服务器 Gind.cn

Articles of 网关

冗余Debian网关

我必须用Debian盒子configuration一个冗余网关,我想得到一些build议,对我来说,最好的解决scheme是什么。 我的设置有一定的限制,我必须去(100%的工作)。 我阅读本指南: http : //www.linuxjournal.com/article/10964 和 https://www.debian-administration.org/article/678/Virtual_IP_addresses_with_ucarp_for_high-availability 我没有的一件事是第三个以太网接口。 问题是,我必须使冗余网关已经在生产中使用。 即使一秒钟也不能取消。 它有2个网卡: eth1 – internet facing vlan 1 bgp peering to provider A vlan 2 bgp peering to provider B (used as def route)* vlan 3 bgp peering to provider C eth0 – dmz facing vlan 10 DMZ1 vlan 11 DMZ2 vlan 12 DMZ3 这个原始的网关是bgp窥视(运行鸟),这是唯一真正使我的设置复杂化,防火墙政策本身并不多。 […]

Cisco IOS 15.1多个内部地址对应于外部IP(客户端可切换的Inet IP)

我有一个Cisco 867VAE运行IOS 15.1,我正在尝试configuration。 我的networking风格很简单:我有一个子网10.0.0.255。 我主要是用户操作的计算机DHCP'd和Wi – Fi的移动设备,也DHCP'd。 此外还有两个面向Internet的服务器,都有多个HTTP服务器,另一个没有太复杂的自定义应用程序TCP服务器。 从我的ISP,我最初购买VDSL和一个静态的外部IP。 为了安全起见,我将把原始IP称为“.15”。 由于涉及外部访问10.0.0.xxxnetworking上的服务器的原因,我另外购买了四个外部IP,这里称为“.228”,“.229”,“230”和“.231”。 目前,所有来自服务器和员工计算机的出站stream量都通过.15出口。 所有员工桌面和Wi-Fi客户端都将其网关设置为“10.0.0.1”,指的是我的思科。 现在为实际的configuration问题。 员工和其他工作人员知道我们拥有五个静态的外部IP地址,他们希望通过.228 – .231向外发送stream量。 有意识地configuration这个,不知道如何,我来到这里。 理想的configuration是,本地networking客户端可以将其路由器地址(它们足够聪明)从10.0.0.1更改为表示同一Cisco网关的地址。 前面的例子中,一个DHCP客户端有时被称为“默认网关”,或者被设置为10.0.0.1的“路由器”,他们的出站stream量(主要是HTTP请求)来自.15,而网关设置为10.0.0.228会导致像www.whatismyip.com这样的网站报告.228地址而不是.15。 上述的.228案件应该申请.229,230和.231内外地址。 10.0.0.228/4中的地址对于Cisco路由器来说是明确的,因为10.0.0.200-10.0.0.254被保留给服务器,并且DHCP服务器不在那里分配。 这是我在ServerFault上的第一个问题。 我尽力坚持“完美问题”的提纲。 如果有什么重要的事情我做错了,或者没有说清楚,请唱出来,我会解决这个问题。

使用两个openvpn客户端来公开服务器的服务

我正在尝试使用两个openvpn客户端来公开服务器的服务,正如标题中已经提到的那样。 我可能会玩的力量远远超出我目前的理解,但请忍受我:-) 大纲 这是我目前的设置: INTERNET eth0 | | VPN tun0 /—– perimeter-a —–\ internet clients-: :—— server \—– perimeter-b —–/ server也是这种情况下的VPN服务器。 perimeter-a和perimeter-b是VPN客户端。 server有eth0(公共接口),eth1(另一个公共接口)和tun0(vpn接口)。 每个perimeter都有eth0(公共接口)和tun0(vpn接口)。 目标 目标是任何internet client都能够与perimeter-a或perimeter-b进行通话,并且让他们看起来像是被任何一个服务的,而事实上,您正在服务于server 。 连接到perimeter-a上的游戏服务器(例如)并连接到perimeter-b上的游戏服务器,每次都会让server停止运行。 这个规则的唯一例外应该是当perimeter-a或perimeter-b不转发相应的端口时。 端口应该在这两台机器上显式转发。 UDP和TCP都应该被处理。 先前的尝试 我以前的尝试依赖于通过iptables的NAT,但有失去在server上的实际internet client的地址的问题。 应该保留internet client的地址 – 这就是为什么我决定使用VPN,主要是通过server来访问server 。 理念和当前的尝试 我目前的尝试是使用perimeter-a和perimeter-b作为server互联网网关。 问题是,我不确定当两个perimeters是VPN客户端而不是服务器时是否可以设置。 我可以将数据包从任何一个perimeters传递到server而不必重写数据包源,然后通过tun0发现它到达server ,然后将其发送回任何perimeters ? 但是接下来我需要在两个perimeters之间有两个不同的tun接口,对吧? 然后,当这些数据包到达perimeter-XY ,我需要让该机器将源重写到自己,并将其发送到internet client ,因为数据包来自tun0 – 正确吗? 我完全失去了这一点,我找不到任何描述我的实际情况。 我离解决scheme有多远? […]

