z**r
发帖数: 17771 | 1 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
盾是其中一个,跟后来的GWF八竿子打不着。
GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
不能过滤UTF-8字体,现在也加上了。
不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
延 |
|
z**r
发帖数: 17771 | 2 金盾根GWF是两码事儿,互联网在国内刚刚兴起的那几年,政府上马了一系列金工程,金
盾是其中一个,跟后来的GWF八竿子打不着。
GWF的最大可能目前是一个大规模分布式的IPS系统,但是具体的俺也不知道。俺问了很多
国内做电信的朋友,包括电信的人,都说从来进不去国安德专用机房。刚开始的时候,还
不能过滤UTF-8字体,现在也加上了。
不是layer 7的firewall,firewall都是real time,要么过得去,要么过不去,不会有迟
延 |
|
o**v
发帖数: 1662 | 3 来自主题: EmergingNetworking版 - 急问 我是要断两个机器之间的直连的连接,没有fw没有nat在中间
cutter不
DESCRIPTION
Cutter is an open source program that allows Linux firewall administrators
to abort TCP/IP connections routed over the firewall or router on which it
is run.
hunt不行,因为连接其实已经断掉了,hunt不会监测到seq #
Connection Reset
With a single properly constructed packet you can reset the connection (RST
flag in TCP header). Of course, you have to know the sequence number
but it is not a problem for hunt which is watching all the time. You can
reset server, |
|
|
w**l
发帖数: 49 | 5 金盾工程技术分析
作者 杰夫 | 2008-05-29 16:01 | 类型 专题分析 | 1条留言 »
很多人都有过这样的体验,在中国访问一些国际网站,感觉速度比较慢。这其中
有多种原因,中国国内网络的带宽不够,到国际网站的服务器需要经过多层路由器转接
,到欧洲的网站一般需要在美国中转,等等。还有一个重要原因不一定每个人都知道,
那就是所有从中国到国外的数据包都要经过一个巨大的防火墙(Firewall)过滤。这个
防火墙是世界上功能最强大的网络控制机构之一,国际上的研究人员称之为“Great
Firewall of China”,简称GFC,可译为“中国防火长城”(长城英文是“Great Wall
of China”)。国内的正式名称是“金盾工程”。
“金盾工程”(Golden Shield Project)的核心项目是一个综合的网络封锁和
监视系统,涉及技术(电信与网络服务提供商ISP)、行政、公安、国安、宣传等很多
部门的系统工程,总体工程规划五年内完成,分两期建设。一期工程在2003年建成并全
面启动。据中央电视台报道,至2002年为止,金盾 |
|
l*********0
发帖数: 197 | 6 来自主题: EmergingNetworking版 - 求面经!! 呵呵呵俺没有IE, 估计年薪也到不了12w。 你的问题看了看,试着答答。请大家多多
磋商,共同进步。
THE Q1,2 IS ABOUT FIREWALL。
Q1:1.FIREWALL 上两个WAN口,(负载均衡,冗余)+DMZ
2。最少两个public ip EXCHANG 和 网络访问的。
3, IP 划分,内网,DMZ区,internet 端口,邮件服务器
4。 假设其他都完成。 启动DMZ 端口
5。建立DMZ 到WAN 的安全规则。(OUTBOUND, INDOUND)
6, DMZ-WAN 的路由规则。设一静态路由在内网服务器和DMZ主机之间。
Q2。配置ACS为主。
1,配置ACS 假设配置好了。CA, PEAP, AAA CLIENT(SWITCH), CONFIG
DATABASE . 在EAP SETTING中EAP-TLS 和PEAP 中用“host/”
2, CONFIG AAA CLIENT (SWITCH)
3, 在AD SERVER 中的网卡的属性中配置 EAP
Q3,, 是不是跑道一个V |
|
s*****g
发帖数: 1055 | 7 Your IT is probably right, this is limitation of your NAT/firewall devices,
it drops packets if source and destination are the same after static
translation.
ping serverA returns 192.168.123.123 because your IT has split brain-DNS set up, or if your DNS is managed by outside vendor, firewall did stateful inspection on DNS answers and replaced 123.234.123.123 with 192.168.123.123 when DNS queries come from inside.
Why is this a problem to you any way? 123.234.123.123 should be identical to 192.16 |
|
s*****g
发帖数: 1055 | 8 "i.e at step 3, application return a message ask client to connect to
another IP:port."
How is that going to work? if load-balancer is behind firewall, and firewall
is not aware this new port, the connection will be rejected, and I doubt a
typical client application will have this build in intelligence.
