有没有办法使用IPTables(Debian Squeeze)完成以下工作:让用户使用普通的ssh命令和端口22连接到“主机”服务器,然后一旦build立连接,将它们重新路由到另一个基于string的地址他们曾经连接在第一位。 例如,如果在托pipe虚拟服务器的云中使用服务器(我们可以使用“虚拟”地址(因此主机服务器有一个公用地址,而来宾服务器都有自己的专用地址)),我们希望用户连接到主机服务器使用通用的外部端口端口,然后使用基于它们使用的原始ssh连接string的单独地址将它们重新路由到虚拟服务器。 要进行初始连接,我们需要使用一个ssh端口…,然后在初始连接完成后将用户重新路由到特定的虚拟服务器。 任何帮助感激!
我有一个在Windows主机下运行的Linux访客虚拟机。 如果我将networking模式设置为NAT,则访客可以访问互联网(我想要),但也可以访问主机LAN(我不)。 由于各种原因,我不能build立一个单独的networking,只为客人提供互联网接入。 我可以使用Windows防火墙或某些路由软件来允许我访问互联网的访客,但阻止所有其他访问? 编辑 – 我从virtualbox论坛得到的解决scheme:与Windows防火墙使用NAT来阻止来宾。 我的错误是试图在主机上设置规则(程序=全部,本地IP =访客IP范围)。 规则实际上应该是(本地IP =所有,程序= virtualbox.exe),因为NAT已经发生之前,它击中防火墙
我正在使用linode.com,他们提供了一个私人IP分配给每个VPS的能力。 我试图做的是设置每个节点的防火墙,以允许从networking上的其他节点访问,但我似乎没有太大的成功。 例如,我试图允许从server2访问server1:1337,两者的设置如下: server1: ifcfg-eth0: DEVICE="eth0" IPADDR="1.1.1.1" NETMASK="255.255.255.0" ifcfg-eth0:0: DEVICE="eth0:0" IPADDR="192.168.132.96" NETMASK="255.255.128.0" server2: ifcfg-eth0: DEVICE="eth0" IPADDR="1.1.1.2" NETMASK="255.255.255.0" ifcfg-eth0:0: DEVICE="eth0:0" IPADDR="192.168.132.97" NETMASK="255.255.128.0" 和server1上的IPTables规则集: #—– # Flush all current rules from iptables# #—– iptables -F iptables -F -t nat #—– #—– # Set access for localhost #—– iptables -A INPUT -i lo -j ACCEPT # !! Tried […]
我有一台服务器在我想连接到Windows 7的Amazon EC2实例上运行strongSwan。strongSwan服务器位于专用networking上(networking172.16.0.0/17上的IP地址为172.16.1.15),并将stream量转发给其从公共IP地址的私人地址 – 这是亚马逊称之为“弹性IP”。 我想从另一个私有子网(10.127.0.0/22)分配客户端地址,并在两个私有子网之间路由通信。 请注意,172.16.0.0/17子网由Amazonpipe理,但10.127.0.0/22子网现在不受任何pipe理(除了我的ipsec.conf)。 我的Windows客户端连接到VPN,但无法连接到专用networking上的任何主机。 我的理论是,这与客户端路由或服务器上缺less一些iptables调用的问题有关,但是我对这两个域都不是非常了解,而且我陷入了困境。 我在服务器上安装了Ubuntu 12.04和strongswan-ikev2。 ipsec version报告Linux strongSwan U4.5.2/K3.2.0-52-virtual 请注意,客户端和服务器都在NAT之后(客户端,因为它在本地办公networking,服务器,因为它在亚马逊的云)。 我在Amazon仪表板和客户端的防火墙上解除了UDP端口500和4500的封锁。 我在服务器上启用了IPv4转发: echo 1 > /proc/sys/net/ipv4/ip_forward 我已经进入亚马逊的172.16.0.0/17子网的VPCpipe理用户界面,并允许所有来往10.127.0.0/23子网的stream量。 这是/etc/ipsec.conf: config setup plutostart=no conn %default keyexchange=ikev2 dpdaction=clear dpddelay=300s rekey=no conn dlpvpn left=172.16.1.15 leftauth=pubkey leftcert=openssl-cert.pem leftid=vpn.example.com leftsubnet=172.16.0.0/17 right=%any rightsourceip=10.127.0.0/22 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 这是/etc/ipsec.secrets: : RSA openssl-key.rsa TESTDOMAIN\testuser : EAP "testpassword" 这是/etc/strongswan.conf: […]
