老旧防火墙服务器如何处理
A. 检查代理服务器和防火墙怎么弄啊
打开“Internet选项”→“连接”,在这个窗口里有个小窗口,小窗口右侧点“设置”,在弹出的窗口里取消一切勾选,点“确定”。
1、代理服务器确定可以上网。
2、确保代理服务器上的Windows Firewall/Internet Connection Sharing (ICS)服务启动。
3、把其他所有电脑网络设置里面的网关和DNS都设置为这台代理服务器电脑的ip地址。 如果是通过路由器上网,更简单。 把其他所有电脑网络设置里面的网关和DNS都设置为路由器的ip地址。
电脑看代理服务器的方法
1、手机访问网站时时,会附带发送user-agent信息,这个信息里面会有手机号码信息,则可以肯定是通过手机wap访问的。
2、但是目前中国移动已经屏蔽了user-agent信息,所以获取不到手机号码。可以把wap网站服务器的ip提交给中国移动,加入白名单后即可取得ua信息。目前中国联通可以直接取到手机号,对联通用户此方案可完美实施。
3、手机访问,原理是手机通过移动公司的代理服务器进行的访问。那么就可以理解是一台普通电脑使用了代理服务器。当手机通过代理服务器访问的时候,http头信息会毫无疑问的包含一个信息:via。这个信息提供了有价值的判断信息。可以实现判断是否是移动终端。
4、另外现在移动端的浏览器都会请求移动版的网页,所以可以直接判断出的。
B. 因防火墙功能导致端口不通如何检查解决
有时候由于防火墙引起一些服务不能工作。
主要现象是在服务器本机上telnet 某一个端口是正常的,但是在服务器外面telnet该端口却是不通的。一般情况下可以判断为防火墙问题。那么我们改怎么样去判断呢,下面壹基比小喻就开给大家介绍下
如果是dns软件的,可以通过nslookup在服务器上测试,及在服务器分别外测试一下来判断。如果服务器上测试有结果出来,服务器外没有响应,一般就是防火墙问题。
防火墙分为服务器本身的防火墙及机房的硬件防火墙。
一、服务器本身防火墙一般有三个地方需要检查:
1.控制面板上点开windows自带的防火墙,看是否启用,端口是否打开,是否有限制了IP链接
2.管理工具->本地安全策略->IP安全策略在本机算机,看是否设置了安全策略,如果有“策略已指派”的可以暂时不指派测试看。
3.检查本地链接中IP过虑设置。看是否已设置,注意IP过虑设置完了需要重启服务器才会生效。
本地防火墙都检查了,确认没有限制该端口,一般就是机房硬件防火墙限制了,需要通知机房处理。
二、如果进一步确认一定是机房防火墙的问题:
如果客户在同一个机房有两台机器的话,可以在另外一台机器上telnet这个机器的相关端口,或用nslookup测试udp端口。
如果在机房里的另一台机器上是通的,就可以确认不是服务器本身的防火墙引起的,一定是机房的防火墙引起的。
三、有一些机房防的硬件防火墙,会导致在服务器外telnet相关的端口,会也是通的。但是相关的服务却不能用。
这种情况可以通过两种方法来判断。
1.在服务器内及服务器外,分别telnet相关端口后,可以输入回车键,或其它键,观察cmd窗口的反应。如果被机房硬防隔开了,一般窗口的响应上会有差别。
2.telnet那个服务器的任意端口,如果是硬防隔开的,有时会telnet任何一个端口都是通的,不管服务器上是否真的有程序在该端口上工作。
C. 如何迁移iptables防火墙规则到新服务器
将linux系统设置成REJECT拒绝动作策略后,对方会看到本机的端口不可达的响应:
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms
将Linux系统设置成DROP拒绝动作策略后,对方会看到本机响应超时的提醒,无法判断流量是被拒绝,还是对方主机当前不在线:
[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms
8.2.2 基本的命令参数
iptables是一款基于命令行的防火墙策略管理工具,由于兄携该命令是基于终端执行且存在有大量参数的,咱们学习起来难度还是较大的,好在对于日常控制防火墙策睁液略来讲,您无需深入的了解诸如“四表五链”的理论概念,只需要掌握常用的参数并做到灵活搭配即可,以便于能够更顺畅的胜任工作所需。iptables命令可以根据数据流量的源地址、目的地址、传输协议、服务类型等等信息项进行匹配,一旦数据包与策略匹配上后,iptables就会根据策略所预设的动作来处理这些数据包流量,羡早伏另外再来提醒下同学们防火墙策略的匹配顺序规则是从上至下的,因此切记要把较为严格、优先级较高的策略放到靠前位置,否则有可能产生错误。下表中为读者们总结归纳了几乎所有常用的iptables命令参数,刘遄老师遵循《Linux就该这么学》书籍的编写初衷而设计了大量动手实验,让您无需生背硬记这些参数,可以结合下面的实例来逐个参阅即可。
编辑
参数 作用
-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号