两个networking之间的奇怪路由

我的问题似乎很简单,但我不能把我的头围绕。 我的设置是这样的: 运行RHEL 6.4的服务器 它有两个networking接口: ib0:infinibandnetworking(请不要问为什么:) 192.168.1.0/24,大部分的服务器都在这里。 IP:192.168.1.51 eth0:以太网networking192.168.3.0/24,最终用户在这里(和几个服务器)。 IP:192.168.3.51。 该服务器充当服务器和用户之间的网关。 它有一个标准的IP转发function: net.ipv4.ip_forward = 1 …没有别的。 它工作得很好,在这里没有抱怨。 所以现在我需要做以下工作:来自192.168.3.0networking的用户和来自192.168.1.0networking的服务器都需要访问外部networking1.0.0.0/16。 这个networking由另一个部门pipe理 – 他们已经部署了一个路由器,为我提供了一个物理链路。 他们的路由器有一个IP 192.168.3.250。 所以,我在我的网关服务器上设置了一个静态路由: ip route add 1.0.0.0/16 via 192.168.3.250 …和我的最终用户从192.168.3.0networking能够访问1.0.0.0。 但是,来自192.168.1.0networking的服务器无法访问它。 一般来说,我并不擅长路由和networking,所以我怀疑我应该为192.168.1.0networking(?)启用NAT,但是当我正在阅读iptables手册时,我的头开始变得非常糟糕。另外,问题是,这个服务器应该继续充当infiniband和以太网之间的网关,最好是尽可能less的开销。 所以问题是:我该怎么做?

具有2个默认网关的kvm访客路由

我有一个两个虚拟网卡的kvm guest。 具有内部IP的NIC III.III.III.III (eth0) 具有外部IP的网卡EEE.EEE.EEE.EEE (eth1) 我正在使用macvtap。 主机拥有自己的外部IP。 我可以从主机ping两个网卡,但我不能从外面ping EEE.EEE.EEE.EEE 。 我在两个网卡上都做了一个tcpdump。 我在eth1上看到了ICMP请求,但似乎是使用“错误的”内部eth0接口发送了回复。 # tcpdump -i eth1 icmp -n 14:57:30.398789 IP XXX.XXX.XXX.XXX > EEE.EEE.EEE.EEE: ICMP echo request, id 1408, seq 6, length 64 14:57:31.398546 IP XXX.XXX.XXX.XXX > EEE.EEE.EEE.EEE: ICMP echo request, id 1408, seq 7, length 64 14:57:32.398547 IP XXX.XXX.XXX.XXX > EEE.EEE.EEE.EEE: ICMP echo […]

以桥接模式设置站点到站点IPsec

我想以桥接模式设置站点间IPsec:即每个站点中的主机不需要修改为使用IPsec网关,但IPsec网关充当伪线。 我的计划是: 在每个gw上设置主机到主机IPsec 设置每个gw的L2TP(通过IPsec) 桥接eth0和每个gw的lt2p-eth 之后,到达任何gw的eth0的任何第二层数据包应自动(L2TP)隧道(IPsec)到其他网关。 它是否正确? 这是推荐的方法吗? 另外:如何为2个网关做这个? 每个网关是否需要一个IPsec SA 和一个L2TP隧道与其他每个gw? 理想情况下,我想这样做是为了让gw不需要明确的了解其他每个gw,但是我找不到一个可靠的甚至是标准的方法来做到这一点。

ftp服务器处于被动模式下的私有子网

我有以下configuration: FTP客户端(public_IP1)=> internet =>防火墙(Public_IP2)=> FTP服务器( 10.10.12.171 ) 我在Firewall有以下iptables规则: DNAT tcp — 0.0.0.0/0 Public_IP2 tcp dpt:21 to:10.10.12.171 MASQUERADE all — 10.0.0.0/8 0.0.0.0/0 我也在Firewall加载了nf_conntrack_ftp nf_conntrack_ftp 13057 0 nf_conntrack 79944 6 nf_conntrack_ftp,nf_conntrack_ipv4,nf_nat,iptable_nat,vzcpt,vzrst 在主动模式下,一切正常。 在被动模式下,我有以下错误(在客户端): ftp> passive Passive mode on. ftp> dir 227 Entering Passive Mode (10,10,12,171,86,26) ftp: connect: No route to host 我猜客户往往连接到我的私人IP( 10.10.12.171 )。 如何改变它?

