問題タブ [firewall]

プロキシ経由で Web サービスを呼び出すシステムがあります。これは、HttpWebRequest を使用して C# でコーディングされています。これらの通話の速度に長い間問題があり、追跡しようとしていました. 関係のない会話の中で、運用担当者の 1 人が、私たちが行っていたポートが、HTTP 1.1 呼び出しを移植するための最適とは言えない (バグのある) 実装を備えたファイアウォール ソフトウェアを使用していたことに言及しました。案の定、1.1 の代わりに HTTP 1.0 を使用するように Web 要求を削除したところ、速度は即座に 2 倍になりました。キープアライブは不安定すぎるため、すでに無効にしていました。

質問: 短期的には、キープアライブと HTTP バージョン以外に、HttpWebRequest 呼び出しの側面を変更することで速度をさらに向上させる可能性のある変数はありますか? ファイアウォール ソフトウェアの内外を知らずに判断するのは難しいと思いますが、私はまだそれを知りません。

さらに重要なことは、別のポートに新しいバージョンのソフトウェアがあり、明らかにはるかに優れており、HTTP 1.1 を完全にサポートしていることです。HTTP 1.1 とキープアライブに切り替えることで、応答時間の大幅な増加を期待できますか?

ユーザーがシステムにダイヤルインできるようにします。

ダイヤルインシステムでファイアウォールを実行し、デフォルトですべてのアクセスをブロックし、特定のルールを追加することによって特定のサーバーへのアクセスのみを許可します。

サーバーに接続するWebサービスがあります。サービス呼び出しはSSLを介して行われます。

SSL証明書はGoDaddyからのものです。

サービスに初めて接続するときに、何かがSSL証明書を検証しようとすることがわかりました。ポート80を介してMicrosoftIPアドレスにパケットがドロップされています。

Microsoft IPへのアクセスを許可すると、ソフトウェアは完全に機能します。

IPがランダムであるという問題があるため、いくつかの異なるIPホストを追加しています。

ある種のSSL検証システムか何かのように見えます...誰かがこのようなものに遭遇したことがありますか？または、ファイアウォールで許可できるIPまたはホスト名のブロックを知っていますか？

BizTalk (2006) オーケストレーションから Web サービスを呼び出そうとしています。

基本のコツをつかんだので、このチュートリアル(74 ページ以降) に従っています。このチュートリアルでは、外部 Web サービスへの Web 参照があります (チュートリアルの Web サービスではなく、この Web サービスを使用しています)。 Web メッセージを送信コンポーネントに追加し、Web サービス呼び出し用の要求/応答ポートを設定しました。

すべてが正しく設定されていることは確かですが、オーケストレーションは次のエラーで Web サービスを呼び出すことができません。

アダプターは、送信ポート "My_Order_Processor.Orchestration-CurrencyConvertPort-36c122f41c5596ae" へのメッセージを URL " http://www.webservicex/net/CurrencyConvertor.asmxで送信できませんでした。

WebException: リモート サーバーに接続できません。

SocketException: 既存の接続がリモート ホスト 209.162.186.60:80 によって強制的に閉じられました

IP 209.162.186.60 は、接続しようとしている Web サービスのアドレスです。エラーの理由を絞り込もうとしています。たとえば、次のようになります。

• ファイアウォールの問題
• プロキシ サーバーの問題 (プロキシ サーバーを使用するように BizTalk を構成する方法がわからない)
• 他の何か

BizTalk サーバーは Web サービスに ping を実行でき、(IE を介して) インターネットにアクセスでき、WebReference をプロジェクトに正常に追加できます (つまり、少なくともオーケストレーション デザイナーは Web サービスに問題なくアクセスできます)。別の Web サービスも試しましたが、結果は同じでした。

これがなぜ起こっているのか、または詳細情報を見つける方法を見つけるためのアイデアはありますか? (BizTalk は初めてです)

たとえば、ファイアウォールやルーターなどの背後に2台のコンピューターがあります（つまり、着信接続がありません）。どこかにある特別なサーバーを経由せずに、TCP / UDPプロトコルを介して2つを接続する方法はありますか？私はSkypeがそのようなことをしていることを知っていますが、おそらく正確ではありません。

ありがとう。

OS X 10.5を使用していて、アプリケーションがインターネットにアクセスしようとしているかどうかを検出する方法を探しています。この時点で、定義する一連のルールに一致するアプリケーションをブロックしたいと思います。

特定のポートへのアクセスをブロックするために使用できると私が認識しているipfwUnixコマンドがありますが、これはすべてのアプリケーションに影響します。マニュアルページを読みましたが、ipfwを使用してアクセスをブロックする方法はわかりませんでしたが、特定のアプリケーションに制限しました。

私の主な問題は、ネットワークへの外部アクセスを取得しようとしているアプリケーションを検出することです。プログラムでこれを行う方法が必要です。MacOSXAPIまたはUnixコマンドを使用するかどうかにかかわらず、これをどのように実現できますか？

更新： 基本的にはリトルスニッチがやっていることをやりたいのですが、リトルスニッチが好きではないので自分で一から書きたいと思っています。アプリケーションネットワークのサンドボックス化を実現できるAPIと、Little Snitchがこれをどのように正確に実行できるかを知る必要がありますか？

Javaサーブレットのポート80を通過するようにRMIを設定したい。（ファイアウォールを通過するため）Tomcatサーバーがあり、RMIhttpリクエストをキャッチしてそれをに渡すモジュールを探しています。サーバーマシンのRMIレイヤー。RMIがこれを自動的に処理することを読みました。

