Tag Archives: firewall

Cisco 與 Fortinet 防火牆的 RCE 漏洞

NSA 使用這些漏洞來大量監聽企業的流量:「Leaked Exploits are Legit and Belong to NSA: Cisco, Fortinet and Snowden Docs Confirm」。 Cisco 已經確認這個安全性漏洞了,全系列包括已經停產的 Cisco PIX、上個世代的 Cisco ASA 5500 (但還有些型號還在賣),以及目前主力的 Cisco ASA 5500-X,另外還包括了安全模組系列也中獎:「Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerability」。 Cisco ASA 5500 Series Adaptive Security … Continue reading

Posted in Computer, Hardware, Murmuring, Network, Political, Security, Social, VPN, WWW | Tagged , , , , , , , , , , , , , , , , | Leave a comment

DigitalOcean 提供 Floating IP 功能

DigitalOcean 推出的新功能,可以註冊 IP 並且動態掛到某個 droplet 上:「Floating IPs: Start Architecting Your Applications for High Availability」。 如果沒有掛到 droplet 上會收取 USD$0.006/hour 的費用,以一個月 720 小時來計算,大約是 USD$4.32/month。另外也限制在同一個 data center 內才能換來換去。 類似的功能在 Linode 很久前就有了 (2007 年底),雖然不是完全一樣:「Support for High Availability / IP Failover」,但 Amazon EC2 的 Elastic … Continue reading

Posted in AWS, Cloud, Computer, Murmuring, Network | Tagged , , , , , , , , , , , , , , , , | Leave a comment

AWS WAF (Web Application Firewall)

Amazon 推出了 AWS WAF,也就是 Web Application Firewall:「New – AWS WAF」。 架構在 CloudFront 上的安全服務,可以想像到會依照 request 數量收費外,rule 本身也要收費,不太便宜的感覺: AWS WAF is available today anywhere CloudFront is available. Pricing is $5 per web ACL, $1 per rule, and $0.60 per million HTTP requests. … Continue reading

Posted in AWS, CDN, Cloud, Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , | Leave a comment

用 Intel 網卡上的 Flow Director 過濾封包

在「Traffic filtration using NIC capabilities on wire speed (10GE, 14Mpps)」這邊看到的技巧。 作者建議另外安裝 driver,因為 Linux kernel 內的 driver 功能有限:「Intel Ethernet Drivers and Utilities」。 重點在 ethtool 這個工具,可以看到條件設定: ethtool --help: ethtool -N|-U|--config-nfc|--config-ntuple DEVNAME Configure Rx network flow classification options or rules rx-flow-hash tcp4|udp4|ah4|esp4|sctp4|tcp6|udp6|ah6|esp6|sctp6 m|v|t|s|d|f|n|r... … Continue reading

Posted in Computer, Hardware, Linux, Murmuring, Network, OS, Security, Software | Tagged , , , , , , , , , , , , | Leave a comment

m0n0wall 的終結

m0n0wall 算是元老級的 firewall 套件,看到「End of the m0n0wall project」這個消息還是有點感慨啊... 有很多類似的 project 興起取代掉了 m0n0wall 的位置 (像是 pfSense),這讓我想到前陣子 esr 在「Defending GCC considered futile」提到 GCC 的沒落時講的話: Obsolescence happens; this is nobody's fault. It will happen to clang/LLVM someday, too, but today is not that … Continue reading

Posted in Computer, Murmuring, Network, Security, Software | Tagged , , | Leave a comment

用 Docker 測試 Mesos

照著「Deploy a Mesos Cluster with 7 Commands Using Docker」上面的方法做,遇到一些小狀況,解決後總算是搞定了。 文章作者的目的是利用 Docker 在不弄髒環境下讓人很容易上手測試,不需要處理一堆 Java 以及設定檔的問題。讓沒有用過的人可以感受一下 Mesos 與 Marathon 的界面與操作。 總共會跑起四個 docker instance,分別是 ZooKeeper、Mesos Master、Marathon、Mesos Slave Container。 我遇到的問題是我在 Ubuntu 上面的 UFW 設為 default deny,造成這四隻程式之間溝通不良,最後是針對 docker0 這個 interface 放行: # ufw allow in … Continue reading

Posted in Computer, Murmuring, Software | Tagged , , , , , , , | Leave a comment

用 pfSense 架設 Firewall (以及 NAT)

pfSense 是一套很不錯的 firewall 以及 NAT 服務,上面還可以跑一切服務 (像是 OpenVPN 或是 Squid),不過後來都是用商用的硬體方案來處理... 看到「Build your own pro-grade firewall」這篇突然想到要查 pfSense 是否可以 High Availability,如果做的夠好的話,其實可以用兩台機器來跑,成本相對低很多。 結果查到這篇官方文件「Configuring pfSense Hardware Redundancy (CARP)」,裡面有幾個關鍵字,像是 XMLRPC Sync 似乎暗示了設定也可以同步? 官方文件裡的配置圖。 該測試看看了,兩台 server 也才十萬,但兩台能跑到 500Mbps+ 的硬體防火牆的價錢就貴多了... (不過比較省電?)

Posted in Computer, Murmuring, Network, Security, Software, VPN | Tagged , , , , , , , , | 1 Comment

用 UFW 控制 iptables

之前都是自己設定 iptables,這次灌完家裡的系統後用 UFW 設定,對於基本的 firewall 功能來說相當簡單,但也夠用了: sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw enable 如果有需要開某些 port 也可以設定,比起之前自己設 INPUT policy 方便...

Posted in Computer, Linux, Murmuring, Network, OS, Security, Software | Tagged , , , , | Leave a comment

Debian 重開機後維持 iptables 設定值的作法

標題所提到的問題在 lenny 以及更早的版本沒有標準解,一般 Google 到的解法是在 /etc/network/if-up.d/ 裡面放一個 script,當介面起來的時候會跑 iptables-restore 把 iptables 的規則倒回去,這是「會動」的方法,但我不喜歡這種 hacking... 剛剛找到 iptables-persistent,在 squeeze 以及 sid 都可以裝,雖然沒有文件,但看了一下程式很快就可以理解他的用法。 在 apt-get install iptables-persistent 安裝完畢之後,理論上就會把 script 裝好,並且把目錄建好,接下來只要跑 iptables-save > /etc/iptables/rules 就可以把目前的 iptables 設定倒進去。 這個方式看起來會是比較好的作法...

Posted in Computer, Linux, Murmuring, Network, OS, Security, Software | Tagged , , , | 6 Comments