老舊防火牆伺服器如何處理
A. 檢查代理伺服器和防火牆怎麼弄啊
打開「Internet選項」→「連接」,在這個窗口裡有個小窗口,小窗口右側點「設置」,在彈出的窗口裡取消一切勾選,點「確定」。
1、代理伺服器確定可以上網。
2、確保代理伺服器上的Windows Firewall/Internet Connection Sharing (ICS)服務啟動。
3、把其他所有電腦網路設置裡面的網關和DNS都設置為這台代理伺服器電腦的ip地址。 如果是通過路由器上網,更簡單。 把其他所有電腦網路設置裡面的網關和DNS都設置為路由器的ip地址。
電腦看代理伺服器的方法
1、手機訪問網站時時,會附帶發送user-agent信息,這個信息裡面會有手機號碼信息,則可以肯定是通過手機wap訪問的。
2、但是目前中國移動已經屏蔽了user-agent信息,所以獲取不到手機號碼。可以把wap網站伺服器的ip提交給中國移動,加入白名單後即可取得ua信息。目前中國聯通可以直接取到手機號,對聯通用戶此方案可完美實施。
3、手機訪問,原理是手機通過移動公司的代理伺服器進行的訪問。那麼就可以理解是一台普通電腦使用了代理伺服器。當手機通過代理伺服器訪問的時候,http頭信息會毫無疑問的包含一個信息:via。這個信息提供了有價值的判斷信息。可以實現判斷是否是移動終端。
4、另外現在移動端的瀏覽器都會請求移動版的網頁,所以可以直接判斷出的。
B. 因防火牆功能導致埠不通如何檢查解決
有時候由於防火牆引起一些服務不能工作。
主要現象是在伺服器本機上telnet 某一個埠是正常的,但是在伺服器外面telnet該埠卻是不通的。一般情況下可以判斷為防火牆問題。那麼我們改怎麼樣去判斷呢,下面壹基比小喻就開給大家介紹下
如果是dns軟體的,可以通過nslookup在伺服器上測試,及在伺服器分別外測試一下來判斷。如果伺服器上測試有結果出來,伺服器外沒有響應,一般就是防火牆問題。
防火牆分為伺服器本身的防火牆及機房的硬體防火牆。
一、伺服器本身防火牆一般有三個地方需要檢查:
1.控制面板上點開windows自帶的防火牆,看是否啟用,埠是否打開,是否有限制了IP鏈接
2.管理工具->本地安全策略->IP安全策略在本機算機,看是否設置了安全策略,如果有「策略已指派」的可以暫時不指派測試看。
3.檢查本地鏈接中IP過慮設置。看是否已設置,注意IP過慮設置完了需要重啟伺服器才會生效。
本地防火牆都檢查了,確認沒有限制該埠,一般就是機房硬體防火牆限制了,需要通知機房處理。
二、如果進一步確認一定是機房防火牆的問題:
如果客戶在同一個機房有兩台機器的話,可以在另外一台機器上telnet這個機器的相關埠,或用nslookup測試udp埠。
如果在機房裡的另一台機器上是通的,就可以確認不是伺服器本身的防火牆引起的,一定是機房的防火牆引起的。
三、有一些機房防的硬體防火牆,會導致在伺服器外telnet相關的埠,會也是通的。但是相關的服務卻不能用。
這種情況可以通過兩種方法來判斷。
1.在伺服器內及伺服器外,分別telnet相關埠後,可以輸入回車鍵,或其它鍵,觀察cmd窗口的反應。如果被機房硬防隔開了,一般窗口的響應上會有差別。
2.telnet那個伺服器的任意埠,如果是硬防隔開的,有時會telnet任何一個埠都是通的,不管伺服器上是否真的有程序在該埠上工作。
C. 如何遷移iptables防火牆規則到新伺服器
將linux系統設置成REJECT拒絕動作策略後,對方會看到本機的埠不可達的響應:
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms
將Linux系統設置成DROP拒絕動作策略後,對方會看到本機響應超時的提醒,無法判斷流量是被拒絕,還是對方主機當前不在線:
[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms
8.2.2 基本的命令參數
iptables是一款基於命令行的防火牆策略管理工具,由於兄攜該命令是基於終端執行且存在有大量參數的,咱們學習起來難度還是較大的,好在對於日常控制防火牆策睜液略來講,您無需深入的了解諸如「四表五鏈」的理論概念,只需要掌握常用的參數並做到靈活搭配即可,以便於能夠更順暢的勝任工作所需。iptables命令可以根據數據流量的源地址、目的地址、傳輸協議、服務類型等等信息項進行匹配,一旦數據包與策略匹配上後,iptables就會根據策略所預設的動作來處理這些數據包流量,羨早伏另外再來提醒下同學們防火牆策略的匹配順序規則是從上至下的,因此切記要把較為嚴格、優先順序較高的策略放到靠前位置,否則有可能產生錯誤。下表中為讀者們總結歸納了幾乎所有常用的iptables命令參數,劉遄老師遵循《Linux就該這么學》書籍的編寫初衷而設計了大量動手實驗,讓您無需生背硬記這些參數,可以結合下面的實例來逐個參閱即可。
