タグ付けされた質問 「firewall」

環境 Ubuntu Desktopをプライマリマシンとして実行しています。これをDと呼びます。sshを介してサーバーSに接続したいのですが、ファイアウォールによってブロックされています。 Windows仮想マシンとPuTTYを含む非常に面倒なパスを介して、サーバーSにアクセスできます。これにより、このサーバーでの作業が非常に面倒になります：完全に異なる環境、コピー/貼り付けが機能しない、接続中にデスクトップを適切に使用できない（Alt-Tabが仮想マシンによって壊れている）など サーバーSからデスクトップマシンD（必要なものとは逆）にsshできることを確認しました。 デスクトップからサーバーにSSH接続できるように、何らかの方法でサーバーから「ポート転送」などを開始できますか？

17 ssh  firewall  port-forwarding 

これは、NATおよびDNSに関する正規の質問です 現在、ネットワークアドレス変換（NAT）ファイアウォールによってインターネットから分離されたWebサーバーと電子メールサーバーを含むDMZでネットワークをセットアップしようとしています。 次のインターフェイスを使用してNATファイアウォールをインストールしました。 WAN - x.x.x.x (redacted public IP address) DMZ - 192.168.124.5/24 LAN - 192.168.123.5/24 DMZには2つのホストがあります。 Web server - 192.168.124.30 E-mail server - 192.168.124.32 example.comドメインのDNSを構成して、パブリックIPアドレスexample.comとその両方を解決する必要があることを知っていmail.example.comます。 NATファイアウォールで、すべての着信要求をexample.com192.168.124.30のWebサーバーに転送し、すべての着信要求をmail.example.com192.168.124.32の電子メールサーバーに転送するようにします。NATファイアウォールの構成に「ポート転送」機能がありますが、探しているものを達成できないようです。

17 networking  domain-name-system  firewall  nat 

Linuxサーバーを実行しています-時々-重い負荷に直面し、conntrackテーブルがオーバーフローします。iptablesファイアウォールルールセットは非常に単純なので、ステートレスモードに切り替えたいと思います。iptablesはステートフル接続追跡モードとステートレスモードで動作できることを知っています。 私のファイアウォールルールはすべて整っていますが、それらはステートレスであると確信していますが、私の質問は、ファイアウォールが本当にステートレスモードで動作していることを確認するにはどうすればよいですか？

17 linux  firewall  iptables 

VPSでホストされているサイトのセキュリティベンダーに行くことを考えていますが、何かを理解するのに苦労しています。（はい、これはOSIの用語であり、問​​題のサイトは基本的な歯科および医療行為のWebサイトであり、eコマースや個人情報（SSNなど）はありません。 基本計画にはレイヤー7ファイアウォールがあります（これはHTTP、HTTPなどです）が、高度な計画にはレイヤー3,4のカバレッジもあります（そして、それはIPとTCP / UDPです）。 1）私が理解していないのは全体像です-レイヤー7のみのファイアウォールはレイヤー3/4の問題を無視しますか？パケット検査はスキップされますか？ 2）その場合、すでにレイヤー7を設置している場合、レイヤー3/4ファイアウォールはどの程度必要ですか？ 本や資料があれば、これを読んで理解することもできます。購入する前に何をしているのかを理解したい！

17 firewall  website 

私はこれらの簡単なルールを持つファイアウォールを持っています： iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT iptables -A INPUT -p tcp --dport 6000 -j REJECT ここで、次のようにTCPDUMPを使用していると仮定します。 tcpdump port 6000 そして192.168.16.21、ポートに接続しようとしているホストがいます6000。 tcpdumpいくつかのパケットを出力し192.168.16.21ますか？

17 firewall  iptables  tcp  tcpdump 

サーバーに最近ログインした人を見つけるために、次のコマンドを使用しています。 非常に奇妙なIPアドレスからのログインがありました。例： username@pc:/home/user$ last username pts/16 59.224.XX.178.d Sun Aug 2 12:26 - 12:27 (00:00) （Xは数字でした）。 私の質問：接尾辞.dはどういう意味ですか？最後にオプション「-i」を使用しているときにこれらのエントリが消えてしまうのはなぜですか？