使用iptables命令-L参数查看已有的防火墙策略:
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
………………省略部分输出信息………………
使用iptables命令-F参数清空已有的防火墙策略:
[root@linuxprobe ~]# iptables -F
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
………………省略部分输出信息………………
将INPUT链的默认策略设置为拒绝:
如前面所提到的防火墙策略设置无非有两种方式,一种是“通”,一种是“堵”,当我们将INPUT链设置为默认拒绝后,咱们就要往里面写入允许策略了,否则所有流入的数据包都会被默认拒绝掉,同学们需要留意规则链的默认策略拒绝动作只能是DROP,而不能是REJECT。
[root@linuxprobe ~]# iptables -P INPUT DROP
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
…………省略部分输出信息………………
向INPUT链中添加允许icmp数据包流入的允许策略:
在日常运维工作中经常会使用到ping命令来检查对方主机是否在线,而我们向防火墙INPUT链中添加一条允许icmp协议数据包流入的策略就是默认允许了这种ping命令检测行为。
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3000ms
[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@linuxprobe ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data.
64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.156 ms
64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.117 ms
64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.099 ms
64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.090 ms
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.090/0.115/0.156/0.027 ms
删除INPUT链中的那条策略,并将默认策略还原为允许:
[root@linuxprobe ~]# iptables -D INPUT 1
[root@linuxprobe ~]# iptables -P INPUT ACCEPT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
………………省略部分输出信息………………
设置INPUT链只允许指定网段访问本机的22端口,拒绝其他所有主机的数据请求流量:
防火墙策略是按照从上至下顺序匹配的,因此请同学们一定要记得将允许动作放到拒绝动作上面,否则所有的流量就先被拒绝掉了,任何人都获取不到咱们的业务。文中提到的22端口是下面第九章节讲的ssh服务做占用的资源,这里再挖个小坑~等同学们稍后学完再回来验证这个实验效果吧~
[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分输出信息………………
使用IP地址在192.168.10.0/24网段内的主机访问服务器的22端口:
[root@Client A ~]# ssh 192.168.10.10
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
[email protected]'s password:
Last login: Sun Feb 12 01:50:25 2017
[root@Client A ~]#
使用IP地址在192.168.20.0/24网段外的主机访问服务器的22端口:
[root@Client B ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.
向INPUT链中添加拒绝所有人访问本机12345端口的防火墙策略:
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分输出信息………………
向INPUT链中添加拒绝来自于指定192.168.10.5主机访问本机80端口(web服务)的防火墙策略:
[root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
