我想制定一些简单的 iptables 规则来拒绝所有传入连接并允许传出。我怎样才能做到这一点?
我正在使用 CentOS,并在输入以下iptables命令时:
iptables -L -v
输出如下:
Chain INPUT (policy ACCEPT 19614 packets, 2312K bytes) pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 13881 packets, 32M bytes) pkts bytes target prot opt in out source destination
这是什么意思?我可以使用 SSH 连接。我在哪里可以看到那个规则?
iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT
此外,来自NTP 网站:
... ntpd 需要对特权 UDP 端口 123 的完全双向访问。 ...
我的问题是,为什么?对于不熟悉 NTP 的人来说,这似乎是一个潜在的安全漏洞,尤其是当我要求我的客户在其防火墙中打开该端口以便我的服务器可以保持时间同步时。有没有人可以给我的客户一个合理的理由来说服他们我需要在防火墙中进行此访问?帮助表示赞赏!:)
我正在使用Syncthing,这是一个在两台或多台计算机之间同步文件的应用程序。我相信需要允许Syncthing(在 github 上)接受传入的网络连接才能正常工作。
Mac OS X 有一个内置防火墙,它不断询问我是否允许同步以弹出窗口的形式接受传入的网络连接。通常,对于一个应用程序,这只会被询问一次,但出于某种原因,这个弹出窗口每天至少出现 4 次。
这可能与自动更新功能有关,该功能会导致不时出现新的二进制文件(类似于 Google Chrome 的功能)。但是,与我收到的弹出窗口数量相比,此应用程序的更新频率要低得多。
知道我可以做些什么来让 Mac OS X 停止针对特定应用程序问我这个问题,还是没有办法解决它?
如果还有一个默认选择,以防我离开机器,那就太好了。知道如何实现这一点 -无需关闭防火墙?
我总是使用简单的技巧来绕过大多数阻止我使用任何端口的防火墙。我只是在我的一台服务器上的 443 端口上打开了 ssh,然后将所有流量通过隧道传输。
然而,我现在在一个拥有防火墙的网络上,我以前从未见过,我什至不知道这是可能的。
在此网络上,您只能将 443 端口用于合法的网络服务器流量。如果我打开 ssh 或端口 443 上的任何其他内容并尝试从该网络连接到那里,它会立即被杀死。如果我在该服务器上启动 apache,它就可以工作。
这怎么可能?是否有一些超级复杂的防火墙甚至能够分析加密流量以验证它是合法的 https 流量?如何?
除了带有默认 Windows 防火墙的 Firefox 之外,是否可以自动阻止所有应用程序传入/传出互联网连接?
我想阻止一切,甚至包括 Windows 更新和其他软件更新。
我想只允许使用一种 Web 浏览器,例如 firefox、chrome 或 opera。
如何在 Windows 防火墙中设置这样的配置?我看到了阻止应用程序,但似乎您需要一个一个添加,这是一项繁琐的任务。
我希望实现的是“白名单”——这意味着我在防火墙上设置了一条规则,上面写着“阻止一切”(deny all any/any,其中
“拒绝”=不让任何东西通过,
“所有”=所有类型的流量,
“任何/任何”=任何来源,任何目的地)。
然后,我设置了“白名单”——意思是我想要允许的好目的地列表。
我想授予它们网络访问权限的应用程序列表。只有此列表中的应用程序才能进行通信。
请注意,白名单与黑名单不同,白名单会阻止所有内容,然后稍后允许一些内容。考虑到这个定义,一切都会被自动阻止并且无法使用。
我希望应该有一个选项或按钮让我可以手动编辑、添加或删除此列表中的应用程序。
我不是专家,所以请尽量给出详细的答案,因为我对端口和在谷歌搜索时遇到的其他一些表达一无所知。
谢谢,
大家都知道,现在 Windows XP 非常不安全。但是,这里有一个示例情况:
当然,我毫不怀疑Windows XP在操作系统本身、内置防火墙等方面存在一些严重的安全弱点。如果要将Windows XP机器直接连接到互联网,例如:
XP Machine <----> Modem <----> Internet
可以预见的是,这个盒子很快就会被破坏。(即使使用最新的 Windows 11 系统,我也不愿意这样做)。然而,当位于 NAT + 路由器防火墙后面时(没有任何端口转发等),来自 WAN 的任何入站流量都不会被允许进入。显然,这是 NAT 的副作用,但即使没有 NAT,大多数情况下默认情况下,路由器会阻止入站连接。
此外,假设该盒子不用于一般的网页浏览,并且不会定期安装来自不受信任来源的随机软件。在这种情况下,操作系统是否仍然容易受到攻击?如果是这样,怎么办?
