问题标签 [firewall]

我刚刚在全新的 Fedora Core 8 安装上安装了 VMWare Server 2.0。VMWare 的 Web 访问控制台的端口是 8222 和 8333（与默认值一样）。

当我尝试对 myserver:8222 进行远程 http 访问时，它失败了。但是当我跑步时

访问成为可能（虽然不是很令人满意）。因此，我更新了conf文件如下

然而，即使重新加载了 iptables 设置，它仍然无法正常工作。有谁知道我做错了什么？

您需要为 SQL Server 2005 事务复制打开哪些端口或通信模式？主从在地理上是分开的。

我在防火墙后面有一台服务器。它运行一个 Web 应用程序（Apache Tomcat 下的 Java servlet）并且只响应端口 443 (HTTPS)。提供的页面中没有脚本代码 - 表单使用 HTTP POST 接收表单，处理数据（使用适当的输入过滤），然后输出 HTTP 结果页面。

我目前正在使用设备防火墙，但它是“硬件-flakey”。我一直在考虑升级到更“工业实力”的解决方案，但供应商非常坚持要我购买他们的“深度数据包检测”软件的订阅。他声称即使是网络服务器也需要这种保护。

我不相信，但没有安全背景可以确定。防火墙将位于“世界”和我的服务器之间，并使用“端口转发”仅允许端口 443 和 22（用于维护）到达服务器。

那么 - 我真的需要这种深度数据包检查吗？

由于您的建议，此问题已得到解决。详情见底部。非常感谢您的帮助！

我们的 ASP.NET 网站可从多个特定且高度安全的国际位置访问。它一直运行良好，但我们添加了另一个客户端位置，该位置表现出非常奇怪的行为。

特别是，当用户输入搜索条件并单击搜索按钮时，结果列表返回空。它甚至不显示“返回的 0 个结果”文本，因此就像 Repeater 控件根本没有绑定一样。类似的行为出现在网站的其他部分（但不是全部）中。用户可以正常登录网站并显示他们的个人资料信息。

我已经使用与他们完全相同的凭据在本地登录了该站点，并且该站点从这里运行良好。我们已经仔细完成了这些步骤，所以我相信这不是用户问题。

我在第一次加载时将搜索结果绑定在搜索结果页面的Page_Load中（条件在查询字符串中）。IE

通过注释掉 BindResults() 方法调用，我可以在本地复制完全相同的行为。

有人知道 IsPostBack 的值是如何计算的吗？他们高度安全的防火墙设置是否有可能导致 IsPostBack 始终返回 true，即使它是来自另一个页面的重定向？这可能是一个转移注意力的问题，因为问题可能出在其他地方。它确实复制了结​​果。

我无法访问该站点，因此故障排除仅限于向他们提供说明并要求他们告诉我结果。

谢谢你的时间！

附加信息：客户端位于运行默认规则的 Microsoft ISA 2006 防火墙后面。该站点已添加到 Internet Explorer 受信任站点列表中，并在 FireFox 和 Google Chrome 中进行了尝试，所有结果都相同。

解决方案：对我来说，获胜者是使用 Fiddler 的建议。多么出色的工具，任何 Web 开发人员都不应该没有。使用它，我能够从请求中删除各种标头，直到我重现问题为止。实际上有两个因素导致了这个错误，就像这种令人困惑的问题经常发生的情况一样。

因素一——Web 应用程序尽可能使用所有主流浏览器都支持的 GZIP 压缩。防火墙正在剥离指定 GZIP 解压缩支持的标头（Accept-Encoding: gzip, deflate）。

因素二——我的代码中的一个错误意味着在发送未压缩的内容时绕过了某些处理。这个问题之前没有注意到，因为该应用程序被有限的受众使用，所有这些应用程序都支持 GZIP 解压缩。

我在 Internet 托管服务提供商中部署了一个 Web 应用程序。此 Web 应用程序使用部署在我公司应用程序服务器的 IIS 服务器上的 WCF 服务，为了对公司的数据库进行数据访问，出于安全原因，网络人员允许我通过防火墙公开此 WCF 服务。图表看起来像这样。

[托管页面] ---> (Internet) ---> |防火墙<Public IP>:<Port-X >| ---> [带有 WCF 服务的 IIS <Comp. Network Ip>:<Port-Y>]