………………省略部分输出信息………………
向INPUT链中添加拒绝所有主机不能访问本机1000至1024端口的防火墙策略:
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable
………………省略部分输出信息………………
是不是还意犹未尽?但是同学们对于iptables防火墙管理命令的学习到此就可以结束了,考虑到以后防火墙的发展趋势,同学们只要能把上面的实例看懂看熟就可以完全搞定日常的iptables防火墙配置工作了。但请特别留意下,iptables命令配置的防火墙规则默认会在下一次重启时失效,所以如果您想让配置的防火墙策略永久的生效下去,还要执行一下保存命令:
[root@linuxprobe ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
具体iptable还有很多的知识点:http://www.linuxprobe.com/chapter-08.html
D. 防火墙怎么更换到域网络
以下是更换防火墙到域网络的基本步骤:
1. 在域控制器上创建计算机对象: 打开域控制器管理工具,创建一个新的计算机对象用于新防火墙。
2. 配置DNS: 在新的防尘型火墙服务器上,将DNS服务器配置为域控制器的IP地址。
3. 将服务器重新命名: 将防火墙服务器重新命名,以与之前的服务器不同。
4. 加入域: 将新防火墙服务器加入域网络,使其成为域成员。
5. 部署并配置防火墙: 安装并配置新防火墙,并根据需要设置防火墙规则和策略,确保新防火墙能够与域控制器和其他域孙散成员进行通信。
6. 测试防火墙连接: 对新防火墙服务器进行基本测试,确保它可以成功连接到域网络服务派凯猜器和其他域成员。
以上是更换防火墙到域网络的一般步骤,具体的操作步骤可能因不同的防火墙和网络环境而异。如果您不确定如何进行操作,请参考防火墙和域网络的相关文档或请咨询有相关经验的专业人员获得帮助。
E. 检查代理服务器和防火墙怎么弄啊
检查代理服务器和防火墙的方法如下:
1、按“Win+R”组合键打开运行,输入:%%\etc点击确定打开文件夹;2、删除文件夹中的“hosts”文件;3、在开始菜单右键选择“命令提示符(管理员)”携告;4、在命令提示符框中输入:/回车清除DNS缓存,清除完成然后辩宏明重启电脑。
如果防火墙设置不当,可能会绝樱阻塞与外网的信息交换,导致无法浏览网页。我们可以修改防火墙设置。
F. 防火墙设备怎么设置
问题一:如何设置本机的防火墙? 点击开始菜单,在弹出的菜单中选择控制面板,如图。
点击打开控制面板,选择系统和安全这一项,如图:
点击进入系统和安全设置界面,就可看到windows防火墙设置,如图:
在此处可以检查防火墙设置和允许程序通过防火墙设置,检查防火墙设置,如图可以选择打开或关闭防火墙。
设置程序是否通过绩火墙,如图:
问题二:如何设置电脑防火墙 控制面板/安全中心/Windows防火墙/点选“启用”按确定就可以了,不用特殊设置,就是默认设置,如果设置不对容易出现错误,这样你可以按“高级”,按场面的还原默认设置按确定即可。
问题三:电脑本机防火墙怎么设置 1桌面右下角任务栏,右键更改window 防火墙设置。
2进入window防火墙页面,选择启用后,确定退出即可。
问题四:如何设置允许软件通迅迅过防火墙 1、首先进入开始菜单,然后在菜单中找到控制面板,单击控制面板这个选项旦简进入控制面板窗口界面,如图所示
2、进入到控制面板界面,在这个界面上可以看到系统自带的控制面板选项,找到Windows防火墙选项并单击它,如图所示
3、接着就进入了在Windows防火墙主页面,在这个主页面左上方找到允许程序或功能通过防火墙,然后单击这个选项,如图所示
4、这时候就到了允许程序通过Windows防火墙通信界面,这个界面上我们可以添加或者删除程序(添加你要通过防火墙的程序,删除你不想要它通过防火墙通信额程序),根据自身需要来选择
注意:不要为陌生的软件程序开启通过防火墙的功能,这是很危险的事情,很容易被黑客利用而达到入侵的目的
5、添加要通过防火墙通信的软件
单击允许运行另一程序,这时候弹出来一个框,在框中上下移动选择你要添加的软件程序,选中这个程序然后单击添加按钮即可。
6、删除要通过防火墙通信的软件
在窗口中选中你要删除的软件,然后单击下方的删除按钮,这时候会再弹出一个框提示你是否确定删除,确定删除单击确定就可以了。
问题五:怎么调整防火墙设置? 15分 好办 你要是家里的话 就先关网 再关防火墙 然后装 在全开 要是网吧的话 就比较麻烦了
问题六:手机怎么设置防火墙 设置ip地址,打开或者关闭就行了
问题七:怎样设置防火墙的安全级别 打开“开始按钮”(屏幕左下角有开始两个字的地方),找到“控制面板”(也可以打开我的电脑,在左侧的菜单栏能看到),找到“windows 防火墙”,选择允许程序或功能通过windows防火墙中进行你需要的修改,或者是在“高级设置”中,修改入站和出站规则,把你想要不防范的那个软件勾选,让它不论入站出站都不收阻碍。名称可能有少许出入,因为我现在用的是sin7系统。你试试行不行,不行你继续追问