編輯
參數 作用
-P 設置默認策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空規則鏈
-L 查看規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址IP/MASK,加嘆號"!"表示除這個IP外。
-d 匹配目標地址
-i 網卡名稱 匹配從這塊網卡流入的數據
-o 網卡名稱 匹配從這塊網卡流出的數據
-p 匹配協議,如tcp,udp,icmp
--dport num 匹配目標埠號
--sport num 匹配來源埠號
使用iptables命令-L參數查看已有的防火牆策略:
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
………………省略部分輸出信息………………
使用iptables命令-F參數清空已有的防火牆策略:
[root@linuxprobe ~]# iptables -F
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
………………省略部分輸出信息………………
將INPUT鏈的默認策略設置為拒絕:
如前面所提到的防火牆策略設置無非有兩種方式,一種是「通」,一種是「堵」,當我們將INPUT鏈設置為默認拒絕後,咱們就要往裡面寫入允許策略了,否則所有流入的數據包都會被默認拒絕掉,同學們需要留意規則鏈的默認策略拒絕動作只能是DROP,而不能是REJECT。
[root@linuxprobe ~]# iptables -P INPUT DROP
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
…………省略部分輸出信息………………
向INPUT鏈中添加允許icmp數據包流入的允許策略:
在日常運維工作中經常會使用到ping命令來檢查對方主機是否在線,而我們向防火牆INPUT鏈中添加一條允許icmp協議數據包流入的策略就是默認允許了這種ping命令檢測行為。
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.156 ms
64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.117 ms
64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.099 ms
64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.090 ms
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.090/0.115/0.156/0.027 ms
刪除INPUT鏈中的那條策略,並將默認策略還原為允許:
[root@linuxprobe ~]# iptables -D INPUT 1
[root@linuxprobe ~]# iptables -P INPUT ACCEPT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
………………省略部分輸出信息………………
設置INPUT鏈只允許指定網段訪問本機的22埠,拒絕其他所有主機的數據請求流量:
防火牆策略是按照從上至下順序匹配的,因此請同學們一定要記得將允許動作放到拒絕動作上面,否則所有的流量就先被拒絕掉了,任何人都獲取不到咱們的業務。文中提到的22埠是下面第九章節講的ssh服務做佔用的資源,這里再挖個小坑~等同學們稍後學完再回來驗證這個實驗效果吧~
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分輸出信息………………
使用IP地址在192.168.10.0/24網段內的主機訪問伺服器的22埠:
[root@Client A ~]# ssh 192.168.10.10
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
[email protected]'s password:
Last login: Sun Feb 12 01:50:25 2017
[root@Client A ~]#
使用IP地址在192.168.20.0/24網段外的主機訪問伺服器的22埠:
[root@Client B ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.
