服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

添加第二个防火墙到多个子网的ISP连接?

我的路由知识有点生疏。 我有一个像这样连接的光纤互联网连接: 受pipe理的交换机也通过ISP的方框为透明LAN服务分配VLANS。 我认为这个问题多半是无关紧要的,所以我把它从图表中排除了。 我有两个/ 29个子网(使用来自RFC5735的示例地址): 192.0.2.144/29(.144-151) – 主要的。 我们的网关是192.0.2.145,防火墙的主地址是192.0.2.146。 203.0.113.88/29(.88-.95) – 第二个子网,没有网关,并由ISP路由到第一个(我认为,这是我感到困惑的部分)。 防火墙具有添加到其WAN接口的两个子网的所有可用IP地址,并且对各种服务器执行NAT。 现在我想在自己的防火墙之外添加一个独立的防火墙networking,并且需要自己的公有IP地址,如下所示: 我现在还没有使用203.0.113.94,所以我打算从现有的防火墙上的附加地址中删除它,并把它交给新的防火墙…但是这样行不通? 它的子网上没有网关。 或者我可以重新排列东西,并给它192.0.2.144/29地址之一。 这会正常工作,让两个networking正常工作? 有一个更好的方法吗? 我可以将新的防火墙附加到现有的防火墙,如果它仍然可以得到一个真正的公共IP,而不是NAT – 但我不知道是否有任何方式与守卫防火墙做到这一点。 这可能需要进一步的子网划分,而且我已经几乎没有IP地址了。 新的networking将成为我们的testing实验室(所以我终于可以停止testing生产中的东西!)。 我不希望两个networking能够互相对话,因为它们将具有相同的内部子网和生产机器的克隆。 我需要新的防火墙有一个公共IP地址,没有任何NAT。

通过主机名将ssh连接转发到docker容器

我已经进入了一个非常具体的情况,虽然还有其他方法可以做到这一点,但我还是有点沉迷于此,想find一种方法来做到这一点: 背景 假设我有一台服务器运行多个服务,并将其隐藏在独立的docker集装箱中。 由于大多数这些服务都是http,我正在使用一个nginx代理来向每个服务公开特定的子域名。 例如,节点服务器在端口80绑定到主机上的127.0.0.1:8000的Docker容器上运行。 我将在nginx中创build一个虚拟主机,将所有对myapp.mydomain.com请求代理到http://127.0.0.1:8000 。 这样一来,除了通过myapp.mydomain.com之外,docker容器不能从外部访问。 现在我想以gogs.mydomain.com指向gogs容器的方式启动一个gogs docker容器。 所以我启动这个在端口8000绑定到127.0.0.1:8001 gogs容器 。 和一个nginx网站代理请求gogs.mydomain.com到http://127.0.0.1:8001 ,它运作良好… 然而,gogs是一个git容器,我也想通过[email protected]:org/repo访问repos,但是不能用于当前的设置。 一种方法是将容器的端口22绑定到主机上的端口0.0.0.0:8022 ,然后git ssh url可以是[email protected]:8022/repo 。 (这似乎并没有工作;当我推到这样的uri的起源,git要求gogs.mydomain.com用户git的密码 – 而不是gogs.mydomain.com:8022 – 但这可能是我'这个问题做错了,也不在这个范围之内,不过,我也希望对此有任何诊断) 问题 我主要关心的是,我希望ssh端口<gogs container>:22被代理,就像我使用nginx代理http端口; 即任何SSH连接gogs.mydomain.com传递到容器的端口22 。 现在我不能将容器的ssh端口绑定到主机的ssh端口,因为主机上已经有一个sshd运行了。 此外,这将意味着任何连接到*.mydomain.com传递到容器的sshd。 我想要任何SSH连接: mydomain.com host.mydomain.com或mydomain的IP地址被接受并转发到主机上的sshd gogs.mydomain.com或git.mydomain.com被接受传递到gogs容器上的sshd *.mydomain.com (其中*是上述可能性以外的任何内容)被拒绝 如果是http,我可以通过nginx轻松完成这项工作。 有没有办法做到这一点的SSH? (也想出去,问:有没有一种方法可以完成任何 tcp服务?) 任何对我在这里尝试的方式的洞察也是受欢迎的。 我不介意被告知什么时候我想做的事完全是愚蠢的。 我脑海里已经有了什么: 也许我可以共享主机上的sshd套接字容器作为ro卷? 这将意味着容器内的sshd可以获取到*.mydomain.com所有连接。 有没有办法让容器内的sshd 拒绝除gogs.mydomain.com或git.mydomain.com之外的所有连接? 然而,主机上的sshd会收集所有到*.mydomain.com的连接,包括gogs.mydomain.com ; 所以会有冲突。 我不知道,我实际上没有尝试过。 我应该尝试吗?

问:RHEL,SSSD,Active Directory

下午好。 我已经仔细阅读了各种关于让Linux系统使用AD进行身份validation的文章,但是还没有看到什么东西逼近我打我的头。 这里有很多设置,请耐心等待。 首先,我们的目标是让我们所有的Linux和Unix系统对AD进行身份validation。 这在数百个系统中不是可选的; 用户账户pipe理早已成为一个问题。 我们有几个AD实例:一个是所有系统pipe理员帐户应该存在的“pipe理AD”(“MAD”)。 MAD不相信其他域名。 所有其他域(“CAD”,“FAD”,“坏”)都相信MAD。 大多数系统将与CAD,FAD或BAD相关联。 只有内部系统将与MAD相关联。 主要的平台是RHEL,我有5,6,7的混合物.5不会很快消失,尽pipe在不到一年的时间里它会退出RH的支持,但是我仍然得到人口5与AD集成在一起。 任何解决scheme都需要在5,6和7的工作,因为我们不想支持多种方式的做事。 我的主要select(至less是我正在工作的)是Winbind和SSSD。 鉴于两者之间的select,我宁愿SSSD Winbind是“相当古老”。 还有一个要求是“组”和“id”产生的AD信息,因为我们打算使用openssh的“AllowGroups”function来限制login到特定的AD组。 我遵循每一个手册,每一个指导,每一个指导,当它归结于它时,总有一件似乎没有被有效logging的东西阻挡了我。 一般来说,我对unix / linux相当强大,但是我对AD,Kerberos或LDAP不够强大。 出于实验目的,我将从全新安装的ISO(kickstart,一些基本的configuration)开始,在KS中没有设置validation位。 第1步:同步时间。 完成。 第2步:安装/激活oddjob。 完成。 步骤3:确保目标系统有正向和反向DNS条目。 完成。 手动到目前为止,我不能依靠后面的步骤来解决问题。 我会应付的。 步骤4:configurationKerberos。 /etc/krb5.conf的消毒版本: includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = CAD.LAB dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime […]