我有一个环境,其中有一个防火墙,防火墙后面有一个安全段和一个 DMZ 段。安全段中有一堆服务器 - DB 服务器、QA 服务器等以及域控制器。DMZ 中有 1 个向公众开放的 Web 服务器。 网络管理员已完全锁定防火墙。除非另有指示,否则不会有任何入站和出站流量。我现在必须制作此列表。我知道有些端口必须为我的应用程序打开,例如 DMZ -> 安全段的 1433 等。但我不知道操作系统可能需要的东西(Windows 2008 r2)以及它默认运行的服务,我们认为这些是理所当然的,因为我通常看到出站始终打开。我已经可以想到一个列表,例如 DNS、NTP...
我有一个具有公共子网的 EC2,并且流量通过互联网网关流动。 现在,我有一个要求,比如我必须阻止 EC2 中的所有传出流量。 我曾尝试限制网络 ACL 的流量。 我已经允许 ssh 端口为 22,规则号为 100。 然后,我使用拒绝选项和规则编号 200 阻止了所有流量。 我已经对附加到 VPC 的网络 ACL 的出站规则完成了上述更改。 但在 EC2 中应用此方法后,我也无法执行 ssh。无法登录。 我该如何实现这一点?我想阻止所有传出流量,但应该发生 ssh。 ...
我在 /etc/iproute2/rt_tables 中为 eth0 接口添加了一个特定路由表,表名为 eth0-rt。但是,出站流量无法从机箱中运行。将默认网关条目添加到主路由表后,流量似乎运行正常,而当网关从主表中删除时,流量停止运行。除了在自定义的出站流量路由表中添加默认网关条目外,是否必须在主路由表中添加默认网关条目? 详细说明 我正在使用 busy box v31.1。其中有两个接口,即 eth0 和 eth1。在 /etc/iproute2/rt_tables 中添加这些条目后,我为每个接口实现了不同的路由表,即 eth0-rt 和 eth1-r...
我们有一堆后端服务器,它们以 EC2 实例的形式存在于 AWS VPC 中的私有子网中,需要与第三方 API 通信。此 API 根据源 IP 地址限制了我们可以发送的请求,并且在扩展设置时,我们已开始达到用于所有出站流量的 NAT 网关的 IP 限制。 因此,我想为出站流量设置一个代理,并附加多个 EIP。为了进行测试,我目前使用一个 Amazon Linux 2 实例,该实例有 2 个 ENI,每个 ENI 附加 2 个 EIP。后端服务器打开到出站代理的 SSH 隧道并将第三方 API 映射到本地端口,服务器主机文件中的条目将发往该主机名的所有流量重定向...
我们有一个项目,为一家教育机构设置大约 5,000 多个电子邮件 ID。电子邮件主要用于接收邮件,该机构希望制定一些规则,即任何电子邮件 ID 在一小时内发送的电子邮件不得超过 10 封,一天内发送的电子邮件不得超过 50 封。 我查看了许多开源解决方案,但找不到针对每个电子邮件 ID 设置邮件限制的具体解决方案。只有少数解决方案是专门针对出站垃圾邮件的。 我们更喜欢完全开源且免费的解决方案。 如果没有此类可用的东西,有人可以建议正确的步骤来在任何当前可用的邮件发送/垃圾邮件过滤框架上创建一个吗? ...
我的 GCP 服务器已经正常运行 500 多天,但是重启后,我的服务器无法连接到另一个 smtp 服务器来发送电子邮件。 [root@instance-02 ]# !1010 tail -1000 /var/log/exim/mainlog|grep smart 2020-11-10 10:32:09 1kcJQ1-0003zu-Oo == [email protected] R=smart_route T=remote_smtp defer (110): Connection timed out 2020-11-10 10:33:09 1kcJR...
我有一台运行 Ubuntu 16.04 的服务器,其中有一个应用程序,只需要传出连接来进行软件包更新和 NTP 时间同步。它在单独的网络接口上有一个动态 IPv6 地址,用于此目的。所有其他连接都通过另一个接口上的 LAN 进行,该接口没有通向 WAN 的网关。 我想通过禁止除软件包更新和 NTP 时间同步之外的任何传出连接来保护这台机器的安全。 但是,当我尝试以下规则时,没有任何内容被阻止: ip6tables -A OUTPUT -o lo -p all -j ACCEPT ip6tables -A OUTPUT -p icmpv6 -j ACCE...
