它是我在serverfault上的第一个post,也是我第一次设置这种networking,所以如果它不是很好的话,我很抱歉。 我正在计划一个小型的(教育中心)networking,有大约20-30个窗口的学生电脑,平板电脑和员工笔记本电脑。 我的目标: 创build两个分开学生和员工的安全区域。 学生限制(拒绝)互联网接入。 员工可以看到一切。 向所有的学生电脑鬼魅一个窗口图像 跟踪学生档案 通过networking服务器提供学生资源 计划: 使用FOG来鬼影窗口图像,并维护和更新学生电脑。 使用Samba集中学生文件(他们不是很多)。 计划为所有学生提供一个通用login,然后编写一个脚本和gui,使用dirsyncpro将学生文件同步到他们自己的子目录。 使用Apache来提供networking资源。 我不确定如何去为学生设置一个限制区。 我的猜测是,我需要为学生和员工设置两个子网,但是我不知道如何提供这两个子网。 我只需要configuration我的服务来监听这两个子网? 我需要2个网卡吗? 在这种情况下将我的服务器称为网关是否正确? 我在想结构应该是这样的: Internet | Modem | Router | | | | Ubuntu Server Employee Employee etc.. | Router | | | Student student etc… 我这是一个很好的方法去呢? 或者我可以以某种方式实现它的全部在同一个路由器上的子网。 我以前从来没有使用过子网或iptables,但这是我在尝试学习的过程。 之后,我将通过ssh或VPN远程pipe理这一切 编辑:我忘了提及,我们不能投资到Windows服务器。 我知道我会错过活动目录的好处,但不是很好find一个Linux客户端pipe理的sulution? 提前致谢,
我有一个networking有3个子网10.1.4.0/24,10.1.5.0/24,10.1.9.0/24。 它们都使用IBM Proventia防火墙进行路由。 防火墙是相当简单的,一切似乎都工作正常。 但是,如果我尝试从10.1.4.xxx的10.1.9.xxx上联系Web服务器,该页面需要5分钟以上才能加载,并且通常不会完全加载所有的图像。 如果我从10.1.5.xxx联系同一个Web服务器,它会立即加载到任何PC上。 我可以从10.1.4.xnetworkingping Web服务器。 我可以端口扫描服务器,并看到在80的stream量是从10.1.4.xnetworking自由stream动。 防火墙设置并允许通信。 所以我采取了wireshark捕获的stream量和过滤ip.src == 10.1.9.xxx或ip.dst 10.1.9.xxx。 捕获是奇怪的,有很多数据包似乎从HTTP交易中丢失。 wireshark提供的有关TCP重传的许多警告。 在初始接触期间的第一个3-5之后几乎每个分组都被重发。 我从桌面捕获了一个很好的HTTP事务(到同一台服务器)并进行比较。 这几乎就像防火墙或丢包一样。 这个设备有一个内置的IPS和AV系统,我已经尝试禁用它们两个。 (甚至在同一时间)。 有问题的两个子网在本地没有WAN链路或VPN。 10.1.9.xxx子网通过pipe理型交换机。 也许交换机正在丢弃一些东西?
