问题[firewall](computer)

我的服务器pf.conf文件包含以下行（以及其他协议的行）：

block in proto udp all
pass out proto udp all

现在该服务器需要通过UDP广播检查一些邻居机器的状态：

• 它在任意地址上打开一个 UDP 套接字；操作系统为其分配一个端口
• 它使用此套接字向明确定义的端口发送广播 UDP 消息
• 同一网络中的主机使用单播或广播回复此消息，回复到服务器使用的同一端口
• 服务器记录这些响应，并能判断是否有任何相邻的机器发生故障

举个例子：

• 我的服务器 192.168.1.1 发送一个 UDP 数据包192.168.1.1:52361 -> 192.168.1.255:4545
• 主机 192.168.1.3 回复192.168.1.3:4545 -> 192.168.1.1:52361
• 主机 192.168.1.4 回复192.168.1.4:37243 -> 192.168.1.1:52361
• 主机 192.168.1.5 回复192.168.1.5:4545 -> 255.255.255.255:52361
• 服务器注册 192.168.1.{3,4,5} 已启动并正在运行。

现在的问题是 PF 阻止我的应用程序接收这些响应。Tcpdump 显示响应正在流入，但应用程序没有收到任何内容。如果我禁用 pf，我会得到我期望的响应。

我可以添加什么来pf.conf获取答复？

我有两台电脑；一台运行 gpsd，一台用于gpspipe -w 192.168.90.1查询数据。

GPSD 监听端口 2947，我想用 iptables 阻止它。我已经尝试了很多规则，但我仍然可以看到 gpspipe 的输出，但我不希望出现这种情况。

我开始的主要规则是

iptables -A OUTPUT -o usb0 -p tcp --dport 2947 -j DROP
iptables -A OUTPUT -o usb0 -p udp --dport 2947 -j DROP
iptables -A INPUT -i usb0 -p tcp --dport 2947 -j DROP 
iptables -A INPUT -i usb0 -p udp --dport 2947 -j DROP 

我也尝试过FORWARD链条但没有运气。iptables 的手册页也令人困惑。

我需要做到这一点，这样端口 2947 上就不会出现任何问题，而 iptables 似乎对此完全无能为力。难道我做错了什么？

我正在 Win 11 Pro 计算机上设置 FTP 服务。我在 Windows Defender 防火墙中启用了 FTP 规则，如下所示：

但是，在相邻的 PC 上，我无法远程登录到端口 21。但是如果我完全关闭 Windows Defender 防火墙，那么它就可以工作。这应该确认 FTP 服务器运行良好。

哪里/还有什么可能阻止 FTP 访问？

在每个规则的常规/操作下，选择的选项是Allow the connection。

我的 ER605 路由器有一个辅助网络，用于隔离连接的设备（树莓派）。我用它来隔离和扫描来自可疑来源的传入文件（例如我姻亲的计算机永远受到恶意软件的影响）。我需要能够访问 pi 并将扫描的文件渗透到我的主网络。我计划使用 VNC 进行访问，并通过 SMB 共享将确定的文件直接放在我的 QNAP NAS 上。

ACL 规则 5 阻止从隔离网络到我的主网络的通信。为了让 VNC 从我的主网络连接到我的隔离 pi，我最初添加了规则 4，但这是不够的（在线阅读建议我需要一个用于返回消息的 ACL），因此我添加了引用 VNC 服务的规则 3 的版本，并且还是失败了。一时兴起，我尝试创建 VNC_duplex 服务定义，该定义交换源端口和目标端口，并将规则 #3 从 VNC 服务更改为 VNC 双工，并且 viola VNC 工作了！

我很高兴这能起作用，但我不确定为什么，或者它是否安全。我是否正确理解 ACL 规则 3 允许恶意脚本从树莓派上的任何端口向我的主网络上任何设备上的端口 5900 发送消息？理解这一点的语义方式是什么？它可以变得更安全吗？

我的网络和 VLAN：

我还设置了一些 IP 范围来描述我想要分段/授予访问权限的网络区域：

我的服务类型（最后四种是我自定义输入的）：

最后是我的 ACL：

我有一个托管网络，有 40 个用户、4 个托管交换机、VLAN、双广域网、多个接入点。Proliant HPE 服务器提供网络服务，甚至将几个网站暴露在反向代理 (Nginx) 后面的开放互联网上。网络上的所有客户端 PC 都在 Linux 或 Mac 上运行。我有一个静态公共IP。总的来说，我想说的是小型企业规模的网络。

我没有安装防火墙，我想知道是否需要一个。到目前为止，我已经在每个暴露于互联网的虚拟机上实现了安全性，锁定了 SSH（公钥且无密码），这是 UFW 的一些规则。我没有高内螺纹。到目前为止，我已经在狂野的互联网中幸存下来了。

