所以,我第一次安装了Fedora Core 19 ,replace了一个老的系统,它的磁盘终于死掉了。 该系统作为networking服务器和网关/防火墙 ,保护内部系统。 因为它有很多networkingconfiguration,所以我得到了一个介绍 – 我发现我真的很喜欢 – 新的防火墙守护进程firewalld 。 当我突然发现内部邮件服务器的maillog文件变得疯狂的时候,我以为一切进展顺利(总是遇到麻烦的时候) – 只是运气好的时候,我正好在工作6个小时后才看到它。 调查显示,问题是我的内部邮件系统(受防火墙保护)以某种方式认为所有的出站邮件都来自网关系统,因此它是一个“内部”系统,垃圾邮件发现者是一个开放的中继站。 我也注意到,不pipe怎么样,内部和外部区域被标记为“伪装”,实际上maillog文件中感知的IP地址是网关的IP。 通过转发的ssh端口login也证实在内部使用了错误的IP。 没问题!“我错误地想了一下,是的,关掉内部区域的伪装,确实把通过网关传递给内部系统的错误的IP修复了,但是,这并没有解决问题,因为莫名其妙地(到目前为止! 看起来好像端口25不再被转发! 其他端口正在转发,至less我所说的简单testing的ssh端口是。 所以,我想,我只是打开那个奇特的loggingfunction ! 这是命令: firewall-cmd –zone=external –add-rich-rule='rule family="ipv4" forward-port port="25" protocol="tcp" to-port="25" to-addr="192.168.1.1" log prefix="smtp-to-inside" level="info"' 我试着用permanent选项,而不是等等。 没有任何东西出现在/ var / log / messages中 – 或者我能想到的任何其他日志文件中。就好像内核只是忽略了那个端口一样。 我想也许内部邮件系统可能会阻止与防火墙的外部stream量,但网关应该logging连接尝试,但我什么也得不到。 任何和所有帮助表示赞赏。
鉴于以下安装: old router 192.168.1.1 with NAT forward of tcp port 80 to 192.168.1.10:80 new router 192.168.1.2 with NAT forward of tcp port 80 to 192.168.1.10:80 web server 192.168.1.10 with default gateway 192.168.1.1 目前,我的服务的DNS条目指向旧路由器的外部地址。 路由器将stream量端口转发给networking服务器,networking服务器将答案返回给旧网关。 为了无缝迁移到新的路由器(使用另一个外部IP),我想先设置一个新的路由器,testing两个连接都处于活动状态的整个事件,然后将DNS IP更改为新的外部地址。 现在,用上面的设置,旧的路由器仍然工作。 但是发往新路由器的tcp连接,也回答不能处理它们的旧路由器。 我想过用伪装来使用nat,但是发往新路由器的所有stream量看起来就像是本地stream量。 这会欺骗服务器基于ip的filter和日志logging。 现在,我的计划是使用一个Debian和iptables的帮助程序来获得一个临时解决scheme: old router 192.168.1.1 with NAT forward of tcp port 80 to 192.168.1.10:80 new router […]
我想通过端口转发到达我的NFSv4服务器。 这个大计划将是在本地主机上运行的HAProxy负载平衡的NFSv4服务器集群。 但现在这并不重要。 在服务器上, /etc/exports看起来像这样 /mnt/x 192.168.0.0/16(rw,sync,no_subtree_check,no_root_squash,fsid=1) 我可以从我的客户端连接到TCP 2049上的服务器,并像这样安装共享 mount -t nfs4 -o proto=tcp,port=2049 192.168.2.25:/mnt/x /mnt 我testing了NFVs4很高兴只有这一个TCP端口打开通过过滤两台机器之间的所有其他通信。 所以我认为NFS运行良好。 但是,当我转发一个端口例如与客户端的redir到服务器 redir –lport=3049 –cport=2049 –caddr=192.168.2.25 并想要如下安装它 mount -t nfs4 -o proto=tcp,port=3049 127.0.0.1:/mnt/x /mnt 我明白了 mount.nfs4: Operation not permitted 我想念什么? 