由于大多数searchVLSM,CIDR和第3层切换都带回了刚刚启动CCNA的学生发布的非常基本的问题,所以在寻找帮助时遇到了困难。 我有一批已经分配给我的公共IP地址。 这些来自ISP路由器的以太网电缆的末端。 为了简单起见,让我们说我的ISP给了我一个完整的212.85.15.0/24(假设地址)。 我想分成多个不同的/ 28networking。 我有一个三层交换机。 以下是我所尝试的: 我在交换机上创build了三个vlan。 我创build了三个接口,并为每个接口分配一个我希望的networking范围内的IP地址。 即: port1,vlan1 – 212.85.15.2/30 port2,vlan2 – 212.85.15.9/29 port3,vlan3 – 212.85.15.17/29 交换机的默认路由设置为ISP的路由器:212.85.15.1 交换机上的端口1连接到ISP的路由器。 端口2连接到地址为212.85.15.10/29的计算机 端口3连接到地址为212.85.15.18/29的计算机 我configuration了IP转发和路由,一台计算机可以使用交换机作为默认网关看到另一台计算机。 但是,计算机无法ping ISP的路由器,因此无法进一步通信networking。 如果我使用交换机的内置ping命令,它能够ping通ISP的路由器和两台计算机。 这是因为ISP的路由器configuration为提供212.85.15.0/24,因此无法与212.85.15.2/30正确通信? 我不明白为什么交换机可以ping路由器,但客户端不能通过核心交换机使用。 我尝试将vlan1的接口地址定义为212.85.15.2/24,但之后我无法configuration较小/ 29的networking,因为我被告知与vlan1重叠。 感谢networking专家可以提供的任何帮助。 谢谢。
我有两台路由器连接到两个不同的提供商。 我也有Mac OS X Lion服务器连接到他们,所以它看起来像这样: [INTERNET] [INTERNET] | | [router] [router] | | [192.168.1.0/24] [192.168.10.0/24] | | |—[Mac Server]—| | | [computers #A] [computers #B] 没有我想要做的是从子网#A的计算机看到#B子网中的计算机,反之亦然。 Mac服务器具有192.168.1.100和192.168.10.100 IPS,它可以看到两个networking。 但是,当我设置VPN时,我只能看到一个networking,取决于从哪个子网连接。 所以如果我通过192.168.1.100连接到VPN,我可以看到192.168.1.0/24networking和只有192.168.10.100 IP(服务器本身)。 当我通过192.168.10.100连接,我可以看到192.168.10.0/24networking和只有192.167.1.100。 这里有什么遗漏吗? 我没有设置任何路由/ NAT,除了由MAC OS X本身神奇地创build的。 它也不一定要通过VPN – 我只想连接这些子网,没有什么更多。 提前致谢!
我的networking上有一些路由器/防火墙(pfSense,TMG 2010,ISA 2006),这些路由器/防火墙是有状态的。 现在他们都在与大多数最终用户设备和服务器相同的子网上有一个接口。 我会做一些改变,把一些服务器放在这些防火墙后面的自己的子网中,所以我想知道是否应该为路由器build立一个专用的子网,将数据包路由到对方。 没有路由协议,只有静态路由。 我试图避免asynchronous路由,这可能是有状态防火墙的问题,因为stream量stream入和stream出networking的path不同。 如果stream量通过不同的path回stream,并且该path中的防火墙在状态表中没有logging,则stream量可能会被阻塞。 我的基本问题是:这是解决这个问题的理想方法吗? 为什么或者为什么不? 在最佳实践方面,我还没有find太多的东西,但是这种方法只会在每个子网上留下一个路由器,这样我就可以避免不同机器具有不同默认网关的情况。 当前 Router 1 Router 2 Router 3 192.168.1.1/24 —— 192.168.1.2/24 —— 192.168.1.3/24 —— All other devices | | | VVV 10.10.10.1/24 10.20.20.1/24 10.30.30.1/24 build议 Router 1 Router 2 Router 3 192.168.1.1/24 —— All other devices 10.200.200.1/24 —– 10.200.200.2/24 —– 10.200.200.3/24 —— Routers/Firewalls only | […]