我还想使用 wsHttpBinding 来利用其安全功能，并加密敏感信息。

尝试后我收到以下错误：

异常详细信息：System.ServiceModel.EndpointNotFoundException：由于 EndpointDispatcher 的 AddressFilter 不匹配，接收方无法处理带有“http://:/service/WCFService.svc”的消息。检查发送方和接收方的 EndpointAddresses 是否一致。

做了一些研究，我发现 wsHttpBinding 使用 WS-Addressing 标准，并且阅读了这个标准，我了解到 SOAP 标头被增强以包含像“MessageID”、“ReplyTo”、“Action”和“To”这样的标签。

所以我猜测，因为客户端应用程序端点指定了防火墙 IP 地址和端口，并且服务使用与防火墙 IP 不同的内部网络地址进行回复，所以 WS-Addressing 会触发上述消息。我认为这是一个非常好的安全措施，但在我的场景中并不是很有用。

引用 WS-Addressing 标准提交 ( http://www.w3.org/Submission/ws-addressing/ )

“由于目前广泛使用的网络技术范围（例如，NAT、DHCP、防火墙），许多部署无法为给定端点分配有意义的全局 URI。为了允许这些‘匿名’端点启动消息交换模式和接收回复时，WS-Addressing 定义了以下众所周知的 URI，供无法具有稳定、可解析 URI 的端点使用 。http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous “

如何配置我的 wsHttpBinding 端点来寻址我的防火墙的 IP 并忽略或绕过 SOAP 消息头中的“To”WS-Addressing 标记中指定的地址？或者我是否必须更改我的服务端点配置中的某些内容？

帮助和指导将不胜感激。

马尔科。

PS：虽然我找到了任何解决方案，但我使用 basicHttpBinding 当然绝对没有问题。

我试图通过添加“图像服务器”（用于处理图像请求的专用服务器）并将所有对 .gif、.jpg、.png 等的请求重定向到它来减少我的网络服务器上的负载。

我的问题是，处理重定向的最佳方法是什么？

• 在防火墙级别？（我可以使用 iptables 做到这一点吗？）
• 在负载均衡器级别？（ldirectord 能处理这个吗？）
• 在 apache 级别 - 使用重写规则？

感谢您提供有关执行此操作的最佳方法的任何建议。

- 更新 -

我要补充的一件事是，这些域是为第 3 方托管的，因此我不能指望所有开发人员都修改他们的代码并将他们的图像指向另一台服务器。

您需要在防火墙中打开哪些端口才能将远程 Windows 计算机连接到防火墙后面的 Microsoft Active Directory 服务器域？

我的 Windows XP 计算机上运行着一个网络服务器。我已将防火墙设置为允许传入的 HTTP 连接：防火墙设置窗口->“高级”选项卡->选择我的网络连接->设置->服务->选中“Webserver(HTTP)”复选框。

通常，这是有效的。但是，有时在重新启动服务器计算机时，防火墙会再次开始阻止 HTTP 连接，尽管在防火墙设置窗口中仍然检查了“Webserver(HTTP)”异常。

那么，让事情再次正常运行的唯一方法是取消选中上述选项，保存设置，重新打开防火墙对话框并检查该选项并再次保存。

我的问题是，这是我机器的一些特性还是 Windows XP 防火墙错误？

我目前在一个客户端工作，他们已经锁定了网络，除了端口 80 和 443。我需要使用 SSH 连接到我们的服务器，但同一台服务器也运行我们的网站。我们不想投资新服务器或放置第二张网卡。

我一直在互联网上搜索以设置我们的 linux 服务器（运行 CentOS 5），以便在端口 443 上侦听一个守护进程，该守护进程根据客户端协议将请求转发到正确的内部端口（SSH 22 或 HTTPS 移动到一个不同的端口_。

互联网上有很多人在寻找这种解决方案，但没有明确的说明如何做到这一点。

任何人都有想法/明确的说明如何做到这一点？

问候，尼德基尔

我计划部署一个包含敏感数据的内部应用程序。我建议我们把它放在一台不暴露在一般互联网上的机器上，只暴露在我们的内部网络上。IT 部门拒绝了这一建议，称为一个应用程序留出一整台机器是不值得的。（该应用程序有自己的域以防万一，但我被告知他们不能阻止基于 URL 的请求。）

在应用程序中，我对其进行了编程，使其仅在请求来自内部 IP 地址时才尊重请求，否则它只会显示一个页面，上面写着“你不能看这个”。我们的内部地址都有不同的模式，所以我正在根据正则表达式检查请求 IP。

但我对这种策略感到紧张。这对我来说有点笨拙。这是相当安全的吗？