我在服务器日志中看不到任何相关的信息。 更新:我捕获了好的和不好的连接尝试,一开始他们是相同的,然后客户端发送一个 PUTROOTFH,GETFH,GETATTR 命令。 在好的情况下服务器响应 PUTROOTFH-NFS4_OK,GETFH-NFS4_OK,GETATTR-NFS4_OK 在不好(转发)的情况下,它回应 PUTROOTFH-NFS4_OK,GETFH-NFS4_OK,GETATTR-NFS4ERR_PERM 这一点我改变了出口 /mnt/x 0.0.0.0/0.0.0.0(rw,sync,no_subtree_check,no_root_squash,fsid=1) 但是错误是一样的。 在好的情况下,服务器日志是 rpc.mountd[1711]: nfsd_export: inbuf '0.0.0.0/0.0.0.0 /' […]
我最近把我的一个客户升级到了Ubiquiti EdgeRouter Lite,这是一个比旧的ISP提供的路由器的重大改进。 为了减less对路由器的Web界面的攻击频率,同时仍然允许远程pipe理,我们在旧路由器上做的一件事就是将远程pipe理移动到一个非标准端口,比如说8642.在旧的ISP提供的路由器,有一个简单的文本框,但在Edgerouter上,它必须手工完成。 我在Edgerouter上添加了一个简单的端口转发规则来转发PUBLIC_IP:8642到LOCAL_LAN_IP:443,以及相应的防火墙规则: name WAN_LOCAL { default-action drop description "WAN to router" … rule 2 { action accept description "Allow remote management" destination { group { port-group ManagementPorts } } log disable protocol tcp state { established enable invalid disable new enable related enable } } … } 其中port-group ManagementPorts包含8642 。 但是,我仍然无法访问Web界面。 我能find的解决这个问题的唯一方法是允许外部访问端口443 […]
我试图将WatchGuard防火墙上的特定端口转发到特定VLAN中的内部主机。 我的设置大致如下: INTERNET vv WatchGuard vv——–vv——–vv [VLAN1] [VLAN2] [VLAN3] vv Server 我已经从Any-External设置了一个SNAT规则到没有端口转换的内部服务器的IP地址。 然后,我添加了防火墙策略 行动: 允许 端口tcp:10000上的自定义filter 来自任何来源 到我的狙击规则 这一切都是由文档build议的,但是当试图从外部IP访问它时,端口仍然被过滤并logging为未处理(xxx是外部客户端,yyy是防火墙的ip): Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=xx.xx.xx.xx Destination IP=yy.yy.yy.yy Source Interface=0-External Destination Interface=0-External Source Port=19852 Destination Port=10000 Protocol=webmin/tcp 我一直在玩端口翻译,SNAT和代理的更具体的接口设置,而不是filter操作,但我根本无法得到它的工作。 我错过了什么? 编辑(2015-06-16):这是我的configuration屏幕: 内部networking端口检查: $ nmap -sT -p 10000 192.168.79.100 […] PORT STATE SERVICE 10000/tcp open snet-sensor-mgmt […] […]
目标:本地连接到远程repl(例如,通过lein repl :connect )。 本地,这很简单: 运行服务器(在端口8081上启动一个embedded式nrepl服务器) 运行lein repl :connect 8081 &瞧! repl连接 我还通过使用SSH隧道,在repl在未打开的端口上运行时连接到远程服务器上的repl: 在某些.host,运行服务器(它开始在端口8081embeddednrepl服务器) SSH通道ssh -N -T -L 8081:localhost:8081 [email protected] 本地, lein repl :connect 8081 &瞧! repl连接 然而,我目前的设置是“服务器”运行在一个Docker容器,它映射端口8081.所以,为了连接到nrepl服务器,它必须去本地 – > some.host – >docker容器 – > nrepl 。 我可以看到我的docker容器映射了端口8081: $ sudo docker port container-id 8081 0.0.0.0:8081 而且,在托pipeDocker容器的服务器上,我可以看到端口8081正在侦听: $ netstat -anl | sed -n '2p;/8081/p' Proto Recv-Q […]