Why is this so difficult to understand? load balancer will terminate all
external TCP/IP connections, when a new request comes in, LB will act as a
proxy, i.e. terminating TCP/IP and dispatching |
|
a***n
发帖数: 262 | 9 审美疲劳 is one factor with us too :-)
cisco的asr9k应该是目前看最牛逼的ethernet router/switch. We just have Cisco
team proposing ASR9k to replace our campus 6500 backbone. Some features in
ASR9K like VPLS, EoMPLS that we would like to explore. But I am confused
that there is no zone based firewall, IOS firewall or FWSM for ASR9K. We
have ACLs and FWSMs for our 6500. Is ASR9K positioned to service provider
only? Or we just have to use external ASA for security? The other thing for
ASR9K, the initial backplane ... 阅读全帖 |
|
b*****y
发帖数: 178 | 10 多谢两位的解答,因为美国这边的人不是on a daily basis的,所以voice暂时不需要
,有事先打ip电话吧,如果把所有的模拟电话都换成ip的成本也不少吧。wireless也是
可有可无,有个guest的vlan就够了,如果临时需要是不是买个很便宜wireless router
就行了,长期工作在那的肯定wired了。
这两天学习了一下,问题更多了,哪位给解答一下。
1,有很多的firewall产品,比如cisco asa 5505 或者 pfSense ,这些产品的作用是
什么啊,是不是兼有router的功能啊。一般的网络结构是不是这样。
internet<--> firewall <--> router <--> switch <--> PC
2. 二楼说的,这个fortigate -30b行吗,能满足我说的要求吗,有了这个还用router
吗。 |
|
s*****g
发帖数: 1055 | 11 If the original client is behind a NAT firewall using private IP (or public
IP that overlaps with globally routable IP), what would this XFF header be?
if firewall does not change it (most likely it will be the case), if frond
end load balancer changes IP header source, then webserver will see two
meaningless addresses, right?
So what good will this XFF header do? |
|
m*****g
发帖数: 776 | 12 HI,
packet tracer 能不能根真正的cisco router interface相连?
目标:测试ospf在3个devices上。
方案:在我的laptop上再装一个network card, packetTracer连接ciscoRouter的
interface,再与两个cisco switches相连,一个linksys SRW208MP,另一个SR216。配
置ospf在devices上,可以吗?
还有公司用broadview的网络,timewarner的failover,目标建立Astaro firewall在两
个公司的router之间,是不是只在Astaro firewall上配置ospf即可? 不用关心
broadview,timeWarner的配置吗?ospf是不是可以自动调整相连device的配置? |
|
c*****i
发帖数: 631 | 13 差不多是这样啦。我们当时做的是在cat6k上面用vrf把lan和wan分开,然后中间是
firewall,ips是 transparent mode在firewall前面。不过是好几年前搞的东西了。
better |
|
x*********n
发帖数: 28013 | 14 next week, I am going to study firewall, we can encourage together, just
like crack the GRE.
My first firewall book will be ASA fundamental..
I just need some one reminds me to read, study every day! I waste last 3
days. |
|
s*****g
发帖数: 1055 | 15 It is possible that A is behind a PAT firewall, so ISAKMP connection request
initiated by A can be established (so will be IPsec SA), but if there is no
traffic and IPsec SA times out and then B tries to initiate, ISAKMP request
will be dropped by A side's firewall. |
|
n**********l
发帖数: 271 | 16 assuming DDNS resolves to your public IP.. if not, check DDNS log
What do you mean by "access the router"?
for openvpn-server, you need to enable the port(udp 1194 by default),
routing between networks (if you use routed method) and routing between br0
and tun0(interface name depends on your router and settings)
add firewall rules in admin-commands-save firewall or use a script so the
setting is persistent |
|
|
s*****g
发帖数: 1055 | 18 I don't understand why you are doing this way, a low end enterprise quality
commercial firewall probably costs less $500(Cisco ASA, Juniper SRX/
Netscreen, Fortinet etc etc), those commercial firewalls have far more
features than pfsense, let along other useful functionalists like remote
access vpn, anti-virus, application level gateway etc etc etc, the time you
wasted on setting this up and loss of productivity due to downtime is far
more than $500.
如果你只是想玩玩 OpenSource solution,算我没说. |
|
s*****g
发帖数: 1055 | 19 Can your firewall appliance recognize (meaning stateful inspection) your
application so that it can dynamically open up RTP/UDP ports negotiated in
control channel? By default most distributions have Iptable allowing
everything, A simple tcpdump on server will almost immediately tell you
where the problem is, a simple flow debug on firewall will do the job also.
