระทั่งในที่สุดก็ยอมจำนน ณ จุดนั้นเราสามารถเข้าสู่ระบบด้วยตัวเองโดยใช้บัญชีรูท เราสับสนเล็กน้อยเกี่ยวกับสาเหตุที่อาจเกิดขึ้นได้ เซิร์ฟเวอร์โฮสต์ในดาต้าเซ็นเตอร์ขนาดใหญ่และมีชื่อเสียงและเป็นอินสแตนซ์เฉพาะที่แท้จริง อย่างไรก็ตามสิ่งอำนวยความสะดวกกล่าวว่าต้องการเรียกเก็บอัตราค่อนข้างมากเกินไปที่จะทำให้เซิร์ฟเวอร์ VM นี้อยู่หลังไฟร์วอลล์ฮาร์ดแวร์ ดังนั้นเราจึงพึ่งพาไฟร์วอลล์ในตัวของ ESXi ในส่วนการกำหนดค่า -> โปรไฟล์การรักษาความปลอดภัย -> ไฟร์วอลล์เรามีบริการต่อไปนี้ (ซึ่งถูกกำหนดโดยค่าเริ่มต้น) ให้ จำกัด IP เพื่ออนุญาต IP สำนักงานของเราเท่านั้น: เซิร์ฟเวอร์ SSH …

3 firewall  vmware-esxi