問題タブ [firewall]

Fedora Core 8 の新規インストールに VMWare Server 2.0 をインストールしました。VMWare の Web アクセス コンソールのポートは、デフォルトと同様に 8222 と 8333 です。

myserver:8222 へのリモート http アクセスを試みると失敗します。しかし、私が走るとき

アクセスが可能になります（あまり満足できませんが）。したがって、次のようにconfファイルを更新しました

それでも、iptables設定をリロードした後でも、まだ機能していません。私が間違っていることを誰かが知っていますか？

SQL Server 2005トランザクションレプリケーション用にどのポートまたは通信モードを開く必要がありますか？メインとスレーブは地理的に離れています。

ファイアウォールの背後にサーバーがあります。Web アプリケーション (Apache Tomcat の下の Java サーブレット) を実行し、ポート 443 (HTTPS) にのみ応答します。提供されるページにスクリプト コードはありません。フォームは HTTP POST を使用してフォームを受信し、(適切な入力フィルタリングを使用して) データを処理し、HTTP 結果ページを出力します。

現在、アプライアンス ファイアウォールを使用していますが、これは「ハードウェア フレーキー」です。より「産業用強度」の高いソリューションへのアップグレードを検討していますが、ベンダーは「ディープ パケット インスペクション」ソフトウェアのサブスクリプションを購入するよう強く求めています。彼は、Web サーバーでさえこの種の保護が必要であると主張しています。

確信は持てませんが、確かなセキュリティの背景がありません。ファイアウォールは「世界」と私のサーバーの間に位置し、「ポート転送」を使用して、ポート 443 と 22 (メンテナンス用) のみがサーバーに到達できるようにします。

では、このディープ パケット インスペクションが本当に必要なのか、そうでないのか?

この問題は、あなたの提案のおかげで解決されました。詳細は下部をご覧ください。どうもありがとうございました!

当社の ASP.NET Web サイトは、いくつかの特定の高度に安全な国際的な場所からアクセスされます。正常に動作していますが、非常に奇妙な動作を示す別のクライアント ロケーションを追加しました。

特に、ユーザーが検索基準を入力して検索ボタンをクリックすると、結果リストは空を返します。「0 件の結果が返されました」というテキストさえ表示されないため、Repeater コントロールがまったくバインドされていないかのようになります。同様の動作は、サイトの他の部分でも見られますが、すべてではありません。ユーザーはサイトに正常にログインでき、プロファイル情報が表示されます。

それらとまったく同じ資格情報を使用してローカルでサイトにログインしましたが、サイトはここから正常に機能します。慎重に手順を実行したので、ユーザーの問題ではないと確信しています.

検索結果ページが最初にロードされるときに、検索結果ページの Page_Load にバインドします (条件はクエリ文字列にあります)。すなわち

BindResults() メソッド呼び出しをコメント アウトすることで、まったく同じ動作をローカルで再現できます。

IsPostBack の値がどのように計算されるか知っている人はいますか? 非常に安全なファイアウォール設定により、別のページからのリダイレクトであっても IsPostBack が常に true を返す可能性はありますか? 問題は他の場所にある可能性があるため、それはニシンである可能性があります。ただし、結果を正確に複製します。

私はサイトにアクセスできないので、トラブルシューティングは指示を出し、結果を教えてもらうことに限られています。

御時間ありがとうございます！

追加情報: クライアントは、既定のルールを実行する Microsoft ISA 2006 ファイアウォールの背後にあります。このサイトは Internet Explorer の信頼済みサイト リストに追加され、FireFox と Google Chrome で試してみましたが、すべて同じ結果でした。

解決策：私にとっての勝者は、Fiddlerを使用するという提案でした。Web 開発者がなくてはならない優れたツールです。これを使用して、問題を再現するまで、リクエストからさまざまなヘッダーを取り除くことができました。このような紛らわしい問題でよくあることですが、実際にはこのバグを引き起こした 2 つの要因がありました。

要因 1 – 可能な場合、Web アプリケーションはすべての主要なブラウザーでサポートされている GZIP 圧縮を使用します。ファイアウォールは、GZIP 解凍サポート (Accept-Encoding: gzip、deflate) を指定するヘッダーを取り除いていました。

要因 2 – コードのバグにより、コンテンツが非圧縮で送信されるときに一部の処理がバイパスされました。この問題は、アプリケーションが GZIP 解凍をサポートしている限られた利用者によって使用されていたため、以前は気付かれませんでした。

インターネット ホスティング プロバイダーにデプロイされた Web アプリケーションがあります。この Web アプリケーションは、会社のアプリケーション サーバーにある IIS サーバーに展開された WCF サービスを使用します。会社のデータベースにデータ アクセスするために、ネットワーク担当者は、セキュリティ上の理由から、ファイアウォールを介してこの WCF サービスを公開することを許可しました。ダイアグラムは次のようになります。

[ホストされたページ] ---> (インターネット) ---> |ファイアウォール<Public IP>:<Port-X >| ---> [IIS と WCF サービス<Comp. Network Ip>:<Port-Y>]

