タグ付けされた質問 「firewall」

「要塞ホスト」と「ジャンプホスト」の違い/類似点は何ですか？通常、それらは同じ意味で使用されていますか？

13 firewall  proxy  bastion 

ホワイトリストに登録されているいくつかのサイトを除き、私のネットワークは完全にロックされています。これはすべてiptablesを介して行われ、次のようになります。 # Allow traffic to google.com iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 11.12.13.0/24 -j ACCEPT iptables -A zone_lan_forward -p tcp -d 101.102.103.0/24 -j …

13 domain-name-system  iptables  firewall  ip-address  hostname 

ジュニパーネットワークスとシスコのファイアウォールは、家よりも高価です。 だから私は疑問に思う：例えばOpenBSD / FreeBSD / Linuxを実行している4x 10Gbitネットワークカードを搭載した2Uサーバーと比較して$ 10.000 +のファイアウォールから何が得られるのか？ ハードウェアファイアウォールには、おそらくWebインターフェイスがあります。 しかし、10.000ドルまたは100.000ドルのファイアウォールで他に何が得られますか？

13 linux  firewall  cisco  juniper 

iptablesをセットアップするとき、ポート22を使用するポートsshに名前を付けることができます。すべての名前付きポートのリストはありますか？具体的には、ssh、http、https、mysqlが必要です。

13 linux  firewall  iptables 

ファイアウォール/ルーターがあります（NATを実行していません）。 私はグーグルで調べて、矛盾する答えを見ました。UDP 500が一般的なもののようです。しかし、他の人は混乱しています。1701、4500。 また、gre 50、47、または50＆51も許可する必要があると言う人もいます。 OK、IPSec / L2TPがNATなしのルーテッド環境で動作するための正しいポートはどれですか？つまり、組み込みのWindowsクライアントを使用して、このルーター/ファイアウォールの背後にあるVPNに接続したいのです。 おそらくここでの良い答えは、さまざまな状況でどのポートを開くかを指定することです。これは多くの人に役立つと思います。

13 linux  iptables  firewall  ipsec  l2tp 

キーサーバーがポート11371を使用していることを理解していますが、多くの場合、このポートへの接続は許可されておらず、追加できません。 ファイアウォールの設定を変更できない場合が多くあります。 失敗するコマンドの例 gpg --keyserver keyserver.ubuntu.com --recv-keys 0A5174AF この問題をどのように解決しますか？

13 firewall  gpg 

firewall-cmdを使用して公開用にポートを開いていた場合、このSITEで答えを見つけた特定のIPにこのポートを制限したかったのです。 以下を使用して開きました。 $ firewall-cmd --permanent --zone=public --add-port=10050/tcp $ firewall-cmd --reload ここで、見つけた情報の情報を使用して、このポートへのアクセスを特定のIPアドレスに制限したいと考えました。最初にこのポートをパブリックアクセスから削除する必要がありますか？ または、次のように新しいルールを追加するだけで問題を処理できますか？ $ firewall-cmd --new-zone=special $ firewall-cmd --permanent --zone=special --add-rich-rule=' rule family="ipv4" source address=”123.1.1.1" port protocol="tcp" port="10050" accept' 私は次を試しました： $ firewall-cmd --zone=public --remove-port=10050/tcp $ firewall-cmd --reload しかし、次を実行すると： $ firewall-cmd --list-ports 10050/tcp まだ表示されます。 私はサーバー側の設定にあまり慣れていないことを理解してください。 Soultion：--runtime-to-permanentを忘れないでください $ firewall-cmd --zone=public --remove-port=10050/tcp $ firewall-cmd …

12 firewall  port  centos7 

私のCentOSサーバーは、次のような巨大な（1日数百万）リクエストを経験しています。 Srv PID Acc M CPU SS Req Conn Child Slot Client Protocol VHost Request 62-1 - 0/0/335 . 0.00 1947 204049 0.0 0.00 0.85 104.248.57.218 http/1.1 www.myrealdomain.co.uk:80 GET http://218.22.14.198/index HTTP/1.1 リクエストは、サーバーが他のページコンテンツの提供または取得に時間を費やしているように見えます。IPをブロックしようとしましたが、これはソースが新しいIP（クライアントと要求IPの両方）をスクランブルするだけで成功しませんでした。 Webアプリのファイアウォールなど、Cloudflareの安全性も高くなっていますが、これらのリクエストは依然として多く寄せられています。 誰もがこれらがなぜ要求されているのか、さらに重要なことには、それを完全に防ぐ方法を説明できますか？ サーバーは、WordPressのすべての基本設定で約50のサイトを実行しており、専用サーバーです。