我已经在自定义端口(8080)上的泊坞窗容器中运行Web服务。 在这里,我试图运行一个容器,将相关容器的端口暴露(如图所示 ),但无济于事。 docker run -p 127.0.0.1:8080:8080 beatthemarket run wait 但我似乎无法到达该Web服务端点。 http://127.0.0.1:8080 HTTP://本地主机:8080 我)我是否正确地暴露容器的端口? ii)如果端口不可用,或者如果我的web服务没有被调用(如果能够将容器放入容器并仅仅curl端点将会很好),如何排除故障。 我的Dockerfile可以在这里看到。 我正在使用Adzerk的boot-clj基础镜像。 实际上运行docker,每次检索一堆瓶子。 然后启动块( wait任务),这是我想要的(一个Web服务器将处理Web请求)。 而这就是我迷失的地方。 在docker中启动,就像我所要求的一样。 但我似乎无法得到根URI 应该返回的基本的Hello World消息。 $ docker run -p 127.0.0.1:8080:8080 beatthemarket run wait Downloading https://github.com/boot-clj/boot/releases/download/2.5.5/boot.jar… Retrieving dynapath-0.2.3.jar from https://clojars.org/repo/ Retrieving pod-2.5.5.jar from https://clojars.org/repo/ Retrieving shimdandy-impl-1.2.0.jar from https://repo1.maven.org/maven2/ Retrieving core-2.5.5.jar from https://clojars.org/repo/ … Implicit target dir […]
我正在帮助一家不会购买实际路由器或防火墙的小型企业,并正在使用AT&T提供的Arris NVG599。 我有两个端口转发规则需要设置,33891> 3389为Comp1和33892> 2289为Comp2。 我做了两个服务对象,并将33891> 3389分配给Comp1,但是当我尝试将33892> 3389分配给Comp2时,出现错误: 我们试图做的是允许两个remtoe用户通过RDP到端口33891和33892上的WAN IP将RDP插入他们的计算机。 针孔冲突检测到XXX 针孔冲突检测到XXX 有谁知道这是不是可以解决的问题? AT&T的支持基本上说是高于自己的头,我需要支付100美元的“360”支持。 我感觉到调制解调器不允许将同一端口映射到两个不同的设备。
我有三台电脑,A,B和C.A已经发起了一个反向ssh隧道到B. ssh -nTNx -p 443 -R 22222:localhost:22 [user]@[server] 如果我login到B,我可以使用'ssh -p 22222 localhost',我得到一个login提示A.如果我尝试'ssh -p 22222 [B的公共IP]',它不起作用 我希望能够做的是有C连接到A,而不需要login到B.所以从CI可以'ssh -p 22222 [公共IP的B]',我会得到A的login提示。 我正在使用debian和shorewall,并且对事情的工作有一个基本的了解。 我尝试了REDIRECT和DNAT规则的各种组合,但没有任何运气。 我已经尝试使用相同的端口(22222)和一个不同的端口(转发22223从C到本地主机22222)。 有任何想法吗?
所以我有一个运行在端口8080上的privoxy作为路由器。 我的目标是在那里通过privoxy路由所有的HTTP和HTTPSstream量。 HTTP使用以下命令 iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-port 8080 但是,它不适用于端口443。 为了使HTTP工作,我必须将privoxy的“accept-intercepted-requests”configuration设置为1.是否有类似的选项来拦截HTTPS请求? 我知道在Firefox上设置代理设置是可行的,但是如果代理是透明的,它会更容易。 谢谢。