问题标签 [firewall]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 漏洞利用“向后”进入出站 tcp 连接的风险
我正在构建一个服务器应用程序,它将通过防火墙发起 TCP 连接来维持与其他应用程序的连接,该防火墙仅对应用程序将连接到的相关 IP 端口的出站流量开放。
有人接管了我们连接的机器,从而能够通过我们建立的出站连接向后利用我们的应用程序的风险是什么。
连接上使用的协议不难弄清楚,但它基于周期性的心跳(间隔 30 秒)。如果错过了两个连续的心跳,发起者(我们)将终止连接并重新连接。
我们应用程序的源代码或二进制文件对我们连接的组织不可用。
linux - Linux iptables TRIGGER 目标描述
我正在编写控制 Linux 防火墙的应用程序(使用 iptables)。我需要实现一些端口触发。有似乎适合它的 TRIGGER 目标。但是,我找不到它的好文档(实际上很难找到这个目标的任何文档)。有人可以将我重定向到有关 iptables 的 TRIGGER 目标的任何信息吗?
java - (网络套接字)字节在发送队列中停留 15 分钟;为什么?
我有一个在 Windows(Citrix 机器)上运行的 Java 程序,它向 Linux 上的 Java 应用程序服务器发送请求;这种调度机制都是自定义的。
Windows Java 程序(我们称之为它W
)打开一个监听套接字到操作系统给定的端口,比如 1234 以接收结果。然后它通过“业务请求”调用服务器上的“调度”服务。该服务将请求拆分并发送到其他服务器(我们称之为它们S1 ... Sn
),并将作业数量同步返回给客户端。
在我的测试中,有 13 个作业被分派到多个服务器,并且在 2 秒内,所有服务器都完成了它们的作业并尝试将结果发送回W
's 套接字。
我可以在日志中看到收到了 9 个作业W
(这个数字因测试而异)。所以,我试着寻找剩下的 4 个工作。如果我netstat
在这个 Windows 盒子上做一个,我看到 4 个套接字是打开的:
如果我W
执行java.net.SocketInputStream.socketRead0(Native Method)
.
如果我在每个S
框上执行 a netstat
,我会看到一些字节仍在发送队列中。此字节数在 15 分钟内不会移动。(以下是netstat
s在不同机器上的聚合):
如果我对服务器进行线程转储,我会看到线程也卡在
java.net.SocketInputStream.socketRead0(Native Method)
. 我期待一个写,但也许他们正在等待一个ACK?(这里不确定;它会在 Java 中显示吗?不应该由 TCP 协议直接处理吗?)
现在,非常奇怪的是:15 分钟后(而且总是 15 分钟),收到结果,关闭套接字,一切都照常进行。
这以前总是有效的。S
服务器移动到不同的数据中心,因此不再W
位于S
同一个数据中心。此外,S
是在防火墙后面。所有端口都应该在S
和之间获得授权W
(我被告知)。谜团真的是15分钟的延迟。我认为这可能是针对 DDOS 的一些保护?
我不是网络专家,所以我寻求帮助,但没有人可以帮助我。我花了 30 分钟和一个人用 Wireshark(以前的 Ethereal)捕获数据包,但出于“安全原因”,我无法查看结果。他必须对此进行分析并回复我。我询问了防火墙日志;相同的故事。
我不是这些盒子的 root 或管理员,现在我不知道该怎么办......我不期待你们提供解决方案,但是关于如何进步的一些想法会很棒!
security - Web 服务器的防火墙是否应该阻止通过端口 80 的出站 HTTP 流量?
我理解需要将 Web 服务器放在 DMZ 中并阻止除 80 和 443 之外的所有端口的入站流量。我还可以理解为什么您可能还应该阻止大多数出站流量,以防服务器受到损害。
但是是否有必要阻止通过端口 80 的出站 HTTP 流量?如果是这样,为什么?如今,许多 Web 应用程序依赖于从外部 Web 服务和 API 发送/检索数据,因此阻止端口 80 上的出站流量将阻止此功能。是否存在足够有效的安全问题来证明这一点?
git - git 推/拉超时
我无法从我的公司 vpn git push/pull 到 github:
我认为这是一个防火墙问题,如果我断开与 vpn 的连接,它就可以工作。我能做些什么来解决它吗?或者当我需要推/拉时,我是否卡在与 vpn 断开连接?
firewall - 如何编写代码以与 Skype 类似的方式通过 NAT?
有谁知道,Skype 如何重定向 NAT 和防火墙?
networking - 如何以编程方式打开防火墙设备上的端口?
是否有可靠的编程方法来打开常用防火墙设备的端口?
firewall - ip6tables 有 connlimit 模块吗?
有谁知道是否有可用于 ip6tables 的 connlimit 模块?请告诉我。
谢谢,肯尼斯
php - 如何从防火墙严密的网络使用 PHP 发送电子邮件?
我希望从我的 localhost 机器发送一封电子邮件(使用 PHP 邮件功能),但我不能这样做,因为我没有邮件服务器。此外,我需要能够通过防火墙严密的网络发送电子邮件(我还不知道到什么程度)。
我的想法是利用“QK SMTP Server 3”并让它使用我拥有的外部服务器作为“中继服务器”。这行得通吗?有更简单的选择吗?
如果我的方法没问题。我想知道如何在我的服务器上打开端口 25,以便它可以接收此请求。通过执行此命令,我得到:
感谢您的任何帮助和建议。
解决了
Hotmail(令人惊讶)提供免费的中继服务。我希望这在我测试时对我有用!但是外部邮件服务器是要走的路。
mysql - 我可以使用 GUI 工具 SSH 到 MySQL 吗?
我有一个 ubuntu 服务器,我只锁定了 HTTP、HTTPS 和 SSH(端口 30000)。在这个盒子上,我有一个 MySQL 服务器,99.9% 的时间只在本地使用。时不时我想用 GUI 工具连接到 MySQL 实例,但不接触防火墙。
因此,可以进行设置以便我可以通过 SSH 连接连接到 MySQL 机器吗?我可以做任何类型的端口转发魔术吗?