标签: firewall

我想知道如何使用 Power Shell 在 Windows 中打开防火墙端口。谁能写一个脚本来打开防火墙端口。我在/sf/ask/1733257501/上看到了类似的帖子-firewall-rules-with-powershell-open-close-a-specific-port但不知道怎么做。

我只想在 Windows 中打开一个端口：8983，因为当我执行应用程序（堆栈转储）时，它说pysolr.SolrError: Failed to connect to server at 'http://localhost:8983/solr/stackdump/admin/ping', are you sure that URL is correct?.Atlast 它说：No connection could be made because the target machine actively refused it。

我的理解这个TechNet文章，每说给我带来了那里的页面*，是我可以配置Windows防火墙以允许使用由特定的可执行文件的任何端口上的所有入站流量。

我意识到事实上的答案很可能是“不要这样做”，所以请理解；我在虚拟机中运行 Visual Studio 和 IIS Express，并且希望能够从主机操作系统进行连接以进行测试，因此并不真正关心打开 IIS Express 使用的所有端口的安全隐患。

我创建了一个入站规则，程序设置为%ProgramFiles% (x86)\IIS Express\iisexpress.exe，这是根据任务管理器运行的可执行文件。所有其他规则规范都留空（任何本地地址、任何远程地址和本地端口、任何远程端口、“任何”允许的用户、“任何”允许的计算机）。但是，只有当我对 IIS Express 提供的特定端口有规则时，连接才有效。

由于它会让我的生活更轻松（并且主要是原则上，因为 technet 说它应该可以工作），我宁愿不必为我创建的每个应用程序添加防火墙规则。

* 任务“创建一个规则，允许程序在它需要的任何端口上侦听和接受入站网络流量。”

因此，我一直在网上寻找一个脚本，该脚本将删除除 http(80) 和 https(443) 端口之外的所有端口的所有流量，然后只允许来自国家 x 的所有其他端口的流量（在我的案例国家 x 是美国）。

我不想添加来自每个国家/地区的所有 IP，我只想允许来自我国家/地区的 ip，然后阻止来自外部世界的几乎所有其他流量。我国以外的任何人都不应访问 ssh、ftp、smtp 等。除了我自己。如果这种情况发生变化，我会在它接近时为其添加一个特殊情况。

边注

我必须注意，我确实找到了一个问题，其中包含使用 ip 表按国家/地区禁止 ip的脚本，但这是我必须做的很多额外插入。

标记为最佳答案的脚本将阻止来自这些 IP 的所有流量。我只想阻止访问除 80 和 443 之外的所有端口。

更新

根据以下规则，

iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

我可以修改它并做类似的事情吗

iptables -A OUTPUT -m geoip --dst-cc CN --dport 80 -j ACCEPT
iptables -A OUTPUT -m geoip --dst-cc CN --dport 443 -j ACCEPT
iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

我认为这将允许来自中国的 ips 访问端口 80 和端口 443，而它会丢弃其余端口。这个假设是否正确？如果没有，为什么不呢？

更新 2

经过一番折腾，我发现我的 …

我通过通常安装的 Win10 home / Apple Iphone (iOS) 和不同的浏览器使用我的互联网连接。操作系统和浏览器都是最新的。

我在 siteground.com 的 CentOS 共享服务器环境中托管了两个 WordPress 网站。

我的问题

从我的 IP冲浪时，我收到来自所有浏览器的错误“无法访问站点”。不管是WIFI还是以太网，我还是有上面的问题。

这些站点运行良好，并且可以从其他 IP 地址完全访问（例如，如果我将我的 WIFI 更改为我的 PC 找到的免费 WIFI，我可以访问这些站点）。

调试尝试

导航到相关域后，在 Chrome 中使用 Windows 故障排除工具后，我收到此错误：

Windows 无法自动检测网络的代理设置。

电源外壳

ping TARGET_DOMAIN 带来：

来自 TARGET_IP 的回复：bytes=32 time=189ms TTL=53

tracert TARGET_DOMAIN 带来：

无法解析目标系统名称 TARGET_DOMAIN。

此外，还nslookup TARGET_DOMAIN带来：

nslookup : *** Request to Broadcom.Home timed-out At line:1 char:1
+ nslookup TARGET_DOMAIN
+ ~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (*** Request to Broadcom.Home timed-out:String) …

我可以使用“安全和隐私”首选项窗格来启用和禁用防火墙，但是如何使用命令行来执行此操作defaults write？

去年我在中国工作了几个月。我从不费心设置真正的 VPN，只是创建了一个 SSH 隧道，并更改了我的浏览器代理设置以通过它进行连接。

一切都很好（当然闪光灯除外），但这很好。

然而，现在我回到了中国，但我在这种方法上遇到了问题。我和上次做同样的事情，根据https://ipcheckit.com/我的 IP 地址确实是我在美国的（私人）服务器的 IP，我正在使用指纹登录我的服务器在去中国之前很久就创建了，所以没有 MITM 应该是可能的。此外，来自 ipcheckit.com 的证书来自 GeoTrust - 所以一切都应该没问题

但是，我仍然无法访问在中国被屏蔽的网站。知道这怎么可能吗？

Windows 8 引入了新的计量网络连接类别。知道这种类型的连接的应用程序可以选择不使用它以降低连接成本。

我想知道是否有办法防止旧应用程序（例如备份软件）使用按流量计费的网络连接。例如，这可以使用内置防火墙吗？

我试图在我的 Ubuntu 12.04 机器上设置防火墙。经过一番挣扎，我得到了以下内容。这听起来是不是有点奇怪？

thomas@thomas-K40IJ:~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW OUT   Anywhere
80                         ALLOW OUT   Anywhere
22                         ALLOW OUT   Anywhere
21/tcp                     ALLOW OUT   Anywhere (v6)
80                         ALLOW OUT   Anywhere (v6)
22                         ALLOW OUT   Anywhere (v6)

thomas@thomas-K40IJ:~$ sudo ufw reload
Firewall not enabled (skipping reload)
thomas@thomas-K40IJ:~$ sudo ufw enable 
ERROR: Could not load logging rules
thomas@thomas-K40IJ:~$

重启后我的防火墙似乎也被禁用了。我错过了什么？

鉴于我们客户的限制，我们不能让我们的虚拟机完全对互联网开放。但是，我们有时需要从 Docker Hub 中拉取 Docker 镜像。

我们可以将 IP 地址和范围以及端口列入白名单；但没有主机名。

我找遍了所有我能找到的地方，但没有找到任何 Docker 在运行诸如docker pull redis. 有没有人遇到过这样的问题？

我检查了这个问题：Docker 无法提取图像，但不出所料，https : //index.docker.io解析为另一个 IP。

我使用 ipset 和 iptables 创建了一个名为“黑名单”的黑名单，现在我想知道如何编辑“黑名单”来删除或添加 IP。

有谁知道？