Nginx和Apache设置与php-fpm问题。 随机nginx坏网关

我已经inheritance了一个服务器,以前的pipe理员似乎在使用nginx和apache的组合。 我不知道为什么这个组合,除了有人认为nginx被用于caching目的。 整个服务器在随机时间不停地响应,浏览器页面上列出了nginx错误的网关错误。 我每周都会收到错误的网关错误,有时甚至是每天。 该网站是无法访问,直到我使用命令: service php-fpm-5.5.11 restart或….重新启动整个服务器。 服务器是与cpanel的Centos。 当进一步查看安装程序时,似乎php-fpm与nginx一起使用。 看看最新的php-fpm日志,我得到: [12-Jul-2015 00:52:29]错误:另一个FPM实例似乎已经在/opt/pifpm/fpmsockets/5.5.11.sock上/opt/pifpm/fpmsockets/5.5.11.sock [12-Jul-2015 00:52:29]错误:FPM初始化失败 我想在最近的FPM重启尝试之后,我得到了一个错误的网关错误。 三个问题: 我怎么知道apache和nginx之间的确切设置是什么。 在浏览器中加载的所有文件都说nginx是正在使用的服务器,但是apache也在后台运行。 在这种情况下,apache是​​不相干的吗? 如何find导致FPM实例重新启动和失败的原因? 有关如何停止导致服务器无响应的错误网关错误的任何build议? 这里是一些更多的信息: 似乎每天早上1:05左右都会打电话。 我认为脚本本身设置为每周运行一次。 在/etc/logrotate.d/php-fpm中,php-fpm每天早晨在1:05重置,有时不重启。 这里是内容: /var/log/php-fpm-5.5.11/*log { missingok notifempty sharedscripts delaycompress postrotate /bin/kill -SIGUSR1 `cat /opt/pifpm/php-5.5.11/var/run/php-fpm.pid 2>/dev/null` 2>/dev/null || true endscript } 当:/ bin / kill -SIGUSR1`cat /opt/pifpm/php-5.5.11/var/run/php-fpm.pid被调用时,php-fpm并不总是重新启动。 我认为父母的php-fpm会被closures,但是孩子们不会因为孩子仍然活跃而结束, [12-Jul-2015 00:52:29]错误:另一个FPM实例似乎已经在/opt/pifpm/fpmsockets/5.5.11.sock上/opt/pifpm/fpmsockets/5.5.11.sock [12-Jul-2015 00:52:29]错误:FPM初始化失败 […]

机器忽略默认网关

我们的网关是一个路由器,将所有浏览stream量redirect到代理服务器(Ubuntu 14.04.3)。 代理服务器然后处理并通过不同的接口将stream量发送回路由器。 代理也连接到局域网。 局域网中的一些计算机将其stream量直接路由到192.168.0.2,这是代理服务器,不pipe在networking设置中设置的默认网关(192.168.0.1)。 这只是暂时与具有静态IP的计算机一起标识的。 DHCP用户没有问题。 这可能是什么原因? 我们怎样才能避免这种行为? find下面的networking的基本图。 具有静态IP的机器的路由表 活动路由:networking目标networking掩码网关接口度量0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.179 276 127.0.0.0 255.0.0.0在链接上127.0.0.1 306 127.0.0.1 255.255.255.255在链接上127.0.0.1 306 127.255。 255.255 255.255.255.255在线链接127.0.0.1 306 169.254.0.0 255.255.0.0在线链接192.168.0.179 296 169.254.255.255 255.255.255.255在线链接192.168.0.179 276 192.168.0.0 255.255.255.0在线链接192.168.0.179 276 192.168.0.179 255.255.255.255在线192.168.0.179 276 192.168.0.255 255.255.255.255在线192.168.0.179 276 224.0.0.0 240.0.0.0在线127.0.0.1 306 224.0.0.0 240.0.0.0在线192.168。 0.179 276 255.255.255.255 255.255.255.255在线链接127.0.0.1 306 255.255.255.255 255.255.255.255在线192.168.0.179 276 持久性路由:networking地址networking掩码网关地址度量标准0.0.0.0 […]

远程(Ubuntu)服务器作为多个socks5代理服务器的http网关

我有以下设置: 电脑L(我的Mac OS X机器)。 运行Ubuntu 12.04的Linode R0。 运行Ubuntu 12.04的Linode R1。 运行Ubuntu 12.04的Linode R2。 R1和R2被转换成SOCKS5代理服务器,如下所示: user@R0: ssh -D 1081 R1 user@R0: ssh -D 1082 R2 现在,我将如何去让R0充当一个简单的HTTP / HTTPS代理服务器,并接受来自本地计算机的随机转发到R1的身份validation(一个la squid,不能让服务器工作)传入的HTTP连接或R2? 不希望本地端口转发到R0所以请不要ssh -L解决scheme。
Intereting Posts
PHP的 – 写入失败:设备上没有剩余空间(28) Saltstack:使用cmd.run时可以禁止某些命令吗? 主 – 主复制的恢复策略 如何授予Apache访问目录 帮助IPTables:stream量强制到特定的网卡? 如何用现有的CAreplaceZentyal CA证书和密钥 e2fsck / resize2fs的问题 LAMP服务器性能技巧 Centos 6; 移动mysql.sock后,phpMyAdmin'无法login到MySQL服务器' 在Linux上的Jabberpipe理 OpenWRT – pipe理虚拟局域网 对负载平衡器的基本了解 如何将驱动器arrays连接到冗余主板? 更改路由器,现在Lotus Notes Webmail不起作用 strongSwan – 我如何生成预共享密钥?