16 linux  firewall  ip  login  ip-address 

オフィスでは、ハードウェアファイアウォールを取得する必要があるか、VMWareクラスターで仮想ファイアウォールを設定する必要があるかについて議論しています。 環境は、iSCSI共有ストレージアレイを備えた2つの1 GBスイッチ上の3つのサーバーノード（それぞれ16 GBのRAMを備えた16コア）で構成されています。 リソースをVMWareアプライアンス専用にする場合、仮想ファイアウォールよりもハードウェアファイアウォールを選択するメリットはありますか？ ハードウェアファイアウォールを使用することを選択した場合、ClearOSなどの専用サーバーファイアウォールは、Ciscoファイアウォールと比較してどのようになりますか？

16 networking  firewall  vmware-esxi  cisco-asa 

この機能の正確な名前はわかりません。しかし、Windows Server 2008では、Vista Public / Private / Domainの場所があります。これはラップトップでは意味があり、サーバーではまったく意味がありません。 私の問題は、ネットワークアダプターによっては、現在パブリックネットワーク上にあると判断する場合があることです。これにより、「ドメイン」ネットワークであっても、ファイアウォールが完全にアクティブになります。そのため、最終的な効果として、一部のマシンをリブートします。その後、KVMでネットワークがプライベートであると通知するまで、それらのマシンがネットワークに戻らないということです。 この機能の名前は何ですか？GPをオフにしてすべてのネットワークを「ドメイン」にするために使用できるGP設定はありますか？ 編集：ありがとう、それはNLAです。非ドメインマシンでサービスを無効にしようとしましたが、すべてが公開されています。ドメインマシンでは、ネットワークリストサービスは停止を拒否します。グループポリシーを試します。

16 windows  windows-server-2008  networking  firewall  group-policy 

現在、WebサーバーはDMZにあります。Webサーバーは内部ネットワーク内では何も見ることができませんが、内部ネットワークはWebサーバーを見ることができます。DMZと内部ネットワークの間のファイアウォールの穴をイントラネット内の1つのWebサーバーのみにパンチすることはどれくらい安全ですか？私たちはいくつかのバックオフィスアプリケーション（すべて1つのサーバー上にある）とインターフェイスすることに取り組んでおり、このデータを保持しているIBM iサーバーと直接通信できれば、このプロジェクトを実行するのがはるかに簡単になります（ Webサービス経由）。 私の理解から（そして私はブランドを知りません）、私たちは別のファイアウォールを持つプライマリIPとは異なる外部IPを持つDMZのための1つのファイアウォールを持っています。別のファイアウォールは、Webサーバーとイントラネットの間にあります。 だから次のようなもの： Web Server <==== Firewall ===== Intranet | | | | Firewall Firewall | | | | Internet IP1 Internet IP2

15 security  firewall  dmz 

HTTP（S）とSSH（ポート80、443、22）を使用して基本的なWebサーバーを実行しているほとんどのサイトで機能する基本的なサーバーiptablesスクリプトを作成しようとしています。結局のところ、ほとんどのVPSはこれらの開始ポートルールのみを必要とし、後で必要に応じてメールポートまたはゲームポートを追加できます。 これまでのところ、次のルールセットがあり、より良いスクリプトや追加可能な改善点を誰かが知っているのかどうか疑問に思っていました。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows …

