我在 UFW 中的服务器上有以下规则:
To Action From
-- ------ ----
22 ALLOW 217.22.12.111
22 ALLOW 146.200.200.200
80 ALLOW Anywhere
443 ALLOW Anywhere
22/tcp ALLOW 109.104.109.0/26
前两个规则是我们要确保始终可以在(端口 22)中进行 SSH 的内部 IP。接下来的两条规则是允许从任何地方的任何 IP 地址查看 HTTP 和 HTTPS。最终规则是允许来自我们的代码部署系统的 SSH。
我设置了一个ufw default deny规则,但它似乎没有显示。我还应该有一个否定一切的最终规则吗?
如果我添加了一条拒绝所有规则,上面显示的规则的顺序会有所不同吗?大概如果这个列表变长了,在拒绝规则之上添加另一个允许规则是不可能的,这意味着我必须删除并重新添加一些规则?
我们的网络管理员最近在我们的防火墙/路由器上启用了 HTTPS 检查。对于 IE 用户来说,这很好,因为证书都是通过 Active Directory 为加入域的机器分发的。但是,我们有许多 Firefox 用户现在几乎在每个 HTTPS 站点上都抛出证书错误。
Firefox 使用他们自己的 CA 存储,他们也为此感到非常自豪。有没有办法让 Firefox 默认信任系统证书存储?我看到很多关于如何在 Linux 中执行此操作的帖子,但在 Windows 中没有。
windows firewall firefox ssl-certificate certificate-authority
我有一个带有这些简单规则的防火墙:
iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 6000 -j REJECT
现在,假设我像这样使用TCPDUMP:
tcpdump port 6000
我有主机192.168.16.21试图连接到端口6000。
将/应该tcpdump输出一些来自192.168.16.21?
可能的重复:
切换到 IPv6 并摆脱 NAT?你在开玩笑吗?
我正在考虑在 IPv4 中大部分时间你有一个单一的点来配置防火墙的方式,主要是你的路由器,但是如果每个人都有一个全局可访问的 IP 地址,这是否意味着每个计算机用户基本上都是负责管理自己的防火墙?
(我的意思是我承认在使用公共 wifi 接入点时也是如此,但仍然......)
首先声明,这不是我的想法,我不想讨论这样的行为是否合理。
但是,对于一个公司来说,有没有办法阻止员工访问公有云服务呢?特别是,他们不应该能够将文件上传到网络上的任何地方。
阻止 HTTPS 可能是第一个简单但非常激进的解决方案。使用 IP 地址黑名单也是不够的。可能需要某种软件来过滤内容级别的流量。代理可能会有所帮助,以便能够过滤 HTTPS 流量。
到目前为止,这些是我的想法。你怎么认为?有任何想法吗?
jail.local 文件是作为 jail.conf 的覆盖还是作为 jail.conf 的替代?
当我从教程中学习Fail2Ban时,他们中的大多数人通常会说要么将 jail.conf 复制到 jail.local 并在那里进行编辑,其中一些人说要创建一个新的 jail.local 文件并提供一堆要复制的设置和粘贴。但他们没有解决的是 jail.local 如何与 jail.conf 一起工作。这些是2个场景:
覆盖:如果jail.local 充当jail.conf 文件的覆盖,那么我需要做的只是将我想要覆盖的必要配置添加到jail.conf 中给出的默认值中。在这种情况下,我不需要添加 SSH 配置等,因为它已经包含在 jail.conf 中。
替换:如果jail.conf 在jail.local 存在时无效,那么我需要在jail.local 中添加所有规则,然后编辑我想要修改的规则。
你能确认当 jail.local 存在时 jail.conf 会发生什么吗?如果 jail.local 的行为就像是在 jail.conf 文件之上的覆盖,那么对我来说,只需添加几行我想添加的规则就更容易了,这也使维护和可读性变得容易。什么是最好的方法?
UFW 的手册页提到它可以为我设置 iptables 速率限制:
ufw 支持连接速率限制,这对于防止暴力登录攻击很有用。如果 IP 地址在过去 30 秒内尝试启动 6 个或更多连接,则 ufw 将拒绝连接。有关 详细信息,请参阅 http://www.debian-administration.org/articles/187。典型用法是:
Run Code Online (Sandbox Code Playgroud)ufw limit ssh/tcp
不幸的是,这是我能找到的所有文档。我想坚持使用 UFW,而不是使用更复杂的 iptables 命令(以保持“简单”)。
我将如何使用 ufw 将端口 80 上的所有传入(因此不是传出)流量限制为每 30 秒 20 个连接?如何禁用端口 30000 到 30005 的速率限制?是否默认为所有端口启用速率限制?
在定义规则时,命令 iptables 不再识别最常用的选项之一:--dport.
我收到此错误:
[root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP
iptables v1.4.7: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.
上面的添加规则命令只是启用 Terraria 连接的一个示例。
这是我目前拥有的准系统 iptables 配置(listiptables别名为iptables -L -v --line-numbers),很明显,--dport它在过去有效:
root@dragonweyr /home/calyodelphi]# listiptables
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 39 4368 ACCEPT all -- lo any anywhere anywhere
2 114 10257 ACCEPT all …我刚刚在服务器上安装了 Windows Server 2008,我能够通过远程桌面连接但无法 ping。我是否需要在防火墙上打开一个特殊端口才能 ping 服务器?
这应该是一个非常简单的:
在Windows Server 2008+上的高级 Windows 防火墙中,属性 > 高级,“边缘遍历”是什么意思?
当然,我在谷歌上搜索过,但无法给出具体的答案,尤其是在Thomas Schinder 的博客上看到以下内容时,我感到非常震惊:
Edge traversal 选项是一个有趣的选项,因为它没有很好的记录。以下是帮助文件中的内容:
“Edge traversal 这表示是否启用了边缘遍历(Yes)或禁用了(No)。启用边缘遍历后,应用规则的应用程序、服务或端口可全局寻址,并可从网络地址转换 (NAT) 或边缘设备外部访问。”
你认为这可能意味着什么?通过在服务器前面的 NAT 设备上使用端口转发,我们可以使服务跨 NAT 设备可用。这可能与IPsec有关吗?它可能与NAT-T有关吗?难道这个功能的帮助文件编写者也不知道,并且编造了一些代表同义反复的东西?
我不知道这是做什么的,但如果我发现了,我会确保将这些信息包含在我的博客中。
我很欣赏他的诚实,但如果这家伙不知道,谁知道呢?!
一旦机器位于路由器的另一端,我们就很难连接到 VPN,我想知道这是否有帮助?所以我非常渴望听到对“边缘遍历”的正确描述!