タグ付けされた質問 「firewall」

ファイアウォールは、ネットワークトラフィックの検査とフィルタリングに使用されるアプリケーションまたはハードウェアデバイスです。

8
パブリッククラウドへの従業員のアクセスをブロックする
まず第一に、これは私の考えではなく、そのような行動が合理的かどうかについて議論したくないと述べさせてください。 しかし、企業にとって、従業員がパブリッククラウドサービスにアクセスできないようにする方法はありますか?特に、ウェブ上のどの場所にもファイルをアップロードできないようにする必要があります。 HTTPSのブロックは、最初の単純な、しかし非常に急進的なソリューションかもしれません。IPアドレスのブラックリストを使用しても十分ではありません。コンテンツレベルでトラフィックをフィルタリングするには、おそらく何らかのソフトウェアが必要です。HTTPSトラフィックをフィルタリングできるようにするには、プロキシが役立つ場合があります。 これらはこれまでの私の考えです。どう思いますか?何か案は?

1
Fail2ban jail.localとjail.conf
jail.localファイルは、jail.confのオーバーライドまたはjail.confの置換として機能しますか? 私がチュートリアルからFail2Banについて学んでいたとき、それらのほとんどは通常、jail.confをjail.localにコピーしてそこで編集することを言い、一部は新しいjail.localファイルを作成し、コピーする設定の束を与えると言います貼り付けます。しかし、彼らが対処していないのは、jail.localがjail.confとどのように機能するかです。これらは2つのシナリオです。 オーバーライド: jail.localがjail.confファイルのオーバーライドとして機能する場合、必要なのは、jail.confで指定されているデフォルトにオーバーライドする必要な構成を追加することだけです。この場合、SSH configなどを追加する必要はありません。すでにjail.confに含まれているためです。 置換: jail.localが存在するときにjail.confが無効になった場合、jail.localにすべてのルールを追加してから、変更したいルールを編集する必要があります。 jail.localが存在するときにjail.confがどうなるかを確認できますか?jail.localがjail.confファイルの上のオーバーライドのように動作する場合、追加したい数行のルールだけを保持する方が簡単です。これにより、メンテナンスと読みやすさが容易になります。これに対する最善のアプローチは何ですか?

3
UFWファイアウォールルールの順序?
UFW内のサーバーには次のルールがあります。 To Action From -- ------ ---- 22 ALLOW 217.22.12.111 22 ALLOW 146.200.200.200 80 ALLOW Anywhere 443 ALLOW Anywhere 22/tcp ALLOW 109.104.109.0/26 最初の2つのルールは内部IPであり、常にSSHで接続できるようにしたい(ポート22)。次の2つのルールは、任意のIPアドレスからのHTTPおよびHTTPS表示を許可することです。最後のルールは、コード展開システムからSSHを許可することです。 ufw default denyルールを設定しましたが、表示されていないようです。すべてを拒否する最終ルールも必要ですか? すべてを拒否するルールを追加した場合、上記のルールの順序に違いはありますか?おそらく、このリストが長くなり、拒否ルールの上に別の許可ルールを追加することは不可能です。つまり、いくつかのルールを削除して再度追加する必要がありますか?
23 ubuntu  firewall  ufw 


4
UFWによるレート制限:制限の設定
UFWのマニュアルページには、iptablesのレート制限を設定できることが記載されています。 ufwは、接続レート制限をサポートしています。これは、総当たりログイン攻撃から保護するのに役立ちます。IPアドレスが過去30秒間に6つ以上の接続を開始しようとした場合、ufwは接続を拒否します。詳細については、 http://www.debian-administration.org/articles/187 を参照してください。典型的な使用法は次のとおりです。 ufw limit ssh/tcp 残念ながら、これは私が見つけることができるすべてのドキュメントです。私はUFWに固執し、より複雑なiptablesコマンドを使用したくない(物事を「複雑でない」状態に保つため)。 ufwを使用して、ポート80のすべての着信(発信ではない)トラフィックを30秒あたり20接続に制限するにはどうすればよいですか?ポート30000〜30005のレート制限を無効にするにはどうすればよいですか?レート制限はすべてのポートでデフォルトで有効になっていますか?

