天道酬勤,学无止境

firewall

在 OS X 中使用 PacketFilter 透明代理数据包(Using PacketFilter to transparently proxy packets in OS X)

问题 有一个很酷的实用程序,叫做 sshuttle。 过去依赖ipfw来转发数据包。 看来ipfw在 Mavericks 中大多已损坏,建议现在为此使用 PacketFilter。 我花了一天的大部分时间查看 PacketFilter,看来ipfw有一个 PacketFilter 不支持的功能(希望我错了)。 以下规则: ipfw -q add 12300 fwd 127.0.0.1,12300 tcp from any to any not ipttl 42 keep-state setup 会将所有流量转发到 127.0.0.1 (localhost) 端口 12300。但是,它不会更改 TCP 数据包中的目标 IP 或端口。 这对于 sshuttle 很重要,因为它使用有关原始目的地的信息将数据包转发到另一个网络。 我能在 PacketFilter 世界中找到的最接近的规则是: rdr pass proto tcp from any to any -> 127.0.0.1 port 12300 此规则确实将流量发送到 127.0.0.1 (localhost) 端口 12300,但它还将目标地址重写为 127.0.0.1。 关于如何在 OS X 中获得行为 sshuttle 需要的任何想法?

2021-06-12 12:07:51    分类:技术分享    macos   networking   osx-mavericks   firewall   openbsd

speed up powershell's remove-netfirewallrule

I need to remove a lot of metro app related firewall rules in Windows 10 with powershell. It seems very slow compared to netsh or regedit. Anyway to speed it up? # clean firewall rules, deleting profile doesn't get rid of them # string (sid) 45 in length, no existing profiles # 9000 rules take about 90 minutes to delete $profiles = get-wmiobject -class win32_userprofile # I'm only dumping to a file to convert pscustomobject to string for sort get-netfirewallrule -all | select-object -property owner > out $list = get-content out | sort-object | get-unique | where-object { $_.trim().length -eq

2021-06-12 08:57:02    分类:问答    powershell   firewall

Paypal IPN 未调用问题(Paypal IPN not calling Issue)

问题 我有一些关于 Paypal IPN 没有在我的一台服务器上被解雇的问题。 下面是场景。 1)我有两个站点,站点 A(旧)在服务器 X 上,站点 B(新)在服务器 Y 上。这两个站点都具有相同的 Paypal 快速结账表提交和 IPN 代码。 2) 站点 A 运行顺利,paypal express 结账表格提交,IPN 被正确触发。 3) 但是对于站点 B,虽然我们的表单被正确提交并且付款成功,但 IPN 并没有被解雇。 更多信息:我检查了 Paypal 的业务 A/c 是否有任何可能需要在 IPN 所在的位置添加 IP/域的功能。 我还与 Paypal 支持人员核实过,他们说从 2014 年 3 月 25 日起,他们已告知将 Paypal 的 API 相关 IP 地址添加到我们的服务器防火墙。 我们已经添加了这些 IP 地址,但仍然无法正常工作。 URL : https://ppmts.custhelp.com/app/answers/detail/a_id/14/related/1/session/L2F2LzEvdGltZS8xNDAxMTcyODkwL3NpZC9VbENEUWhWbA%3D%3D 希望以下信息对您来说足够了。 请建议我们中的任何人是否有一些解决方案要克服。 提前致谢。 回答1 不幸的是,没有太多特定问题的信息可供我使用,因此让我们将此作为 IPN

2021-06-12 03:19:46    分类:技术分享    php   paypal   paypal-ipn   firewall   express-checkout

Recaptcha - 在中国的可用性 [关闭](Recaptcha - Availability in China [closed])

问题 关闭。 这个问题是基于意见的。 它目前不接受答案。 想改善这个问题吗? 更新问题,以便通过编辑这篇文章用事实和引文来回答问题。 6年前关闭。 改进这个问题 我们正在开发一个需要使用验证码服务的网站。 有没有人成功地将 Google Recaptcha 用于中国大陆用户的网站? 您是否在加载时间方面遇到了重大问题? 您是否遇到过任何可靠性问题? 中国伟大的防火墙有什么问题吗? 任何您可以分享的经验都值得赞赏。 回答1 如果没有 VPN,我什至无法打开您链接到的 Recaptcha 页面。 过去两年我一直在北京。 假设您不在这里和/或不太了解中国的基础设施情况: 我不知道谷歌的任何服务可以可靠地从大陆快速到达。 从这里开始,他们可能是最糟糕的选择。 一般来说,如果你想要稳定和速度,你需要在中国境内托管。 防火墙经常使任何地方的国际站点从极其缓慢到完全无用。 如果在这里托管太头疼和麻烦,我的理解是香港是次优的。 即使你在中国,如果你想要真正的速度和稳定性,你也必须处理电信间的情况(他们并不总是像我们在西方习惯的那样互相“友好”,这需要更昂贵和更复杂的托管设置来缓解)。 注意:正如上面提到的,阿里巴巴和百度的云托管解决方案可能会使这变得更简单,并且可以帮助我避开一些 ICP 许可证的东西。 本地开发商建议的替代方案:http://www.yinxiangma.com/ 全中文

2021-06-12 00:24:23    分类:技术分享    firewall   recaptcha

How can I block some special User-agents Via IPTables

I need to block packets from any source that includes some special User agents using IPTables. But I don’t want to manage it via .htaccess or Apache. Is there any way?