12 firewall  bad-request 

のように入力するとsudo apt-get install firefox、要求されるまですべてが機能します。 After this operation, 77 MB of additional disk space will be used. Do you want to continue [Y/n]? Y 次に、エラーメッセージが表示されます。 Failed to fetch: <URL> 私のiptablesルールは次のとおりです。 -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT …

12 security  iptables  firewall 

ネットワーク管理者は、DMZでホストされているWebサーバーがファイアウォールの背後にあるDBサーバーにアクセスすることは安全ではないと断言しています。問題を回避するために、WebサービスまたはWCFを介してデータにアクセスします。これは、WebサーバーがDBに直接アクセスできれば解消できる不必要なパフォーマンス負荷だと思います。 私が与えられた理由は、ハッカーがWebサーバーにログインしてDBにアクセスできたためです。IIS専用のポートを開くことは可能ですか、それとも特定にすることはできませんか？IISのみにロックダウンできる場合、ハッカーはこれを簡単に構成できますか？ インターネットでさまざまな投稿を読みましたが、明確な答えを見つけることができないようです。 アル

12 sql-server  database  iis  firewall  dmz 

私のdebian 5.0サーバーでは、以下のようなiptablesルールを設定しました： ACCEPT tcp -- eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80 DROP tcp -- 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80 aaa.bbb.ccc.dddは私のサーバーのIPアドレスであり、eee.fff.ggg.hhhはポートへのアクセスが許可されている唯一のサーバーです。私のサーバーにはinet6 addrがセットアップされていることに気付きました。また、netstatはapache2がtcp6アドレスをリッスンしていることを示しています。 tcp6 0 0 :::80 :::* LISTEN ipv6アドレスには個別のiptablesルールが必要ですか？もしそうなら、どうすればできますか？ipv6については何も知りません。ありがとう！そうしなければなりませんか？ip6tablesを使用しない場合、誰かがiptableルールをバイパスし、ipv6アドレスを介して私の：80ポートに接続しますか？

12 linux  firewall  iptables  ipv6 

お客様のCheckPointファイアウォールのファイアウォールルール（200以上のルール）を確認する必要があります。 過去にFWDocを使用してルールを抽出し、他の形式に変換しましたが、除外のエラーがいくつかありました。次に、それらを手動で分析して、コメント付きのルール（通常はOOo Calc）の改良版を作成します。 視覚化の手法はいくつかありますが、それらはすべてトラフィックの分析に使用されるため、静的分析が必要です。 それで、ファイアウォールルールを分析するためにどのプロセスに従うのかと思いました。どのツールを使用していますか（チェックポイントだけでなく）。

12 security  firewall  checkpoint 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 私たちの会社には、インターネットにアクセスできるワークステーションが約100あり、日々の状況は、プライベートアクセスやソーシャルサイトで時間を無駄にするためにインターネットアクセスを使用するという観点からますます悪化しています。 Facebook、YouTube、その他の同様のサイトをブロックするのは好きではありませんが、同僚は日々タスクを完了せず、Internet ExplorerまたはMozilla Firefoxを実行しているモニターを見るたびに、チャットしますそしてそのようなもの。一方、インターネットアクセス速度が非常に遅い場合は、YouTubeをブロックしたいと思います。 私の質問は次のとおりです。 他の会社はソーシャルサイトをブロックしていますか？ ハードウェアファイアウォールや超高価なルーターなど、専用のデバイスが必要ですか？または、2つのLANカードとルーターのように動作するように構成されたNATを備えた既存のFreeBSD 6.1自作ルーターでそれを行うことはできますか？ 私はipfwとrouterfirewall を使ってそれをやろうとしましたが、成功しませんでした。私のコードは次のようになります： ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook. ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek. ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek. ipfw add 25 …

12 firewall  freebsd  webfilter 

私のファイアウォールには、次のようなiptablesルールがいくつかあります。 iptables -A zone_lan_forward -p tcp -d 1.2.3.0/24 -j ACCEPT iptables -A zone_lan_forward -p udp -d 1.2.3.0/24 -j ACCEPT すべてのアドレスに対して、tcp用とudp用の2つのルールを設定するためのショートカットはありますか？私はこのようなことをすることができます： iptables -A zone_lan_forward -p tcp,udp -d 1.2.3.0/24 -j ACCEPT

12 iptables  firewall  tcp  udp 

AWS EC2インスタンスがあり、単一のIPアドレス（悪いボット）に対してポート80でのアクセスを拒否します。 AWSコンソールは「許可」ルールのみをサポートしているようです。 単一のIPアドレスをどのように拒否しますか？

12 amazon-ec2  amazon-web-services  firewall  web-application-firewall