据我了解,不同子网上的主机不能互相通信,除非在两个子网上都有一个路由器在它们之间转发stream量。 我在networking上有两个子网,分别是:192.168.0.0/24和192.168.1.0/24。 我想在它们之间创build一个防火墙路由,使用一个连接到两个子网的Linux盒子。 防火墙将在iptables中实现。 连接到networking的所有主机将被信任,用户将不具有pipe理权限来改变其networkingconfiguration(即只连接到另一个子网上)。 假设我上面所说的一切都不完全是废话,那么连接到一个子网的用户可能绕过防火墙并访问另一个子网的方式是什么? 明显的发生在我身上的只是连接一个不受信任的主机。 澄清:我试图创build一个自定义的防火墙解决scheme(不是现成的)。 它将被集成到现有的解决scheme中,该解决scheme已经在Linux机器上运行,所以事物的一面是固定的。 防火墙将允许根据物理网卡或VLAN来定义防火墙。 在我看来,基于物理局域网的区域只允许有人在物理上连接到networking,而不应该是这样。 除了encryption之外,这一点归结为物理安全。 假设您没有错误configuration某个交换机以暴露携带dot1Qstream量的terminal,或者允许VLAN跳跃攻击,则基于VLAN的区域基本相同。 我的问题的根源在于是否可以将基于子网的区域(运行在相同的物理硬件上)添加到可防火壁垒的列表中。 这当然会依赖于所有连接的主机是“可信的”,并且所有的用户(防火墙至less应用到这个用户)没有pipe理权限来混乱networking设置。
我试图分割我们公司的networking。 我的主要目标是有许多小的广播域,而不是一个巨大的,所以我想每个部门分配一个VLAN。 但是,我们有许多打印机和一个集中的文件服务器,应该可供公司内的任何设备访问。 所以,我想这些服务应该属于一个单独的VLAN,而VLAN又可以通过L3寻址与部门VLAN进行通信。 由于我们拥有L3思科交换机,因此VLAN间路由似乎是一种有效的方式。 但是正如我正在试验的那样,我注意到我必须为每个VLAN接口分配一个IP地址(从而将每个部门分配到它自己的子网中),并且只要我在L3交换机上允许ip routing ,设备就可以ping通不仅是打印机或文件服务器,还有任何其他部门的其他设备。 我知道在一个子网和另一个子网之间的广播域是不一样的,但是我认为如果这些VLAN不能互相通信的话,它会更加安全。 这就是说,这是我对这个问题的怀疑: 1)为了安全起见,隔离这些部门的VLAN是否更好,只能看到打印机/文件VLAN(不能互相看到)? 2)如果是的话,做这件事的最好方法是什么? 我能想到的唯一可行的方法是使用ACL,但是它们似乎并不实际,因为我将要处理很多条目。
Ubuntu box 服务器有2个networking接口: eth0 50.57.71.100 eth1 10.182.161.100 Ubuntu的盒子客户端有1个networking接口: eth0 10.177.30.100 服务器和客户端已经可以相互通话了。 这里是客户的路由表: 10.176.0.0/12 via 10.177.0.1 dev eth0 10.177.0.0/17 dev eth0 proto kernel scope link src 10.177.30.100 10.208.0.0/12 via 10.177.0.1 dev eth0 我在服务器的内核上启用了ipv4转发。 我如何设置这个,所以来自机器客户端的任何互联网stream量都通过服务器路由? (比如说,平8.8.8.8) 我尝试在客户端添加一个路由,但是直到我删除它,networking连接丢失: route add 10.182.161.100/32 dev eth0 我尝试设置一个客户端的默认网关服务器,但是失败: # route add default gw 10.182.161.100 SIOCADDRT: No such process
我有一个问题,允许我的两个子网之间的stream量。 这是我build造的结构。 X0接口有我们的Windows服务器,它处理DHCP / DNS等X1有广域网连接。 Sonicwall正在处理X2 DHCP。 X3接口连接到48端口交换机上不同的vlan。 Sonicwall也在这个networking上处理DHCP。 所以这就是我想要做的。 X2上的networking是用于我们的客户无线的; 我不希望它能够访问任何其他networking,只是互联网,所以我所有的阻止在防火墙。 那里没有问题。 X3networking将用于可编程控制器,并且需要能够访问我们的计算机所在的X0networking。 这是我的问题所在。 我不能分别在接口X0和X3上的192.168.2.xxx和192.168.1.xxx之间。 我在防火墙中设置了这些规则。 Lan主要子网是X0上的192.168.2.0 。 所以,如果我没有弄错,这将允许通过防火墙两者之间的stream量。 现在这是我有点困惑。 我是否需要使用NAT从X0获取stream量到X3 (反之亦然)或静态路由,还是两者兼而有之? 目前我有两个,但我怀疑他们做的正确(也在截图中)。 我已经尝试在两者之间平安运气,没有运气。 任何build议,或者如果你看到我的设置有什么问题,非常感谢。 如果您需要更多信息,请告诉我。 谢谢大家! 编辑:所以我发现我既不NAT或静态路由,在防火墙的设置是不够的。 我现在可以从192.168.1.xxxnetworkingping,但是我无法访问192.168.2.xxxnetworking上的服务器。 当我尝试访问我得到“重新连接到Z:发生错误Z:到server Microsoft Windowsnetworking:本地设备名已被使用,此连接尚未还原。
我有一个Sonicwall NSA 3500.我的LAN是192.168.0.0/16,我的Sonicwall在192.168.11.251 我有一个需要连接的新设备,它有2个网卡,一个与networking通信,另一个通过无线基础设施与无线数据logging器。 但是,辅助接口也设置为192.168.0.0/16。 所以我的问题是,这个设置甚至可能吗? 我需要能够使主局域网中的计算机能够与此次要networking上的服务器通信。 我真的需要一些帮助设置这一个? 有什么build议?