これへのステップバイステップガイドはありますか？または、サーバーにインストールするwarファイルだけですか？

ありがとう。

仕事で開発しているMySQL Dbで、WorkbenchなどのMySQLソフトウェアのいくつかを試してみたいと思っています。何度も接続に失敗した後、最終的にサーバー管理者の 1 人に何か間違ったことをしていないか尋ねたところ、Db がファイアウォールの背後にあることがわかりました。サーバー側にインストールされているため、phpMyAdminを使用できますが、Excel、Workbenchなど（私のマシンから）は使用できません。

そのため、サーバーへの VPN のような接続を確立するためのかなり標準的な方法があるかどうかを知りたい. 現在、SSH クライアントを使用して問題なく接続しています。しかし、明らかにそれは私のローカルアプリをサーバーにリンクしていません。では、システム全体 (いわば) がサーバーにサインオンしていると見なされるような方法で接続を確立できますか? VPN は私ができる最も近い例えですが、それは選択肢ではありません。

と....

それはかなり「ブラック ハット」と見なされているのでしょうか、それとも私にはどうすればよいかわかりませんが、すべてのクールな子供たちは合法的にやっているのですか?

ありがとう

クライアントのオフィスのネットワーク内にあるマシンにSSH（ルートアクセス）経由でアクセスしました。

LDAPに統合する必要のあるPHPアプリケーションをコンピューターでプログラミングしています。LDAPサーバーはクライアントのネットワークの別のサーバーにあり、外部からアクセスすることはできませんが、SSH経由で接続できるサーバーを介して完全にアクセスできます。

私の質問は次のとおりです。とにかく、ネットワーク上のコンピューターの1つへのSSH接続を使用してトラフィックをLDAPサーバーに転送するために、コンピューターにトンネルを作成してポートを設定できますか？

ありがとう！！！！

このように、MacbookにSSHトンネルをセットアップしました...

したがって、localhost:22222 に ssh でき、ファイアウォールの背後にある gitosis-server に到達します。

ローカルの id_rsa.pub ファイルを作成し、それを gitosis サーバー (Centos5 を実行) にコピーし、次を使用して gitosis にインポートしました...

だから...私はこのコマンドがうまくいくはずだと思っています...

ただし、パスワードを要求することはありません....公開鍵が機能している必要がある場合。

ファイアウォールの背後にある gitosis サーバーまで git を機能させるためのアイデアはありますか?

ありがとう、
マット

編集 - SSH 試行からのデバッグの追加

「ssh -vvv gitosis@gitosis-server」というコマンドを実行しました。デバッグが戻ってきましたが、私のアイデンティティが気に入らないようです。

編集2

OK...間違いなく悪いキーです。すべてのキーを再度確認したところ、もちろん、gitosis-server がauthorized_keys ファイルに不正なキーを保持していることがわかりました。

debug1: userauth-request for user gitosis service ssh-connection method none debug1: 試行 0 失敗 0 debug1: PAM: 「gitosis」の初期化中 debug1: PAM: PAM_RHOST を「firewall.domain.com」に設定 debug1: PAM: PAM_TTY を「ssh」に設定 debug1: userauth-request for user gitosis service ssh-connection method publickey debug1: 試行 1 失敗 1 debug1: pkalg/pkblob が受け入れられるかどうかをテストします debug1: temporary_use_uid: 102/103 (e=0/0) debug1: 公開鍵ファイル /var/lib/gitosis/.ssh/authorized_keys を試しています debug1: restore_uid: 0/0 debug1: temporary_use_uid: 102/103 (e=0/0) debug1: 公開鍵ファイル /var/lib/gitosis/.ssh/authorized_keys2 を試しています debug1: restore_uid: 0/0 FIRE.WALL.IP.ADDRESS ポート 52453 ssh2 からの gitosis の公開鍵の失敗

gitosis サーバーの authorized_keys ファイルを詳しく調べてみましたが、正しくありませんでした。ワークステーションから /tmp にコピーした公開鍵ファイルを再確認したところ、正しいものでしたが、authorized_keys にあるものとは異なりました。サーバー上のauthorized_keysファイルを削除し、「sudo -H -u gitosis gitosis-init < /tmp/id_rsa.gitosis.pub」を再実行しました。authorized_keys ファイルをもう一度確認しましたが、それでも間違っていました。

私は、authorized_keys を編集して正しいキーを追加することで、手動で更新しました。その後、1 回か 2 回、トンネルを介してワークステーションから動作するようになりました。その後、以前のように機能しなくなりました。私はgitosisサーバーのauthorized_keysファイルに戻りましたが、確かに....gitosisはそれを機能しない古いキーに戻しました。

なぜこれをやっているのですか....悪い公開鍵に戻っています....上記のコマンドで追加しようとした後でも...変更に失敗しました....その後、手動で変更しました....これは機能しましたが、git は再び悪い状態に戻りました。

gitosis は、最初に入れたキーを記憶し続けているようなものです....そして、それを正しいキーに変更させてくれません。

もどかしい...

マット

Live Messenger や Google トークのデスクトップ クライアントなどのインスタント メッセージング アプリケーションを使用すると、コンピュータ間でファイルを転送できます。確かなことは言えませんが、コンピューター間で転送されるデータが Microsoft や Google の IM サーバーを経由せず、IM ソフトウェアを搭載した 2 台のコンピューターが互いに直接通信していることは確かです。クライアント間のこの直接接続が確立されているかどうか、またはどのように確立されているか、また同様のものを自分で実装する方法を考えています。

私はパーソナルネットワークでの作業経験がありますが、クライアントとサーバーの関係しか理解していません。サーバーは常にリッスンしており (ポートはファイアウォールによってブロックされていません)、クライアントはデータが必要なときはいつでもサーバーにリクエストを送信します。