新华三H3C防火墙日志超过80%问题研究
H3C防火墙出现如下提示The usage of log-file flash:/logfile/filter.log reaches 80%. The usage of log-file flash:/logfile/audit.log reaches 80%. The usage of log-file flash:/logfile/ffilter.log reaches 80%. The u
DMZ区交换机无法直接在内网访问
因防火墙无法把管理vlan加入两个安全域,所以导致vlan无法贯通。只能SSH登录防火墙后,再进行跳转访问。或许可以通过带外管理完成统一监控。或者走3层互联,通过ip进行访问。
多出口防火墙同时有nat与策略路由导致的外网无法访问
防火墙连接两个出口,一个为电信路由,一个为教育网路由。防火墙内FTP服务器内网地址经过教育网路由nat后,对外提供服务。当外部用户数据包到达教育网路由时,目的地址nat成内网地址,到达服务器进行处理。数据包返回时,目的地址为用户外网地址,源地址为FTP本机内网地址。由于设置了策略路由,源地址为FTP本机地址的数据包将走向电信出口,无法流向教育网出口,导致从教育网进入访问FTP的用户无法得到回程数据
windows防火墙配置(以windows server2008为例)
1.背景:前置机时常出现病毒攻击,严重影响业务的正常进行。现采取防火墙限制访问的方式配合杀毒软件的方式进行处理,限制所有的外部访问,仅开启部分业务访问。2.实现本次防火墙配置,仅仅开启了咱们agent业务需求的四个端口,包括spi、zabbix监控以及openvpn服务端的连接和远程桌面、teamviewer连接的端口,在满足业务需求的前提下尽可能满足安全性,保障业务的正常进行。在提供的策略中默认
使用windows自带防火墙限制DNS对外服务的范围(二)
昨天设置好防火墙之后,经测试确实是只可以内部解析了,但是我们所在的edu域名解析出现了点问题。因为设置了入站规则,导致其他地区的dns无法获取到解析信息。那怎么办呢。由于我们是在教育网edu.cn,而教育网又属于全球的国家域名cn。所以自然想到添加cn的域名服务器可以访问。经查询,找到如下官方网址,查到cn服务器的ip地址,添加入允许的ip行列。同时为了以防万一,还是把全球的13台根域名ip也加入
使用windows自带防火墙限制DNS对外服务的范围
前几天部署DNS,还是没有解决禁止外部IP使用内部服务器的问题,今天终于设置好,要点记录如下。1、经过测试,好像win自带的防火墙只能有两种模式①全部阻断,允许部分②全部允许,阻断部分不能写两条规则,分别允许和阻断,因为有一个默认的允许或阻断行为。要特别注意一下win的自带默认规则。图中出站规则默认为“允许”,最终设置也是为允许。如果禁止,则DNS服务器无法访问互联网,需要去特别允许。2、因对外提
H3C防火墙加二层交换机配置要点
最近由于服务器区改造,引入了一台硬件防火墙和一台二层交换机。网关启在防火墙,与下联的二层交换机接口均配置好trunk口,并允许了相关vlan通讯,但是发现在二层交换机上还是无法ping通网关。经过排查,需要开启防火墙安全域DMZtoLocal与LocaltoDMZ,并加入相关的vlan与vlan虚接口,只加入vlan是不行的。配置如下security-zone name DMZ import in
解决基于openwrt的路由内网地址无法解析的问题2
此文章是在这一篇基础上的,可以先看看。《解决基于openwrt的路由内网地址无法解析的问题》https://blog.moper.net/857.html由于局域网进行了DNS管控,必须使用指定的DNS,数据包才能够进行传输。我们在上一篇关闭重绑定保护后,调整DHCP获取内网的指定DNS,已经可以正常访问。最近用k3c刷的openwrt固件,发现有时可以上,有时又不能够进行访问。查看了openwr
iptables防火墙开启关闭指定端口
一般情况下iptables已经包含在Linux发行版中 运行iptables --version来查看系统是否安装iptables启动iptables service iptables start iptables --list //*查看iptables规则集*// 下面是没有定义规划时iptables的样子: Chain INPUT (policy ACCEPT) target pro