当然,它很容易受到来自局域网的攻击。但是,如果它位于受信任的 LAN 上,这不是问题:LAN 上的其他人不应该有理由攻击该计算机,并且如果另一个设备已经受到损害,并且蠕虫或其他东西正在传播,那么您将遇到更大的问题而不是担心一台 Windows XP 机器被黑客攻击。
TLDR-
Windows XP机器连接如下:
XP Machine <----> NAT Router + Firewall <----> Internet
恶意软件不会成为问题(带有附件的电子邮件中的社会工程、安装不受信任的软件等),并且机器不会用于一般的网页浏览。来自内部 LAN 的威胁无需担心。这个盒子仍然是一个安全问题吗?如何?
或许更恰当的问题是:在这种情况下,盒子怎么会被攻击/可以被攻击?(不允许来自 WAN 的入站流量、禁止一般网页浏览等)
我不是有史以来最了解网络的人,但这里是......
我已经用 NodeJS 创建了一个应用程序,我想和我的家人在我的 LAN 上测试该应用程序。该应用程序在端口上侦听1337连接,我可以通过在我自己的 PC 上输入localhost:1337,192.168.0.3:1337甚至http://joel-pc:1337/在我的浏览器的地址栏中很好地访问该应用程序。
我还将与 NodeJS 一起运行 apache,只要它连接到同一网络,我就可以通过在浏览器的地址栏中键入192.168.0.3或http://joel-pc/进入它来访问它。
现在是奇怪的部分;如果我停止 apache 服务,将我的节点应用程序更改为侦听端口80(http) insted 1337,则可以通过在我的 PC 上键入localhost,192.168.0.3甚至http://joel-pc在浏览器的地址栏中进行访问。但是,除了我自己的 PC 之外,我仍然无法在我网络上的任何其他 PC 上访问 NodeJS。
我已经尝试在 Windows 7 中创建一个出站规则以允许访问端口 1337,但我仍然无法在我自己的 PC 之外的任何其他 PC 上访问我的 NodeJS 服务器,即使它正在侦听端口 80。是否有明显的问题我在这里错过了吗?
当 Windows 防火墙服务被禁用时,我无法远程桌面 (RDP) 到机器。有没有人看到这个?这是在域上的 Win7 64 Enterprise 上。这可能是某种域策略吗?
编辑:是的,启用防火墙服务后,RDP 就像一个魅力。我还可以在防火墙服务打开时 ping 系统,但在关闭时则不能。我开始怀疑某种公司强加的安全策略,但 GPedit 并没有真正表现出任何意义。
有一些.exe和.dll属于我的笔记本电脑的一些程序,其没有我的允许与Internet通信的文件(自我更新一般)。我想一一阻止那些文件访问互联网。我不想安装任何外部防火墙。我正在使用 Windows 7 Home Pro,如果这可以通过 Windows 防火墙完成,那就没问题了。我查看了 Windows 防火墙,但找不到禁用文件访问的设置。
firewall ×10
networking ×4
linux ×3
iptables ×2
security ×2
windows-7 ×2
centos ×1
connection ×1
internet ×1
mac ×1
macos ×1
node.js ×1
ntp ×1
permissions ×1
port ×1
ssh ×1
whitelist ×1
windows ×1
windows-xp ×1