向INPUT鏈中添加拒絕所有人訪問本機12345埠的防火牆策略:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分輸出信息………………
向INPUT鏈中添加拒絕來自於指定192.168.10.5主機訪問本機80埠(web服務)的防火牆策略:
[root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分輸出信息………………
向INPUT鏈中添加拒絕所有主機不能訪問本機1000至1024埠的防火牆策略:
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable
………………省略部分輸出信息………………
是不是還意猶未盡?但是同學們對於iptables防火牆管理命令的學習到此就可以結束了,考慮到以後防火牆的發展趨勢,同學們只要能把上面的實例看懂看熟就可以完全搞定日常的iptables防火牆配置工作了。但請特別留意下,iptables命令配置的防火牆規則默認會在下一次重啟時失效,所以如果您想讓配置的防火牆策略永久的生效下去,還要執行一下保存命令:
[root@linuxprobe ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
具體iptable還有很多的知識點:http://www.linuxprobe.com/chapter-08.html
D. 防火牆怎麼更換到域網路
以下是更換防火牆到域網路的基本步驟:
1. 在域控制器上創建計算機對象: 打開域控制器管理工具,創建一個新的計算機對象用於新防火牆。
2. 配置DNS: 在新的防塵型火牆伺服器上,將DNS伺服器配置為域控制器的IP地址。
3. 將伺服器重新命名: 將防火牆伺服器重新命名,以與之前的伺服器不同。
4. 加入域: 將新防火牆伺服器加入域網路,使其成為域成員。
5. 部署並配置防火牆: 安裝並配置新防火牆,並根據需要設置防火牆規則和策略,確保新防火牆能夠與域控制器和其他域孫散成員進行通信。
6. 測試防火牆連接: 對新防火牆伺服器進行基本測試,確保它可以成功連接到域網路服務派凱猜器和其他域成員。
以上是更換防火牆到域網路的一般步驟,具體的操作步驟可能因不同的防火牆和網路環境而異。如果您不確定如何進行操作,請參考防火牆和域網路的相關文檔或請咨詢有相關經驗的專業人員獲得幫助。
E. 檢查代理伺服器和防火牆怎麼弄啊
檢查代理伺服器和防火牆的方法如下:
1、按「Win+R」組合鍵打開運行,輸入:%%\etc點擊確定打開文件夾;2、刪除文件夾中的「hosts」文件;3、在開始菜單右鍵選擇「命令提示符(管理員)」攜告;4、在命令提示符框中輸入:/回車清除DNS緩存,清除完成然後辯宏明重啟電腦。
如果防火牆設置不當,可能會絕櫻阻塞與外網的信息交換,導致無法瀏覽網頁。我們可以修改防火牆設置。
F. 防火牆設備怎麼設置
問題一:如何設置本機的防火牆? 點擊開始菜單,在彈出的菜單中選擇控制面板,如圖。
點擊打開控制面板,選擇系統和安全這一項,如圖:
點擊進入系統和安全設置界面,就可看到windows防火牆設置,如圖:
在此處可以檢查防火牆設置和允許程序通過防火牆設置,檢查防火牆設置,如圖可以選擇打開或關閉防火牆。
設置程序是否通過績火牆,如圖:
問題二:如何設置電腦防火牆 控制面板/安全中心/Windows防火牆/點選「啟用」按確定就可以了,不用特殊設置,就是默認設置,如果設置不對容易出現錯誤,這樣你可以按「高級」,按場面的還原默認設置按確定即可。
問題三:電腦本機防火牆怎麼設置 1桌面右下角任務欄,右鍵更改window 防火牆設置。
2進入window防火牆頁面,選擇啟用後,確定退出即可。
問題四:如何設置允許軟體通迅迅過防火牆 1、首先進入開始菜單,然後在菜單中找到控制面板,單擊控制面板這個選項旦簡進入控制面板窗口界面,如圖所示
2、進入到控制面板界面,在這個界面上可以看到系統自帶的控制面板選項,找到Windows防火牆選項並單擊它,如圖所示
3、接著就進入了在Windows防火牆主頁面,在這個主頁面左上方找到允許程序或功能通過防火牆,然後單擊這個選項,如圖所示
4、這時候就到了允許程序通過Windows防火牆通信界面,這個界面上我們可以添加或者刪除程序(添加你要通過防火牆的程序,刪除你不想要它通過防火牆通信額程序),根據自身需要來選擇
注意:不要為陌生的軟體程序開啟通過防火牆的功能,這是很危險的事情,很容易被黑客利用而達到入侵的目的
5、添加要通過防火牆通信的軟體
單擊允許運行另一程序,這時候彈出來一個框,在框中上下移動選擇你要添加的軟體程序,選中這個程序然後單擊添加按鈕即可。
6、刪除要通過防火牆通信的軟體
在窗口中選中你要刪除的軟體,然後單擊下方的刪除按鈕,這時候會再彈出一個框提示你是否確定刪除,確定刪除單擊確定就可以了。
問題五:怎麼調整防火牆設置? 15分 好辦 你要是家裡的話 就先關網 再關防火牆 然後裝 在全開 要是網吧的話 就比較麻煩了
問題六:手機怎麼設置防火牆 設置ip地址,打開或者關閉就行了