15 linux  security  firewall  iptables  best-practices 

エッジサーバーとは何ですか？それらへのいくつかの参照が表示されますが、定義は表示されません。

15 security  firewall  hardware  gateway 

私が動作している環境は、大規模なWebホスティング操作です（管理下にある数百のサーバー、ほぼすべてのパブリックアドレッシングなど、ADSLリンクの管理について話すものはすべてうまく機能しない可能性があります）。コアルールセット（現在のカウントでiptablesの約12,000エントリ）と、お客様が管理するホストベースのルールセットの両方を快適に管理できるものを探しています。コアルータールールセットは1日に数回変更され、ホストベースのルールセットは月に50回（すべてのサーバーで変更されるため、月に5台のサーバーごとに1回変更される）です。 現在、filtergen（一般的にはボールであり、運用規模ではスーパーボール）を使用しており、過去に他のジョブでshorewallを使用しました（filtergenよりも望ましいでしょうが、そこにあるものよりも優れている）。 交換システムについて考え出した「ムスト」は次のとおりです。 ルールセットをかなり迅速に生成する必要があります（ルールセットで実行されるfiltergenは15〜20分かかります。これは非常識です）。これは次の点に関連しています。 iptables-restoreスタイルファイルを生成し、1回のヒットでロードする必要があります。ルールの挿入ごとにiptablesを呼び出す必要はありません ルールセットのリロード中に長時間ファイアウォールを停止しないでください（これも上記の結果です） IPv6をサポートする必要があります（IPv6互換ではない新しいものは展開していません） DFSGフリーでなければなりません プレーンテキストの構成ファイルを使用する必要があります（リビジョン管理を介してすべてを実行し、標準のUnixテキスト操作ツールを使用することがSOPです） RedHatとDebianの両方をサポートする必要があります（パッケージ化が推奨されますが、少なくともどちらかのディストリビューションの標準に対してあからさまに敵対してはなりません） システムの「ネイティブ言語」の一部ではない機能をサポートするために、任意のiptablesコマンドを実行する機能をサポートする必要があります これらの基準をすべて満たさないものは考慮されません。以下は私たちの「持っているのがいい」です。 構成ファイル「フラグメント」をサポートする必要があります（つまり、ディレクトリにファイルの山をドロップし、ファイアウォールに「このディレクトリのすべてをルールセットに含める」と言うことができます。構成管理を広範囲に使用し、この機能を使用したいサービス固有のルールを自動的に提供します） 生のテーブルをサポートする必要があります 着信パケットと拒否ルールの両方で特定のICMPを指定できるようにする必要があります 複数のIPアドレスに解決するホスト名を適切にサポートする必要があります（filtergenでこれに数回捕らえられました;かなり王室の痛みです） ツールがサポートするオプション/奇妙なiptables機能が（ネイティブで、または既存のプラグインまたは簡単に書き込み可能なプラグインを介して）より良い。私たちは時々iptablesの奇妙な機能を使用しますが、「機能する」ものが多いほど、すべての人にとって優れています。

15 linux  firewall  iptables 

どういうわけか、私の政府がTCP接続で受信したACKパケットを破壊しているのではないかと疑っています。 80以外のポートで外部ホストへのTCP接続を確立しようとすると、TCPハンドシェイクが成功しません。pcapファイル（gmail.pcap：http : //www.slingfile.com/file/aWXGLLFPwb）をキャプチャし、TCP SYNの送信後にコンピューターがACKを受信するが、SYN ACKで応答する代わりに送信することがわかりましたRST。 外部ホストからのACKパケットをチェックしましたが、完全に正当なようです。シーケンス番号と私が知っているすべてのフラグは正しいです。私のコンピューター（Linuxマシン）がRSTパケットを送信する理由を教えてください。

14 networking  firewall  tcp  rst 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 8年前に閉鎖されました。 現在、VisualSVN Serverを使用していますが、ホームネットワークでのみアクセスできます。最終的には他の人がそれにアクセスしますが、今のところは私だけで、私はコーヒーショップ（またはどこでも）に行き、家から離れて仕事ができるようになりたいです。 現在、サーバーにアクセスしていますhttp://user-pc:xx/svn/Projects/。ポートXXをサーバーに転送するようにルーターをセットアップする場合、サーバーを保護するためにどのような手順を実行する必要がありますか？ 私はこれをWindowsで行っていますが、通常のコマンドプロンプトを広範囲に使用している間は、SVNをあまり使用しておらず、現在までTortoiseSVN以外を使用していないことに注意してください。 編集：攻撃者が行うことができる唯一の有害なことは、私が知っていることです：私のポート番号、ユーザー名、およびパスワードを推測してリポジトリに入ることです。しかし、ことわざにあるように、私は自分が知らないことを知りません。 そのため、ポートが開いた後に行われる可能性のあるあらゆる種類の攻撃に対して考慮しなければならないことと同じくらい、必ずしもステップバイステップの指示を求めているわけではありません（確かにそれも欲しいです）。

14 windows  security  firewall  svn  visualsvn-server 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 7年前に閉鎖されました。 2枚のNICを備えた低電力サーバー/ PCを知っている人はいますか？（OpenBSD）ファイアウォールに使用できますか？ サンドラ

14 security  firewall  hardware  bsd