我不热衷于安装会剥夺我的路由器功能的防火墙，因为我已经习惯了它，而且它提供了很好的工具来管理云上的网络（类似于 Ubiquiti）。我正在考虑在透明模式下在路由器和第一台交换机之间安装防火墙，以避免影响路由器（锐捷EG105G-V2）上可用的网络管理工具。

我的问题是：我真的需要防火墙吗？如果在路由器和交换机之间以透明模式安装防火墙，将 DHCP/Vlan 和端口转发管理留给路由器，它会给我带来任何好处吗？最后，哪个防火墙？

我知道可能需要更多信息来给我指明方向，但是您的评论将不胜感激。

我正在尝试公开一个具有有效 SSL 的 https 服务器。我可以从服务器的浏览器本地访问我的网站。所以，没关系。页面已加载且 SSL 似乎有效。但是当我从另一台计算机访问时，我得到 ERR_CONNECTION_TIMED_OUT。

我已经在 Windows 防火墙的入站规则中添加了端口 443，并且我正在使用 IIS 10。

Windows 防火墙默认允许出站连接，除非有特定的阻止规则。Windows 有很多出站允许规则，安装时默认启用，并且没有阻止出站规则。我想了解它背后的原因。似乎它们是不必要的，并且没有任何允许规则，一切都应该正常工作。

摘要： 我已经设置了一台 Synology NAS，并想将它放在地下室，靠近电缆调制解调器。我的问题是，虽然我可以访问它的 Web UI，但 CIFS/SMB 连接只是超时。一旦我将 NAS 放在客厅（不同的子网），这种情况就会改变，所以我怀疑 CIFS 数据包被过滤了，但我不知道在哪里。

详细信息： 我在我家的中心使用 FRITZ!Box 4040 路由器用于 WiFi 等。所有普通计算机、打印机、移动设备等都在该路由器的子网 (192.168.178.1/24) 中。

该路由器通过有线 LAN 连接到地下室的 Vodafone 有线路由器（“Vodafone Station”，我认为我没有任何有价值的硬件详细信息），该路由器管理 192.168.0.1/24。

问题消除： 我知道我的问题不在于名称解析；我已设置本地 DNS 条目以访问 NAS 的 Web UI（“DSM”7.1-42661 更新 1），我可以通过名称和 IP 地址（在两个子网中）访问它。我也知道 SMB 服务运行良好，因为在将 NAS 连接到另一台路由器时，我可以访问一个子网中的共享。我已完全禁用 Synology NAS 上的防火墙。

不确定这是否有用，但我尝试使用 nmap 检查端口状态：

% sudo nmap 192.168.0.228 -sU -pU:137-139
Starting Nmap 7.93 ( https://nmap.org ) at 2022-10-02 16:59 CEST
Nmap scan report for REDACTED (192.168.0.228)
Host is up (0.018s latency).

PORT    STATE         SERVICE
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
139/udp open|filtered netbios-ssn

Nmap done: 1 IP address (1 host up) scanned in 4.37 seconds

我读过其他人在不同的子网中运行他们的 Synology NAS，并且它应该可以正常工作。

请注意，我正在尝试通过smb://<username>@192.168.0.228URL 从 MacOS 连接。（我可以尝试找到一个 Windows 笔记本，但我相信这种连接方法应该和其他方法一样强大，特别是因为我不依赖任何自动发现。）

问题： 您对如何进一步调试有任何想法吗？我应该知道一些明显的问题/限制吗？

有没有办法指示 Windows 防火墙为阻塞的 TCP 连接发送重置数据包而不是丢弃数据包？

我有一个“客户端-服务器”设置，由一台 Wireguard 服务器计算机和一个客户端组成，两者都在各自的 NAT 下。我希望这些在没有客户端路由器上的端口转发的情况下进行通信。显然，我仍然需要在服务器的路由器中进行端口转发。

根据此评论，如果服务器的回复来自客户端用来访问它的同一端口，则可以利用有状态的 UDP 防火墙。为此，我ListenPort在两端设置为 58120：

[Interface]
ListenPort = 51820
...snip...

现在通过tcpdump在客户端的路由器上执行，我可以证明数据包的源端口为 51820 和目标端口为 51820。与tcpdump在服务器的路由器上执行的相同：源和目标设置为 51820 的传出数据包。

但在传入方向，客户端的路由器显示数据包来自端口 1025。看起来服务器端 NAT 将端口 51820 更改为 1025。这是因为端口 51820 已被端口转发占用吗？如何使源端口和目标端口相等，以便客户端路由器检测到 UDP“连接”？

实施细节：防火墙和 NAT 都是 iptables 驱动的。