是否可以将 Windows 防火墙中的 IP 地址“列入白名单”并允许来自该特定地址的所有连接?
我想将请求转移到特定的子目录,到另一个根位置。如何?我现有的块是:
server {
listen 80;
server_name www.domain.com;
location / {
root /home/me/Documents/site1;
index index.html;
}
location /petproject {
root /home/me/pet-Project/website;
index index.html;
rewrite ^/petproject(.*)$ /$1;
}
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
} }
也就是说,http://www.domain.com应该服务于 /home/me/Documents/site1/index.html 而http://www.domain.com/petproject应该服务于 /home/me/pet-Project/website /index.html - 似乎 nginx 在替换后重新运行所有规则,而http://www.domain.com/petproject只是提供 /home/me/Documents/site1/index.html 。
我终于设法安装了我的 VM 主机,现在我正在使用 iptables 来创建、测试和学习。
我将以下规则放在规则的开头还是结尾有关系吗?
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
我已经测试过,没有区别,但我想确认一下。
到目前为止我选择的答案: 尽早应用您的政策是个好主意。把它们放在开头。内部流量的 DROP 规则可能会导致问题。
具有以下规则将被视为防火墙故障?
$IPT -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
如果没有这个规则,我需要为我的 ssh 连接添加一个 OUTPUT 规则,例如:
$IPT -A OUTPUT -p tcp --sport 2013 -j ACCEPT
答:
经过更多测试并与#iptables@freenode 上的人交谈后,我得出的结论是,使用-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPTINPUT 和 OUPUT 是一个很好的方法,可以帮助您处理很多事情,例如 FTP,这是一个很好的方法,因为除非您打开该给定端口并被接受,否则不会有恶意连接。
这是一个不使用上述内容的正常示例:
$IPT -A INPUT -p tcp --dport 20:21 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20:21 -j ACCEPT …我一直在使用防火墙/路由器分发 Pfsense 一段时间,我一直在尝试弄清楚如何使用拒绝/拒绝 LAN 规则将 LAN 上的服务器与 LAN 上的其他计算机“隔离”。我尝试在防火墙-> 规则-> LAN 下添加一条规则,该规则拒绝设备(例如我的手机 192.168.1.102)向位于 192.168.1.105 的 Web 服务器发送任何 TCP 数据包。出于某种原因,数据包设法得到了。奇怪的是,如果我将路由器本身指定为目的地,并阻止电话/计算机与其通话,它就可以工作。我已经用无线笔记本电脑和无线电话测试了这个,它们都在同一个子网上。
我的拓扑如下:
(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
|
(Wireless laptop/phone)
| == wifi
-> == wire
无线路由器/交换机是否可能只是将数据包从我的手机中继到服务器并完全绕过防火墙(解释为什么我的规则不起作用)?如果是这样,我如何设置它以便所有 LAN 流量都必须通过我的防火墙才能与网络上的任何其他计算机通信?
此处提供的 Web 界面图片作为 3 代表不会让我发布图片:(图片
我已经使用该iptables-save >命令保存了我的 iptables 规则,并且我正在尝试在机器启动时恢复这些规则。我已经在中添加了命令iptables-restore < "path to rules file",rc.local但它没有启动规则。
我尝试直接在终端中运行该命令并且它起作用了,所以我知道该命令没有任何问题。我rc.local也使用命令使文件可执行
sudo chmod +x /etc/rc.local。
可能是什么问题?
编辑 - 正在使用 Fedora 22
centos 5.4 附带的默认 iptables 中的这些规则是什么?
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
我需要它们用于带有 ftp、apache、ssh、mysql 的 Web 服务器吗?