11
ポートが開いているかどうかを確認するにはどうすればよいですか?
Windows 7コンピューターにApacheサーバーをインストールしました。ブラウザのアドレス行にhttp:// localhost /と入力することで、デフォルトのindex.phpを表示できました。 ただし、自分のコンピューターのIPアドレスを入力しても(ローカル(同じコンピューターから)もグローバルにも(インターネットに接続された別のコンピューターからでも))入力してもこのページを表示できません。 ポート80を開く必要があると言われました。(ここで説明する方法で)実行しましたが、問題は解決しませんでした。 まず最初に、開いているポートと開いていないポートを確認します。たとえば、開こうとする前にポート80が閉じられたかどうかはわかりません。また、開こうとした後に開いているかどうかもわかりません。 Pythonで書かれた非常にシンプルなWebサーバーを実行しようとしました。そのためにポート81を使用しましたが、うまくいきました!また、ポート81を開こうとしませんでした。したがって、デフォルトで開かれました。だから、81がデフォルトで開かれている場合、なぜ80は開かれないのですか?それとも? 追加情報: 1. httpd.confファイルに「Listen 80」があります。 2. このサイトから、コンピューターのポート80が開いていることがわかります。 3. http:// myip:80とhttp:// myip:81を試すと、異なる応答が返されます。最後のケースでは、ブラウザ(Chrome)はリンクが壊れていると書いています。最初のケースでは次のようになります:Forbiddenこのサーバーにアクセスする権限がありません。 4. IEは、「WebサイトはこのWebページの表示を拒否しました」と書いています。

3
CentOS 7ファイアウォールの構成
CentOS 6ではsetup、コマンドラインから入力でき、ツールセットが表示されFirewall configurationます。リストにFirewall configurationオプションが含まれていないことを除いて、CentOS 7でもこれを行うことができます。 誰が私が今それを見つけることができるか、なぜそれが移動されたかを知っていますか? これは、を経由HTTPして着信トラフィックを許可するために使用した場所HTTPSです。もっと良い方法があれば、私は喜んでアドバイスをします。ありがとう。
22 centos  firewall  http  https 

8
ゼロデイ攻撃を防ぐ方法
従来、すべてのウイルス対策プログラムとIPSシステムは、署名ベースの技術を使用して機能します。ただし、これはゼロデイ攻撃の防止にはあまり役立ちません。 したがって、ゼロデイ攻撃を防ぐために何ができますか?

3
Windows Advanced Firewall:「エッジトラバーサル」とはどういう意味ですか?
これは本当にシンプルなものでなければなりません: で高度なWindowsファイアウォールのWindows Serverの2008+「何をするか、[プロパティ]> [詳細設定、エッジトラバーサルを」意味ですか? もちろん私はそれをグーグルで検索しましたが、具体的な答えを思い付くことができませんでした。特に、Thomas Schinderのブログで次のことを見てショックを受けました。 エッジトラバーサルオプションは、あまり詳しく説明されていないため、興味深いものです。ヘルプファイルの内容は次のとおりです。 「エッジトラバーサルこれは、エッジトラバーサルが有効(はい)または無効(いいえ)かどうかを示します。エッジトラバーサルが有効になっている場合、ルールが適用されるアプリケーション、サービス、またはポートはグローバルにアドレス可能であり、ネットワークアドレス変換(NAT)またはエッジデバイスの外部からアクセスできます。 これはどういう意味だと思いますか?サーバーの前にあるNATデバイスでポート転送を使用することにより、NATデバイスでサービスを利用できるようにすることができます。これはIPsecと関係があるのでしょうか?NAT-Tと関係があるのでしょうか?この機能のヘルプファイルライターがどちらも知らず、トートロジーを表す何かを作成した可能性がありますか? 私はこれが何をするのか分かりませんが、私が見つけたら、私のブログにこの情報を含めるようにします。 私は彼の誠実さに感謝しますが、この男が知らない場合、誰が知っていますか?! マシンがルーターの反対側にあるとすぐにVPNに接続できなくなります。だから、「エッジトラバーサル」が何をするのかについての適切な説明を聞きたいと思っています。

3
「着信」および「発信」トラフィックとはどういう意味ですか?
HTTP標準ポート(および)で送受信トラフィックを許可するようにサーバーのファイアウォールをセットアップする方法を説明する多くのリソースを見てきましたが、なぜどちらが必要なのかわかりません。「通常の」Webサイトを機能させるには、両方のブロックを解除する必要がありますか?ファイルのアップロードが機能しますか?一方のブロックを解除し、他方をブロックしたままにすることが望ましい状況はありますか?80443 それが基本的な質問であれば申し訳ありませんが、どこにも説明が見つかりませんでした(また、私は英語を母国語としていません)。「通常の」Webサイトでは、クライアントが常にリクエストを開始するものであることを知っているので、Webサーバーがそれらのポートで着信トラフィックを受け入れる必要があると想定しています。他のブロックを解除せずに(そうでなければ、2種類のルールを設定しても意味がありません)。あれは正しいですか? しかし、発信Web(サービス)トラフィックとは何ですか?サーバーが別のマシンとの接続を開始したい場合、重要な特定のポートは反対側のポートです(つまり、宛先ポートは80)、その端では、空きポートを使用できます(ソースポートはランダムです) )。wget何もブロックを解除せずに、サーバーからのHTTPリクエストを(たとえば、使用して)開くことができます。だから、「着信」と「発信」の概念が何らかの形で間違っていると思います。