ISP |
|
s*****g
发帖数: 1055 | 20 Fair, although I think you should have architecture design before you buy
equipment .
Is this a highly virtualized environment? I hope so, did you consider Palo
Alto virtual firewall (or any other "next gen"
firewall that can easily integrate with identity service, and works in
virtualized environment), Naturally you don't want to do this manually, so
you will need service chaining, auto provisioning, you will be looking at
orchestration
functionality , I don't want to use the word SDN here, bu... 阅读全帖 |
|
I********x
发帖数: 858 | 21 思科avs nexus1000v就是为这个而生的啊
你能vlan到vm guest,其它的要firewall firewall 要iPs ips。
AVS多个vxlan功能,其它一样。contail结构差不多不过根据ppt功能要强些。
vmware只支持自己家hypervisor,如果只用vmware也不是问题。 |
|
m***i
发帖数: 2480 | 22 Here is what I usually do:
reinstall windows xp
disable firewall & virus (You don't have to worry about those if you always
install trusted software.)
Firewall would probably add about 0.5 sec network latency, while anti-virus
software is usually the cause of slowness occasionally.
Install chrome browser (much faster and cleaner).
Open "msconfig" and disable useless startup entries.
My windows xp runs blazing fast on celeron laptop with 1.5G memory. |
|
m***r
发帖数: 680 | 23 原来装ppstream,bt,风行,装完启动后,系统问我要keepingblocking还是unblock,
我一开始怕block后看不了,firewall全选unblock,后来发现即使block,都用起来正
常。pps照看,bt, 风行一开始慢,过了一会儿速度就上来了。
那想问一下,这个xp,vista的firewall倒底是block什么东西呢,既然block也能用pps
,bt,为什么第一次运行这些软件时,这些软件还要求unblock?(以前记得如果block
msn或者qq,就不能传输文件了) |
|
f********1
发帖数: 228 | 24 打算乘现在还有back to school promo的时候买一个laptop,预算1K左右,也就是随便
在家用用,看电影,玩游戏,写程序都会有一些,但都不会多。我比较倾向于独立显卡
,和9-cell电池。现在初步选择有XPS 15/17,或者HP dv7t。XPS 15和dv7t大概在$950
左右的价位,XPS17$1134。详细配置如下。希望版上高手能点评下。大家轻拍,谢谢。
BTW:听说HP的机器散热经常出问题,是真的吗?
dv7t:
HP ($920)
Color dark umber edit
Operating system Genuine Windows 7 Home Premium 64-bit edit
Processor 2nd generation Intel(R) Quad Core(TM) i7-2630QM (2.0 GHz, 6MB
L3 Cache) w/Turbo Boost up to 2.9 GHz edit
Graphics card 1GB GDDR5 Radeon(TM) HD 6490M Grap... 阅读全帖 |
|
G*****h
发帖数: 33134 | 25 你妹啊,发现是怎么回事了
tomato 的 firewall 不让从外网访问 it,只能打开 web admin,不能访问其它 port
而且不能在 web 界面上设置 iptables firewall rule 来允许某端口。。。
就是说如果要在 router 上跑自己的 web server,
得在 init script 加 iptables 命令打开 web port ...
幸好偶有俩地沟油,
干脆把 web server 挪到另一个地沟油上,在 gateway 上开个 port forwarding...
坑爹。。。 |
|
G*****h
发帖数: 33134 | 26 还是弄了个 iptables 命令搞定
现在爽了
你妹啊,发现是怎么回事了
tomato 的 firewall 不让从外网访问 it,只能打开 web admin,不能访问其它 port
而且不能在 web 界面上设置 iptables firewall rule 来允许某端口。。。
就是说如果要在 router 上跑自己的 web server,
得在 init script 加 iptables 命令打开 web port ...
幸好偶有俩地沟油,
干脆把 web server 挪到另一个地沟油上,在 gateway 上开个 port forwarding...