2021-06-11 16:03:46    分类:问答    user-agent   firewall   iptables

源端口与目标端口(Source Port vs Destination Port)

问题 我是 TCP/IP 新手,正在努力学习基础知识。 好吧,我真的很想知道防火墙的入站规则和出站规则以及源地址:端口,目标地址:端口的概念。 例如,我正在调查端口 80。我知道 http 使用端口 80。但是当我尝试侦听流量时,我发现我的浏览器不使用 80。正如您从图像中看到的,仅使用了目标端口 80,并且“目标" 应该是托管网页的服务器,而不是我的电脑。 而且源端口上也没有使用端口 80,“源”应该是我的电脑。 我的浏览器使用其他一些端口作为源并转到服务器端口 80。由此,我了解到我的计算机的端口 80 不用于 http,只有托管网页的服务器计算机使用端口 80,但如果我关闭端口 80 或我的计算机从出站规则互联网 dooes 不工作。 但正如我之前从图像中了解到的,我的计算机上没有使用端口 80。 真的很迷茫。 有人可以为我澄清一下吗? 回答1 您是对的:通信从您的计算机(“随机”选择的源端口)到 Web 服务器(目标端口 80)。 并从 Web 服务器(源端口 80)到您的计算机(目标端口 xxxxx)以获取服务器的响应。 如果您在出站规则中关闭端口 80,您的计算机将无法访问任何 Web 服务器,因为此规则意味着您的防火墙会丢弃从您的计算机发送到端口 80 上的目的地的任何数据包。 编辑 实际上,您发送的数据包包含以下参数: your_IP, server_IP

2021-06-11 10:36:57    分类:技术分享    tcp   port   firewall

html5 websockets 会被防火墙削弱吗?(Will html5 websockets be crippled by firewalls?)

问题 我对 html5 的 websockets 规范感到非常兴奋,但我有一个担忧。 如今,每个人都在某些网络上运行,路由器(有线/无线)内置防火墙,Windows 也内置防火墙。 考虑到这一点,当服务器尝试连接回启动 websocket 握手的浏览器时,绝大多数用户会失败吗? (大多数人不知道如何在他们的路由器上设置端口转发) 还是我的想法不正确,它会顺利通过? 回答1 我不是专家(所以请检查确认)但我相信会有一个 UPGRADE 机制,可以建立一个常规的 HTTP 连接,然后升级到一个 WebSocket,所以没有现有的防火墙规则干扰,除非他们正在做积极的应用程序级别数据包检查。 连接仍由浏览器发起。 回答2 HTML 5 WebSockets 不需要端口转发。 继续从客户端建立连接,但是一旦建立连接,客户端和服务器的不对称性就会消失。 WebSockets 还通过使用今天 HTTPS 使用的相同 CONNECT 机制来穿透代理。 回答3 由于防火墙通常只是强制执行入站流量拒绝和出站流量路由规则(通常通过代理服务器),因此通常没有与 WebSocket 流量相关的特定防火墙问题。 代理服务器(在某种程度上,某些负载平衡路由器也是如此)是另一回事(请参阅为什么当前的 websocket 客户端实现不支持代理?)

2021-06-11 00:38:15    分类:技术分享    sockets   html   firewall   websocket   portforwarding

如何使用反向 SSH 隧道绕过防火墙和 NAT(How to bypass firewall and NAT with reverse SSH Tunnel)

问题 我正在尝试在路由器后面的机器中生成 SSH 服务器。 首先,我尝试将 SSH 绑定到我的公共 IP 地址: ssh -R 10002:localhost:22 <ip_address> 然后系统提示我输入密码请求,但是我的用户名密码似乎不起作用。 显然我知道我的用户名密码,所以在我看来它试图在同一网络下的另一台计算机上进行身份验证。 任何建议如何解决这个问题? 当您无权访问路由器时,它还可以帮助我了解如何在路由器后面创建 SSH 服务器的任何替代方法。 iptables 中的端口都是开放的。 更新 正如 Thomas Oster 的回答所建议的那样,我尝试了以下方法。 在路由器后面的机器中,我执行了以下命令: $ ssh -R10002:localhost:22 <remote_public_ip_address> -l <my_remote_server_username> <remote_ip_address>是我可以完全控制的具有公共 IP 和 SSH 服务器的服务器的 remote_ip_address。 <my_remote_server_username>是远程服务器用户名。 之后,我尝试从远程服务器连接到路由器后面的服务器,如下所示: $ ssh -p 10002 <remote_public_ip_address> 但是,此命令显示以下输出: ssh

2021-06-10 21:31:02    分类:技术分享    ssh   firewall   NAT   ssh-tunnel

Questions about add firewall exception in wix installer by firewall extension

I am new to Wix installer. I am trying to add firewall exception for my program. My code is as follow: <Component Id="_VIEW.EXE" Guid="*" Transitive="yes"> <File Id="view.exe" Name="view.exe" KeyPath="yes" Source="$(var.INSTALLSOURCE)\view.exe"> <fire:FirewallException Id="view_firewall_domain_tcp" Name="View" Protocol="tcp" Scope="any" IgnoreFailure="yes" Profile="domain" /> <fire:FirewallException Id="view_firewall_domain_udp" Name="View" Protocol="udp" Scope="any" IgnoreFailure="yes" Profile="domain" /> <fire:FirewallException Id="view_firewall_private_tcp" Name="View" Protocol="tcp" Scope=

2021-06-10 19:03:48    分类:问答    exception   windows-7   wix   installation   firewall

如何检查 iptables 中每个规则的命中计数?(How can I check the hit count for each rule in iptables?)

问题 我想知道如何从我使用 iptables 创建的访问列表中找出访问了哪个规则以及访问了多少次。 我的防火墙在 iptbales 中有超过 1000 条输入和输出规则; 我想找出他们每个人被访问的次数。 例如,假设我有以下规则: iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state

2021-06-10 11:20:45    分类:技术分享    linux   firewall   iptables