問題七:怎樣設置防火牆的安全級別 打開「開始按鈕」(屏幕左下角有開始兩個字的地方),找到「控制面板」(也可以打開我的電腦,在左側的菜單欄能看到),找到「windows 防火牆」,選擇允許程序或功能通過windows防火牆中進行你需要的修改,或者是在「高級設置」中,修改入站和出站規則,把你想要不防範的那個軟體勾選,讓它不論入站出站都不收阻礙。名稱可能有少許出入,因為我現在用的是sin7系統。你試試行不行,不行你繼續追問
問題八:系統防火牆怎樣設置才是最好的? 新一代操作系統WINDOWS XP已正式發布,它增加了許多十分重要的新的網路功能,例如Internet連接防火牆(ICF)就是充當網路與外部世界之間的保衛邊界的安全系統。Internet連接防火牆(ICF)是用來限制哪些信息可以從你的家庭或小型辦公網路進入Internet以及從Internet進入你的家庭或小型辦公網路的一種軟體。
如果網路使用Internet連接共享(ICS)來為多台計算機提供Internet訪問能力,則建議你應該在共享的Internet連接中啟用ICF。ICS和ICF也可以單獨啟用,比如說可在直接連接到Internet的任何一台計算機上啟用ICF。
一、工作原理
ICF被視為狀態防火牆,狀態防火牆可監視通過其路模昌褲徑的所有通訊,並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端,ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中,ICF將跟蹤源自該計算機的通信。與ICS一起使用時,ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或專用網路內部開始的),才允許將傳入Internet通信傳送給網路中的計算機。
源自外部源ICF計算機的通訊(如Internet)將被防火牆阻止,除非在「服務」選項卡上設置允許該通訊通過。ICF不會向你發送活動通知,而是靜態地阻止未經請求的通訊,防止像埠掃描這樣的常見黑客襲擊。
二、注意事項
ICF和家庭或小型辦公室通訊――不應該在所有沒有直接連接到Internet的連接上啟用Internet連接防火牆。如果在ICS客戶計算機的網路適配器上啟用防火牆,則它將干擾該計算機和網路上的所有其他計算機之間的某些通訊。如果網路已經具有防火牆或代理伺服器,則不需要Internet連接防火牆。
ICF和通知消息――由於ICF檢查所有傳入通訊,而某些程序(尤其是電子郵件程序)可能在啟用ICF時做出不同動作。如定期查詢新郵件、等待電子郵件伺服器的通知等。
高級ICF設置――ICF安全記錄功能可以提供一種方式來創建防火牆活動的日誌文件。ICF能夠記錄被許可的和被拒絕的通信。例如,默認情況下,防火牆不允許來自Internet的傳入回顯請求通過。如果沒有啟用Internet控制消息協議(ICMP)「允許傳入的回顯請求」,那麼傳入請求將失敗,並生成傳入失敗的日誌項。
三、實戰防火牆
1.啟用或禁用Internet連接防火牆
打開「網路連接」,
單擊要保護的撥號、LAN或高速Internet連接,然後在「網路任務」→「更改該連接的設置」→「高級」→「Internet 連接防火牆」下,選擇下面的一項:
若要啟用Internet連接防火牆,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」復選框。若要禁用Internet連接防火牆,請清除此復選框。
2.安全日誌文件
使用ICF安全日誌,你可以:
登錄放棄的數據包――這將登錄來源於家庭、小型辦公網路或Internet的所有放棄的數據包。
當你選擇「登錄放棄的數據包」復選框時,每次通信嘗試通過防火牆卻被檢測和拒絕的信息都被ICF收集。例如,如果你的Internet控制消息協議沒有設置成允許傳入的回顯請求,如Ping和Tra......>>
問題九:網路防火牆怎麼設置 網路防火牆在哪裡設置 1、首先需要了解電腦防火牆的位置,最簡單的辦法就是進入控制面板,找到windows 防火牆,打開就可以進入到具體設置頁面。
2、打開電腦windows防火牆後,如果僅僅是想禁用或者啟用防火牆,那麼直接選定「啟用」或者「關閉」,然後確定就可以了。
3、啟用防火牆之後,如果想讓一些軟體可以進行網路連接,對另外一些程序和服務禁用網路連接,那麼可以在電腦windows防火牆中選擇例外菜單,如果要禁用已經聯網的程序或服務,只需將勾選去除,按確定就可以了。
4、如果有一些你需要的程序或服務沒有在例外列表中,而你的防火牆又是開啟的,那麼這部分程序和服務就不能連接外網。添加方法如下,點擊例外菜單下的添加程序按鈕,然後在新窗口列表中選擇你要添加的程序,選擇確定保存就可以了。
5、如果你設置了很多例外,到最後都想取消,取消一些不當的操作,只需要將防火牆還原為默認值就可以了,選擇防火牆高級菜單,點擊「還原為默認值」按鈕即可。
6、還原後,也就是說以後有程序和服務要訪問網路時,都會被阻止,這時你需要在例外菜單中設置,防火牆阻止程序時通知我,這樣你就可以通過辨別來對某些有用的程序放行了。
7、最後建議將防火牆一直開著,這是保護你電腦不被利用的有利防線。
問題十:怎麼設置防火牆允許埠 控制面板-〉防火牆-〉例外-〉添加埠