4
サーバー間でUFWルールをコピーする
Coloでハードウェアの更新を行っています。古いサーバーから新しいサーバーにUFWルールをコピーするだけです。古いサーバーから新しいサーバーにすべてのアクティブなルールをコピーさせることはできないようです。 サーバー間でアクティブなUFWルールをコピーするにはどうすればよいですか?
20 firewall  ufw 

2
ファイアウォール(Ubuntu 8.04)がRSTで最終パケット(FIN、ACK、PSH)を拒否する理由
背景には、長い間、TCPがタイムアウトするまでHTTPリクエストが部分的にロードされたままになることがあるというファイアウォールの問題がありました。 ファイアウォールでトラフィックをトレースした後、特定のタイミング条件でのみ発生することに気付きました。たとえば、クライアントがペイロードで2番目のACKを送信する前にWebサーバーが応答全体を送信した場合です。[SYN、SYN / ACK、ACK]が交換され、REQUESTが送信され、ACKされ、最初のRESPONSEパケットが受信され、ACKされた後、ウェブサーバーは残りの応答本文を1ショットで送信します(8パケット最後のFIN、PSHを含み、クライアントがそれらのいずれかにACKを返す前に、ファイアウォールはWebサーバーに対してRSTで拒否し、クライアントを無限にハングさせ続けます。 これは、ファイアウォールの両側からのパケットを含むWiresharkトレース全体です。192.168.126.161は、クライアントのプライベートNAT'et IPアドレスです。172.16.1.2はWebサーバーIP(実際のパブリックIPを表示しない)であり、10.1.1.1はファイアウォール外部IP(実際のパブリックIPを表示しない)です 2105 0.086275 192.168.126.161 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2106 0.000066 10.1.1.1 172.16.1.2 TCP 37854 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 SACK_PERM=1 TSV=89375083 TSER=0 2107 0.002643 172.16.1.2 10.1.1.1 TCP http > 37854 [SYN, ACK] Seq=0 Ack=1 …

3
iptablesエラー:不明なオプション--dport
コマンドiptablesは、ルールを定義するときに最も一般的に使用されるオプションの1つを認識しなくなりました--dport。 私はこのエラーを受け取ります: [root@dragonweyr /home/calyodelphi]# iptables -A INPUT --dport 7777 -j ACCEPT_TCP_UDP iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. 上記のルールの追加コマンドは、Terraria接続を有効にするための単なる例です。 ここに私がベアボーンiptables構成として現在持っているもの(listiptables別名iptables -L -v --line-numbers)があり--dport、過去に機能していたことは明らかです: root@dragonweyr /home/calyodelphi]# listiptables Chain INPUT (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source …


3
iptablesと一般的なファイアウォールの落とし穴をデバッグしますか?
これは、Linuxシステムでのソフトウェアファイアウォールの理解とデバッグについて提案された 正規の質問です。 EEAAの回答と@Shogのコメントに応えて 、iptablesに関する一般的な比較的単純な質問を閉じるために適切な正規のQ&Aが必要であると述べました。 Linuxソフトウェアファイアウォール、一般にユーザーランドインターフェイスiptablesで参照されるnetfilterパケットフィルタリングフレームワークの問題をデバッグするための構造化された方法は何ですか? よくある落とし穴、繰り返し発生する質問、簡単な、またはやや不明瞭なものは何ですか?ファイアウォール管理者が時折見逃したり、知っていることで利益を得たりすることを確認しますか? UFW、FirewallD(別名firewall-cmd)、Shorewallなどのツールを使用する場合でも、これらのツールが提供する抽象化レイヤーなしで内部を見るとメリットがあります。 この質問は、ファイアウォールを構築する方法を目的とするものではありません。そのための製品ドキュメントを確認し、たとえば、iptables Trips&Tricksにレシピを投稿するか、タグ付けされたiptables ufw firewalld firewall-cmdの質問を検索して、既存のよく知られている高得点を探しますQ&A。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.