坑爹。。。 |
|
S*A
发帖数: 7142 | 27 看公司firewall配置,lz 提到ssh, 那
假设 ssh 就是可以的。
IT 封你家的 https 就可以了,不用封全公司的。
BTW,
自己打通一个 VPN 等于在公司网上开了个洞,你家的 VPN 就可以连进来不经过
firewall 进来. 这个很多公司是非常忌讳的行为,甚至可以被开除。 |
|
S*A
发帖数: 7142 | 28 用 TL-WR841N V7 (V8 以上不是很值得买)是针对在国内的,
这个路由器在米国还不好买或者价钱不便宜了。如果是$50 左右就还不
如搞个 WDR4300。
回到你的 Verizon fios, 你是想在有信号的地方放一个 router, 然后发射
自己的 AP 基站上网吗?Verizon AP 有没有多少个 Mac 地址的限制?
我觉得如果是这种使用模式的话,你大概不能控制 Verizon 的 AP。
比较好的方案不是用 WDS, 是用 client mode。 就是路由器无线接入
Verizon AP, 作为路由器的 WAN,同时路由器发射一个 AP 和 LAN
那头绑一起做内网,和WAN 不是一个网端,SSID 和Verizon 的不一样,
中间做 NAT。 这样Verizon 那边的人不能直接访问你的内网 LAN,你有
firewall 保护。
WDS 使用和 Verizon AP 一个bridge 段,这个需要 Verizon AP 支持
WDS, 并且和你的路由的 WDS 兼容。因为你没有 Version AP 的控制,
这个比较不好做。并且没有 firewall... 阅读全帖 |
|
t****t
发帖数: 6806 | 29 你可以用system-config-firewall配置. 如果你一定要用sudo command (不限firewall
), 可以写在/etc/rc.d/rc.local里. |
|
a***e
发帖数: 27968 | 30 firewall at work and firewall at home could be quite different
one |
|
a**y
发帖数: 335 | 31 I have the same problem. I think you or your parents are behind a firewall.
I ever tried to open some ports on the firewall, but it didn't work. |
|
t*****r
发帖数: 117 | 32 hehe,我的也是dhcp, :)
或许有一个问题就是你们的firewall允许不允许firewall以外的pc访问你的机器 |
|
y****t
发帖数: 10233 | 33 Seems vpn and firewall could not co-exist on same computer, at least on my xp.
Check you have firewall openned. |
|
w******i
发帖数: 172 | 34 There is one HP laserjet 1000 printer connected to the Dell desktop (windows
XP sp2) via USB port in my office. This printer is set to be shared by
others. The other computers in the same workgroup all have access to this
printer and work very well. The windows firewall on this Dell desktop is
always on. Recently, we tried to print from an IBM laptop (windows XP sp2)
but failed with an error message saying "not connected" when the firewall on
the dell desktop was on, while worked ok when the |
|
l***y
发帖数: 791 | 35 NAT can break ftp easily. in my home we have a linux server in front of
the router, and run the ftp server on the linux server, which also has
firewall etc to be protected.
{internet - isp net} - modem - linux-server - home router - { home netwrok } -
pc.
^firewall, ssh, web and file server using
public ip and non-standard port.
also unless your router has ftp server running(not true for most SOHO routers)
,
you won't be able to ftp to your router's any ip address. |
|
K********t
发帖数: 19 | 36 【 以下文字转载自 Windows 讨论区 】
发信人: KobeBryant (Go Lakers!), 信区: Windows
标 题: 求救 -- windows xp sp2 的ftp问题!!!
发信站: BBS 未名空间站 (Thu May 17 19:11:01 2007)
我系统是windows xp sp2, 如果开着firewall,那么使用IE就不能连到任何ftp site
上,把firewall关了就可以。我已经把port20和21都打开了,还是不行,请问是什么问
题呀? |
|
w*******p
发帖数: 253 | 37 家里装了Foscam的IP Camera,设好了port forwarding, 用手机3G信号,可以看到监
控视频,但是用家里的wifi反而看不到同一网址(http://aw****.myfoscam.org:XXXX)的监控视频, 虽然用局域网的网址可以看到(http://192.168.***.***:XXXX)。这是怎么回事?
我想了两种可能:
1. ISP允许上传视频,但是对观看视频有filter/firewall限制。
2. 我的Router 有某种filter 或者 firewall。
欢迎高手指点,谢谢! |
|
T*****e
发帖数: 361 | 38 前言:
呵呵,诸位大侠从我的序列问题中应该能够看到俺正在一步一步地前进吧。
虽然是慢了些,不过好歹没有完全辜负大家的解答罗。多谢多谢!