我的软件必须通过 HTTP 请求与多个第三方服务进行交互,这些服务在其端强制执行速率限制器策略。如果我超出速率限制,运行我的软件的服务器可能会被 IP 禁止。 有没有办法实现出站速率限制器外部如何使用常见网络工具(如 iptables 等)来限制我的软件堆栈?理想情况下,此速率限制器应具有缓冲区,这样,如果我超出了给定 IP 的出站速率限制,则连接只会延迟,而不会断开。 这将使我摆脱将这种复杂性添加到仅应处理我的业务逻辑的代码中的负担。另外,我对此真的很好奇!:) ...
我正在研究一种控制经过身份验证的用户每天可以发送多少封电子邮件的方法:例如,我想对每个用户每天最多发送 1000 封电子邮件进行全局限制。或者设置每个使用的规则。 这是因为前几天我们公司的一个用户的账户被猜到了,这些家伙在我们注意到之前(那天是星期天)用她的账户在一天内发送了 90k+ 封电子邮件。我们很快就更改了她的凭证(她的密码很弱,所以我现在正在学习如何强制所有账户使用强密码,而且快要成功了)。 但无论如何,任何用户的用户/密码都可能被盗,黑客可以使用 SMTP 身份验证通过我们的 MTA 发送大量不需要的电子邮件。 我希望保持 SMTP 开放...
设备信息: SMC 网络 固件 3.1.6.56 我远程登录到服务器并配置“Comcast Business Gateway”。目前,在防火墙 >> 端口配置 >> 端口触发页面中,当前配置为“禁用所有端口触发规则”,并且未配置任何规则。 我的问题是,如果我启用它,那么它是否只会为该页面上的内容打开端口?例如,如果我仅启用它而不实际添加端口触发规则,那么它会将我从网络中启动或导致任何网络问题吗? 我正在尝试排除设备无法与云服务通信的故障。所有入站“端口转发”规则都已配置,因此我们想利用“端口触发”对出站流量进行一些测试。 ...
我没有在10.0.0.0/24DHCP 正在工作的子网中获得 IP,并且应该提供 IP,而是只获得了子网中的 IP 169.254.0.0/16(链接本地地址) 可能是由我用来测试此问题的笔记本电脑上运行的 Windows 给出的,这让我认为这可能是网络防火墙阻止 DHCP 发现服务的问题。 如果这是由防火墙引起的,我应该打开哪些端口以使 DHCP Discovery 正常工作? ...
我想限制 EC2 实例的出站安全组。该实例只需要访问 S3 存储桶。我刚刚了解到 S3 使用端口 HTTPS (443)。我可以制定该规则以允许任何连接到任何 IP(只要它是 HTTPS),但是否可以只允许 EC2 实例访问 S3?是否有任何 IP 连接到 S3 存储桶,或者我可以设置一个吗? ...
我有一台正在运行 pfSense 的机器。它配置了三张以太网卡。 LAN 192.168.2.1/21 WAN1 200.41.X.2/24 WAN2 200.41.X.3/24 ISP 网关 200.41.X.1 这是具有 5 个不同 IP 地址的连接。 WAN1 和 WAN2 直接连接到我的 ISP 路由器。 我需要一种方法来配置一些通过 WAN1 导航的客户端和一些通过 WAN2 导航的客户端。我是 pfsense 的新手,所以,请您给我发送一些示例来做到这一点。如果有必要,我可以添加两个 squid。 多谢。 ...
我有一台 CentOS 6.5 服务器,运行 Postfix 2.6x(默认发行版),绑定了五个公共 IPv4 IP。每个 IP 都单独设置了 DNS 和 rDNS。每个 IP 在不同的域中使用不同的主机名。我有五个 Postfix 实例,每个 IP 绑定一个,如下例所示: 192.168.34.104 red.example.com /etc/postfix 192.168.36.48 green.example.net /etc/postfix-green 192.168.36.49 pink.example.org /etc/postfix-pin...
我正在尝试比较两个服务器变量作为 URL 重写条件的一部分。但首先,先了解一些背景信息... 在 IIS 中,如果您请求的http://www.example.com/foo是foo目录,IIS 会将 302“对象已移动”重定向发送http://www.example.com/foo/至“礼貌重定向”(来源)。 如果您使用 IIS+ARR 作为具有 SSL 卸载的反向代理,则后端 IIS 节点接收的请求是通过 http 而不是 https。 结合这两种行为,IIS 的礼貌重定向会丢弃 SSL。礼貌重定向使用与 IIS 收到的请求相同的方案(来源),在这...