问题八:系统防火墙怎样设置才是最好的? 新一代操作系统WINDOWS XP已正式发布,它增加了许多十分重要的新的网络功能,例如Internet连接防火墙(ICF)就是充当网络与外部世界之间的保卫边界的安全系统。Internet连接防火墙(ICF)是用来限制哪些信息可以从你的家庭或小型办公网络进入Internet以及从Internet进入你的家庭或小型办公网络的一种软件。
如果网络使用Internet连接共享(ICS)来为多台计算机提供Internet访问能力,则建议你应该在共享的Internet连接中启用ICF。ICS和ICF也可以单独启用,比如说可在直接连接到Internet的任何一台计算机上启用ICF。
一、工作原理
ICF被视为状态防火墙,状态防火墙可监视通过其路模昌裤径的所有通讯,并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端,ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中,ICF将跟踪源自该计算机的通信。与ICS一起使用时,ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时(这说明通讯交换是从计算机或专用网络内部开始的),才允许将传入Internet通信传送给网络中的计算机。
源自外部源ICF计算机的通讯(如Internet)将被防火墙阻止,除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知,而是静态地阻止未经请求的通讯,防止像端口扫描这样的常见黑客袭击。
二、注意事项
ICF和家庭或小型办公室通讯――不应该在所有没有直接连接到Internet的连接上启用Internet连接防火墙。如果在ICS客户计算机的网络适配器上启用防火墙,则它将干扰该计算机和网络上的所有其他计算机之间的某些通讯。如果网络已经具有防火墙或代理服务器,则不需要Internet连接防火墙。
ICF和通知消息――由于ICF检查所有传入通讯,而某些程序(尤其是电子邮件程序)可能在启用ICF时做出不同动作。如定期查询新邮件、等待电子邮件服务器的通知等。
高级ICF设置――ICF安全记录功能可以提供一种方式来创建防火墙活动的日志文件。ICF能够记录被许可的和被拒绝的通信。例如,默认情况下,防火墙不允许来自Internet的传入回显请求通过。如果没有启用Internet控制消息协议(ICMP)“允许传入的回显请求”,那么传入请求将失败,并生成传入失败的日志项。
三、实战防火墙
1.启用或禁用Internet连接防火墙
打开“网络连接”,
单击要保护的拨号、LAN或高速Internet连接,然后在“网络任务”→“更改该连接的设置”→“高级”→“Internet 连接防火墙”下,选择下面的一项:
若要启用Internet连接防火墙,选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框。若要禁用Internet连接防火墙,请清除此复选框。
2.安全日志文件
使用ICF安全日志,你可以:
登录放弃的数据包――这将登录来源于家庭、小型办公网络或Internet的所有放弃的数据包。
当你选择“登录放弃的数据包”复选框时,每次通信尝试通过防火墙却被检测和拒绝的信息都被ICF收集。例如,如果你的Internet控制消息协议没有设置成允许传入的回显请求,如Ping和Tra......>>
问题九:网络防火墙怎么设置 网络防火墙在哪里设置 1、首先需要了解电脑防火墙的位置,最简单的办法就是进入控制面板,找到windows 防火墙,打开就可以进入到具体设置页面。
2、打开电脑windows防火墙后,如果仅仅是想禁用或者启用防火墙,那么直接选定“启用”或者“关闭”,然后确定就可以了。
3、启用防火墙之后,如果想让一些软件可以进行网络连接,对另外一些程序和服务禁用网络连接,那么可以在电脑windows防火墙中选择例外菜单,如果要禁用已经联网的程序或服务,只需将勾选去除,按确定就可以了。
4、如果有一些你需要的程序或服务没有在例外列表中,而你的防火墙又是开启的,那么这部分程序和服务就不能连接外网。添加方法如下,点击例外菜单下的添加程序按钮,然后在新窗口列表中选择你要添加的程序,选择确定保存就可以了。
5、如果你设置了很多例外,到最后都想取消,取消一些不当的操作,只需要将防火墙还原为默认值就可以了,选择防火墙高级菜单,点击“还原为默认值”按钮即可。
6、还原后,也就是说以后有程序和服务要访问网络时,都会被阻止,这时你需要在例外菜单中设置,防火墙阻止程序时通知我,这样你就可以通过辨别来对某些有用的程序放行了。
7、最后建议将防火墙一直开着,这是保护你电脑不被利用的有利防线。
问题十:怎么设置防火墙允许端口 控制面板-〉防火墙-〉例外-〉添加端口