谢谢
伙计们!:-) 。
关于我的 iptables 设置,我需要你的(几个?)建议。我对 iptables 很陌生,这是我第一次使用 iptables 配置服务器作为防火墙(我们没有钱也没有时间预先设置“真正的”防火墙)。
我想通过 SSH 仅从 specific.location.com 连接到我的服务器。
因此,我在 INPUT 中设置了以下规则:
target in out source destination
ACCEPT lo any localhost anywhere
ACCEPT any any specific.location.com myserver.local tcp dpt:ssh
我的默认政策是:
INPUT DROP
FORWARD DROP
OUTPUT ACCEPT
使用第一个配置,我能够连接到我的服务器,但无法访问外部(如 google.com),并且连接速度非常慢。
我知道我的防火墙没有任何规则,包括来自数据包的“ESTABLISHED”状态。确实,我猜我的包能够出去,但不允许回来......
所以我添加了这个规则:
target in out source destination
ACCEPT any any anywhere anywhere state ESTABLISHED
现在一切都像魅力一样,我可以从服务器外部访问,连接像以前一样非常快,而且我只能从 specific.location.com 以 SSH 访问我的服务器!
我唯一的问题是我需要你的建议,这是一个干净的配置吗?我在互联网上没有找到任何这样的例子,所以我很想知道......
还是我只是犯了一个巨大的安全错误?!
谢谢你们的帮助:-)
昨天我公司中了一个新的木马,它使用“它来自我信任的人”的旧社交方式来暂停用户的怀疑(和理性)并被打开并运行。
在查找、包含和消除这个东西的过程中,我使用 Exchange Online (Office365) 传输规则来阻止所有来自受感染用户的外发电子邮件(并将被阻止的邮件发送给我)。在我确定错误被压扁后,我取消了传输规则,但发现用户仍然无法发送。然后我删除了传输规则,并与一个用户进行了测试,有的通过了,有的被阻止了。
我使用 Powershell 登录并且 Get-TransportRule 没有显示在半小时后仍然(偶尔,随机)阻止这些用户的规则。
需要多长时间?我需要多长时间才能开始购票流程?还是我错过了什么?
如何拒绝对文件夹的访问,但“拒绝”中的某些子文件夹除外?
我尝试了这样的事情(按此顺序):
#这个子文件夹不应该被拒绝,里面的php脚本应该是可执行的
位置 ~ /data/public { 允许所有; }
#此文件夹包含许多应拒绝公共访问的子文件夹
位置 ~ /data { 全部拒绝;返回404;}
...这不能正常工作。/data/public 文件夹中的文件是可以访问的(/data 中的所有其他文件都应该被拒绝),但 PHP 文件不再在 /data/public 文件夹中执行(如果我不添加这些限制,PHP文件是可执行的)。
怎么了?怎么可能是正确的?我认为有更好的方法来做到这一点。
如果有人能帮我解决这个问题,那就太好了:)。
谢谢,但 PHP 文件仍然没有在 /data/public/ 文件夹中执行,就像一个简单的
<? echo "test"; ?>
它为您提供此文件作为下载(没有上面的“拒绝”配置,php 文件运行良好)。
我的PHP配置:
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi_params;
}
/data/ 之外的所有其他目录中的 PHP 文件都在工作......(其他子文件夹也是如此)。
我以 root 身份运行这两个规则,但是在执行 iptables -L 时它不显示任何规则,有人知道问题是什么吗?
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --source 84.244.145.135 -j REDIRECT --to-port 1222
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --source 243.134.97.194 -j REDIRECT --to-port 1222
duno@Virtual-Box:/home/glennwiz# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我正在尝试将 iptables 规则文件保存到 /etc/sysconfig/iptables。我想在不登录 root 的情况下执行此操作。我尝试使用
须藤 iptables-save > /etc/sysconfig/iptables
但它抛出权限被拒绝错误。
如何在不登录 root 的情况下保存文件?我在我的应用程序中使用它,所以我不想通过应用程序登录到 root。
谢谢
如何设置 UFW(简单防火墙)为特定主机添加规则?例如。我只想允许来自 yourpc.no-ip.org 的 SSH?
通常我是开发人员...
今天老板问我一个问题,如何为不同的用户配置不同的dns规则?
有人有想法吗?
所有的人都使用相同的 DNS,它允许访问 www.facebook.com,但人力资源没有。
我们在 Debian 6.0 上有服务器。
谢谢你的帮助 !