また、wsHttpBinding を使用して、そのセキュリティ機能を利用し、重要な情報を暗号化したいと考えていました。

試してみると、次のエラーが表示されます。

例外の詳細: System.ServiceModel.EndpointNotFoundException: To 'http://:/service/WCFService.svc' を含むメッセージは、EndpointDispatcher での AddressFilter の不一致により、受信側で処理できません。送信者と受信者の EndpointAddresses が一致していることを確認してください。

調査の結果、wsHttpBinding が WS-Addressing 標準を使用していることがわかりました。この標準について読んで、SOAP ヘッダーが拡張され、「MessageID」、「ReplyTo」、「Action」、「To」などのタグが含まれていることがわかりました。

クライアント アプリケーションのエンドポイントがファイアウォールの IP アドレスとポートを指定し、サービスがファイアウォールの IP とは異なる内部ネットワーク アドレスで応答するため、WS-Addressing が上記のメッセージを送信すると推測しています。これは非常に優れたセキュリティ対策だと思いますが、私のシナリオではあまり役に立ちません。

WS-Addressing 標準提出の引用 ( http://www.w3.org/Submission/ws-addressing/ )

「現在広く使用されているさまざまなネットワーク技術 (NAT、DHCP、ファイアウォールなど) のため、多くの展開では、特定のエンドポイントに意味のあるグローバル URI を割り当てることができません。これらの「匿名」エンドポイントがメッセージ交換パターンを開始できるようにするには、 WS-Addressing は、安定した解決可能な URI を持つことができないエンドポイントで使用する次の既知の URI を定義します。 http://schemas.xmlsoap.org/ws/2004/08/addressing/role/anonymous "

ファイアウォールの IP アドレスを指定し、SOAP メッセージ ヘッダーの「To」WS-Addressing タグで指定されたアドレスを無視またはバイパスするように wsHttpBinding エンドポイントを構成するにはどうすればよいですか? または、サービス エンドポイント構成で何かを変更する必要がありますか?

ヘルプとガイダンスをいただければ幸いです。

マルコ。

PS:これに対する解決策を見つけましたが、basicHttpBindingを使用していますが、もちろん問題はありません。

「画像サーバー」（画像リクエストを処理するための専用サーバー）を追加し、.gif、.jpg、.png などのすべてのリクエストをリダイレクトすることで、Web サーバーの負荷を軽減しようとしています。

私の質問は、リダイレクトを処理する最良の方法は何ですか?

• ファイアウォールレベルで？(iptables を使用してこれを実行できますか?)
• ロードバランサーレベルで？(ldirectord はこれを処理できますか?)
• Apache レベルで - 書き換えルールを使用していますか?

これを行うための最良の方法についての提案に感謝します。

- アップデート -

追加したいことの 1 つは、これらはサード パーティ向けにホストされているドメインであるため、すべての開発者がコードを変更してイメージを別のサーバーに向けることを期待することはできないということです。

リモート Windows コンピュータをファイアウォールの背後にある Microsoft Active Directory サーバー ドメインに接続するには、ファイアウォールでどのポートを開く必要がありますか?

Windows XP コンピュータで Web サーバーを実行しています。着信 HTTP 接続を許可するようにファイアウォールを設定しました: [ファイアウォール設定] ウィンドウ -> [詳細設定] タブ -> ネットワーク接続を選択 -> [設定] -> [サービス] -> [Web サーバー (HTTP)] チェックボックスをオンにします。

通常、これは機能します。ただし、サーバー マシンを再起動すると、[ファイアウォール設定] ウィンドウで [Web サーバー (HTTP)] 例外がまだチェックされているにもかかわらず、ファイアウォールが再び HTTP 接続をブロックし始めることがあります。

その後、再び機能させる唯一の方法は、上記のオプションのチェックを外し、設定を保存し、ファイアウォールダイアログを再度開き、オプションをチェックして再度保存することです.

私の質問は、これは私のマシンの特殊性ですか、それとも Windows XP ファイアウォールのバグですか?

私は現在、ポート 80 と 443 を除いてネットワークがロックされているクライアントで作業しています。SSH を使用してサーバーに接続する必要がありますが、同じサーバーが Web サイトも実行しています。新しいサーバーに投資したり、2 番目のネットワーク カードを配置したりしたくありません。

Linuxサーバー（CentOS 5を実行）をセットアップするためにインターネットを検索していたので、ポート443でリッスンするデーモンがあり、クライアントプロトコルに応じてリクエストを正しい内部ポートに転送します（SSH 22またはHTTPSに移動しました別のport_.

インターネット上にはこの種のソリューションを探している人がたくさんいますが、これを行うための明確な指示はありません.

これを行う方法についてアイデア/明確な指示を持っている人はいますか?

よろしく、ニドキル

機密データを含む内部アプリを展開する予定です。一般的なインターネットには公開されておらず、内部ネットワークのみに公開されているマシンに配置することを提案しました。IT 部門は、1 つのアプリケーションのためにマシン全体を確保する価値はないと言って、この提案を拒否しました。（関連する場合に備えて、アプリには独自のドメインがありますが、URLに基​​づいてリクエストをブロックできないと言われました。）

アプリ内で、内部 IP アドレスからのリクエストのみを尊重するようにプログラムしました。私たちの内部アドレスはすべて異なるパターンを持っているため、リクエスト IP を正規表現と照合しています。

しかし、私はこの戦略に神経質になっています。なんだかジャンキーな感じです。これは合理的に安全ですか？