正文:
根据之前大家的指点,我卸载了j2ee,j2se sdk,j2se jre等等,
然后重新安装了j2se sdk, eclipse 3.0, ant 1.6.2, Tomcat 5.5。
安装完Tomcat后,试着运行Tomcat Administration,但是出错--
The connection was refused when attempting to contact 127.0.0.1:8080
以为是firewall的问题,于是把windows xp home的firewall去掉,依然如此。
以为也可能是tomcat运行的问题,于是运行Tomcat Configuration,每次
都是service stopped,重新start一下,等会就又消失了。在windows task
manager中能够看到tomcat5.exe,不一会就不见了。
接着试application,建立一个非常简单的application之后,运行an |
|
s******e
发帖数: 63 | 39 这个FIREWALL ISSUE不影响从COMMAND LINE运行吗?除了这个CLIENT,我们SERVER还向
别的CLIENTS' SERVER用HTTP POST穿DATA都没问题.SOAP本质上就是HTTP CONNECTION
吧?最奇怪的是一RELEASE就不行了(WEEKLY RELEASE,哪天下午测试完就RELEASE)
,FIREWALL POLICY要改应该没那么碰巧啊.先谢了. |
|
d********r
发帖数: 199 | 40 update:
我又把这段code拿到家里(comcast cable)测试了一下,发现没问题。
但是在学校里run就会有问题,
可能是学校的网络有什么特别的地方造成的。
update again:
Faint! 发现问题所在了:
竟然是Windows Firewall造成的。
关了Windows Firewall就没问题了。NND,害我搭进去一天多找原因。 |
|
g*****g
发帖数: 34805 | 41 It always depends. WS is the more ubiquitous solution
that can easily tunnel through firewall. RMI, Hessian etc.
may be restricted on your deployment firewall settings,
which may or may not be possible.
We have a server that talks hessian with admin console through
vpn, and WS with clients. I think you can always start with
RPC style WS, like spring + CXF for minimum efforts. And
seek necessary alternatives when the requirement is more clear.
There's no one fit all solution. |
|
p*****2
发帖数: 21240 | 42
不同的port到可能是个好办法。外网firewall挡住, 内网的话不走firewall。理论上
来说就是一台机器跑两个server。感觉可行。 |
|
c****1
发帖数: 302 | 43 你说的
>>可以输入用户名和密码<<
是先输入用户名 (比如从command line 输入)
然后提示你输入密码吗?
如果是这样,不是firewall的问题
如果(在B上)你用的是GUI utility,同时输入用户名和密码,再联接失败,不排除
firewall的问题。因为我以前就是这样遇到过。
当然,也可能像他们说的和key有关。
我对这个问题很好奇,你能不能再给些像详细的info? |
|
p**i
发帖数: 688 | 44 1. 你的副router是什么brand/model?
2. /etc/init.d/firewall enable
read the manual:http://kamikaze.openwrt.org/docs/openwrt.html#x1-350001.3.2
谢谢大家的帮忙,特别是piii,流氓小兔,民工的帮忙。我终于把router搞定。
也怪我土,在/etc/config/firewall文件里,WAN zone, 加上masq =1,router就
正常工作了。看来几年前学的网络课就全交给老师了。真对不起douglas comer:)
现在还有两个技术难题,希望大家能帮忙:
1. openwrt routing速度不行,不知道是不是routing config的问题。
我的笔记本wireless上主router,可以5mbps/2mbps。可是我的PC有线接
副router,速度才2mbps/700kbps.我已经把txpower加到70。还有什么办法
能提供openwrt的速度啊?我的副router可以前是fios router,硬件还不错的啊。
2.我的/etc/i |
|
S*A
发帖数: 7142 | 45 I think pretty stander openwrt/ddwrt with sshd tunnel can
do that. Most openwrt/ddwrt come with ssh server by default.
Warning, make sure what do you is allowed in your company's
policy. There is a reason company put firewall or limit their
web access. In the worse case, punch holes on their firewall
like that might get you fired. |
|
a*******e
发帖数: 3021 | 46 could beyour debian's default firewall.
disable firewall and try again
service iptables stop |
|
t*******y
发帖数: 1289 | 47 能从 99 ping 100 吗?确定这两台机器能互相看到。
我也觉得是路由的问题。
是不是有别的firewall client(firewall不是很懂)还开着。
我debian,安装了firestar(好像是这个名字),机器起来了,开openvpen不行,要手
动打开firestar然后stop才能
估计你的问题和我的差不多。 |
|
e****x
发帖数: 692 | 48 不知道该如何配置firewall打开相应端口。
不知道为什么我的firewall setup GUI不work了,报一个和fedora有关的错?晕。可能
只能手工配置一下iptables了。 |
|
|
