如何让SRX220响应同一子网上的多个IP地址,但使用不同的网关。 例如, 子网:1.1.1.40/30(.41网关,.42实际IP)子网:1.1.1.44/30(.45网关,.46实际IP) 两滴都进入了一个合适的开关,并出到srx。 validation所有连接独立工作。 在这10小时 – 尝试ARP,joinIP到GE-0,我错过了什么?
我有几个像这样的端口转发规则 iptables -t nat -A PREROUTING -p tcp –dport 46000 -j DNAT –to-destination 172.16.8.2:46000 iptables -A FORWARD -p tcp -d 172.16.8.2 –dport 46000 -j ACCEPT 我想知道是否有办法在一行而不是两行中添加新的转发规则,所以我不必input两次相同的数据。 我的意思是这样的规则: 在nat PREROUTING转发数据包到目的地并将其标记 在FORWARDfilter中,允许所有使用规则1标记的数据包 可能吗?
我的networking上有一些路由器/防火墙(pfSense,TMG 2010,ISA 2006),这些路由器/防火墙是有状态的。 现在他们都在与大多数最终用户设备和服务器相同的子网上有一个接口。 我会做一些改变,把一些服务器放在这些防火墙后面的自己的子网中,所以我想知道是否应该为路由器build立一个专用的子网,将数据包路由到对方。 没有路由协议,只有静态路由。 我试图避免asynchronous路由,这可能是有状态防火墙的问题,因为stream量stream入和stream出networking的path不同。 如果stream量通过不同的path回stream,并且该path中的防火墙在状态表中没有logging,则stream量可能会被阻塞。 我的基本问题是:这是解决这个问题的理想方法吗? 为什么或者为什么不? 在最佳实践方面,我还没有find太多的东西,但是这种方法只会在每个子网上留下一个路由器,这样我就可以避免不同机器具有不同默认网关的情况。 当前 Router 1 Router 2 Router 3 192.168.1.1/24 —— 192.168.1.2/24 —— 192.168.1.3/24 —— All other devices | | | VVV 10.10.10.1/24 10.20.20.1/24 10.30.30.1/24 build议 Router 1 Router 2 Router 3 192.168.1.1/24 —— All other devices 10.200.200.1/24 —– 10.200.200.2/24 —– 10.200.200.3/24 —— Routers/Firewalls only | […]
我们有一个networking,大部分都是用一对冗余的Linux Iptables防火墙/路由器来build立的,但是我们错过了一个关键的难题。 任何发向辅助路由器的本地stream量都将在同一个子网中成功,但不能通过“主”路由器ip。 这是一个例子: networking图 Router1和Router2在10.0.0.0/24(Subnet0)和10.0.1.0/24(Subnet1)上都有接口,通过ucarp共享一个VIP 10.0.1.1。 Webserver1的IP为10.0.1.11,默认网关为10.0.1.1 在Subnet0和Subnet1接口上,Webserver1到Router1的Ping成功 从networking服务器1到路由器2的Subnet1接口上,Ping是成功的。 (不涉及路由) 但是,Ping从Subnet0接口上的Webserver1到Router2失败。 Router1收到Subnet1接口上的回应请求并按照预期将其转发出Subnet0接口,但当回应请求到达正确的(Subnet0)接口上的Router2时,Router2不会发送回复。 每次发生这种情况,Router2都会logging一个火星包。 7月31日21:39:33 Router2内核:[2772508.610259] martian source 10.0.0.3 10.0.1.11,dev dev0.1000 我们认为火星login线是由到达与networking不同接口的数据包引起的,而路由器已经有不同的接口,系统认为这是一个无效的源接口。 这个问题的解决办法是什么? 当Router1发送给Router2时,我们是否应该像SNAT那样做?
设置说明: 一个名为vpn1的VPN服务器 一个名为vpn2的VPN客户端 vpn1后面的一个networking,IP地址为10.0.0.0/24 vpn2后面的一个networking,IP地址为10.0.2.0/24 为了简单起见,VPN盒是LAN中机器的默认网关 服务器configuration:vpn1 mode server tls-server dev tun local PUBLIC-IP-HERE port 1194 proto udp persist-key persist-tun # Certificates and encryption ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 cipher BF-CBC comp-lzo push "route 10.0.0.0 255.255.255.0" push "route 10.0.2.0 255.255.255.0" push "route 10.255.254.0 255.255.255.0" route 10.0.2.0 255.255.255.0 client-to-client max-clients […]
我们有几台“路由器”机器,它们在同一主机上收集大量外部IP地址,并将stream量redirect,NAT或代理到内部networking。 它们还充当内部networking上机器的路由器。 这工作正常,但是我无法做出路由表,所以我可以改变源地址,基于目标机器从内部networking要访问。 假设我有一个路由器,它具有公共地址P1 (5.5.5.1/24)和P2 (5.5.5.2/24) 。 所有stream量都经过P1 ,但是如果有必要,主机也可以在P2上访问。 这看起来像这样,工作正常: > ip addr … 1: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether aa:bb:cc:dd:ee:11 brd ff:ff:ff:ff:ff:ff inet 5.5.5.1/24 brd 5.5.5.255 scope global eth1 inet 5.5.5.2/24 brd 5.5.5.255 scope global secondary eth1:p2 … 现在我想使用P2作为源地址,如果我想访问Google DNS服务(例如8.8.8.8 )。 所以我在路由表中添加一行: > ip route add 8.8.8.8 via […]
任务是非常奇特的。 我请求你的帮助。 你对这个问题有什么想法吗? 我们有: 1.第一装置: |互联网| – > | ASUS RT-N16(固件dd-wrt)1 | – > |基于Ubuntu 1 |的服务器 2.第二个设备: |互联网| – > | ASUS RT-N16(固件dd-wrt)2 | – > |基于Ubuntu 2 |的服务器 他们之间的距离近100-150米。 任务:我们需要获得控制两个WiFi点Ubiquiti UniFi AP Outdoor的“控制器UniFi”。 ( http://www.lanmart.ru/blogs/ubiquiti-unifi-outdoor_obzor-i-nastrojka/ )在华硕RT-N16(固件dd-wrt)1 |上连接的第一个WiFi点(“UniFi 1”)。 连接在华硕RT-N16(固件dd-wrt)2 |上的第二个WiFi点(“UniFi 2”)。 “UniFi控制器” 必须与UniFi控制器所在的接入点位于同一子网。 “UniFi控制器”是一个安装在基于Ubuntu 1 |的服务器上的软件程序 并在Apache和Java上工作。 这是网站的控制。 我们需要连接子网“UniFi”的接入点“UniFi 2”。 是否可以在基于Ubuntu 1 |的服务器上configurationvpn-server? […]
我试图分割我们公司的networking。 我的主要目标是有许多小的广播域,而不是一个巨大的,所以我想每个部门分配一个VLAN。 但是,我们有许多打印机和一个集中的文件服务器,应该可供公司内的任何设备访问。 所以,我想这些服务应该属于一个单独的VLAN,而VLAN又可以通过L3寻址与部门VLAN进行通信。 由于我们拥有L3思科交换机,因此VLAN间路由似乎是一种有效的方式。 但是正如我正在试验的那样,我注意到我必须为每个VLAN接口分配一个IP地址(从而将每个部门分配到它自己的子网中),并且只要我在L3交换机上允许ip routing ,设备就可以ping通不仅是打印机或文件服务器,还有任何其他部门的其他设备。 我知道在一个子网和另一个子网之间的广播域是不一样的,但是我认为如果这些VLAN不能互相通信的话,它会更加安全。 这就是说,这是我对这个问题的怀疑: 1)为了安全起见,隔离这些部门的VLAN是否更好,只能看到打印机/文件VLAN(不能互相看到)? 2)如果是的话,做这件事的最好方法是什么? 我能想到的唯一可行的方法是使用ACL,但是它们似乎并不实际,因为我将要处理很多条目。
Ubuntu box 服务器有2个networking接口: eth0 50.57.71.100 eth1 10.182.161.100 Ubuntu的盒子客户端有1个networking接口: eth0 10.177.30.100 服务器和客户端已经可以相互通话了。 这里是客户的路由表: 10.176.0.0/12 via 10.177.0.1 dev eth0 10.177.0.0/17 dev eth0 proto kernel scope link src 10.177.30.100 10.208.0.0/12 via 10.177.0.1 dev eth0 我在服务器的内核上启用了ipv4转发。 我如何设置这个,所以来自机器客户端的任何互联网stream量都通过服务器路由? (比如说,平8.8.8.8) 我尝试在客户端添加一个路由,但是直到我删除它,networking连接丢失: route add 10.182.161.100/32 dev eth0 我尝试设置一个客户端的默认网关服务器,但是失败: # route add default gw 10.182.161.100 SIOCADDRT: No such process
我们是一家SaaS提供商,在我们的数据中心和客户的站点之间build立一个IPSec VPN,以便他们可以直接从他们的局域网访问他们的托pipe数据库服务器。 我们的“参考devise”并没有将我们的内部LAN范围暴露给客户,而是仅仅是NAT所需的服务器,在VPN内的另一个“DMZ”私有地址之后,而客户也是这样做的,以防止他们的内部范围暴露给我们。 例如,在“参考”devise中, Customer Server –> Cust VPN NAT ====== VPN ======= My VPN NAT –> My server 192.168.27.4 –> 10.10.10.4 =================> 10.20.0.5 –> 192.168.3.16 只要我们可以同意在私有范围(10.10。和10.20。)之间使用非冲突的NAT,就可以正常工作。 我们只接受来自客户的入站连接,并且在上面的例子中将仅看到来自10.10.10.4的stream量。 今天,一位客户表示,他们只能使用公有IP作为两端的NAT,以避免发生范围冲突。 他们是一个拥有数千个备用公有IP的大型全球性公司,所以对他们来说没有任何问题。 我们是一家科罗拉多州的小型SaaS提供商,他们必须向我们的提供商certificate每个公共IP请求的正确性。 Customer Server –> Cust VPN NAT ====== VPN ======= New Public IP –> My server 192.168.27.4 –> 1.2.3.4 =================> 5.6.7.8 –> 192.168.3.16 我们没有问题帮助客户,通过这个过程,并获得公共IP,但.. 这是一个常见的设置? […]