[为长长的序曲道歉; 一半的问题。] 我有一个工作的OpenVPN设置,VPN服务器将路由返回到一个客户端(以下称为“路由器”),然后可以将自己的子网暴露给运行服务器的计算机以及运行VPN客户端的其他计算机。 这是通过使路由器使用iptables的SNAT目标来实现的。 例如,假设VPN服务器和其他不起眼的客户端位于10.0.77.0/24networking上,那么VPN会创build一个覆盖192.168.252.0/24的tun0接口,而私有子网为192.168.33.0/24。 OpenVPN服务器configuration(除其他外) client-to-client route 192.168.33.0 255.255.255.0 push "route 192.168.33.0 255.255.255.0" 当Linux“路由器”机器,192.168.33.10让我们说,连接到VPN它得到了一个路由,所以它的表看起来像 192.168.33.0 * 255.255.255.0 U 0 0 0 eth1 192.168.252.0 192.168.252.5 255.255.255.0 UG 0 0 0 tun0 192.168.252.5 * 255.255.255.255 UH 0 0 0 tun0 然后将其configuration为运行 sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -s 192.168.252.0/24 -j SNAT –to-source 192.168.33.10 它也可以添加一些iptables规则来创build一个防火墙,但是以上就足以让运行OpenVPN服务器(或另一个客户端)的机器连接到,比如192.168.33.11:数据包通过tun0发送到路由器,路由器使用SNAT将源IP设置为自己的192.168.33.10,然后将数据包转发给其兄弟机器192.168.33.11。 […]
鉴于以下安装: old router 192.168.1.1 with NAT forward of tcp port 80 to 192.168.1.10:80 new router 192.168.1.2 with NAT forward of tcp port 80 to 192.168.1.10:80 web server 192.168.1.10 with default gateway 192.168.1.1 目前,我的服务的DNS条目指向旧路由器的外部地址。 路由器将stream量端口转发给networking服务器,networking服务器将答案返回给旧网关。 为了无缝迁移到新的路由器(使用另一个外部IP),我想先设置一个新的路由器,testing两个连接都处于活动状态的整个事件,然后将DNS IP更改为新的外部地址。 现在,用上面的设置,旧的路由器仍然工作。 但是发往新路由器的tcp连接,也回答不能处理它们的旧路由器。 我想过用伪装来使用nat,但是发往新路由器的所有stream量看起来就像是本地stream量。 这会欺骗服务器基于ip的filter和日志logging。 现在,我的计划是使用一个Debian和iptables的帮助程序来获得一个临时解决scheme: old router 192.168.1.1 with NAT forward of tcp port 80 to 192.168.1.10:80 new router […]
我有一个服务器托pipe多个桥接(即水龙头)VPN使用openvpn,其中每个VPN有一个不同的10.8.X.0 / 24子网。 我希望将发送到每个VPN中的特定未分配IP地址(例如10.8.X.254)的stream量redirect到不同VPN上的固定地址(例如10.8.1.10)。 这样做的目的是通过保持VPN服务器上大量的路由configuration,使得客户端configuration保持相对干净(即它知道某些stream量总是到达自己的子网上的地址254),并且也更容易修改目的地知识产权在未来。 首先,在VPN服务器上,我用内核启用了IP转发 echo 1 > /proc/sys/net/ipv4/ip_forward 然后,我尝试使用iptables在VPN服务器上为每个VPN设置NATredirect sudo iptables -t nat -A PREROUTING -s 10.8.2.0/24 -d 10.8.2.254 -j DNAT –to-destination 10.8.1.10 但是,从VPN内ping请求到10.8.2.254失败,出现Destination Host Unreachable并且tshark在服务器的VPN接口上报告以下networking通信 6.943311 10.8.2.12 -> 10.8.2.1 SSH 274 Encrypted response packet len=208 6.943347 10.8.2.1 -> 10.8.2.12 TCP 66 42926 > ssh [ACK] Seq=97 Ack=625 Win=563 Len=0 TSval=3930766820 TSecr=80207294 6.959100 […]
我的组织中有第3层HP交换机。 它们被设置为在连接到它们的所有VLAN之间执行路由,并且一切正常。 我很熟练地使用它们,但这是一个奇怪的。 我想在一些VLAN之间路由,而不是其他路由。 所以,(我在这里给出一个问题的抽象版本)如果我有VLAN 10,11,12和13,我想在10到11之间路由,我想在12到13之间路由,但不在10/11之间和12/13。 像这样的东西: 10<==>11 || 12<==>13 通常我只是设置一个不需要路由的IP地址,但问题是我希望所有的VLAN都能够路由,而不是所有的VLAN。 有什么build议么? 谢谢 标记
我有一组移动设备被configuration为发送UDP消息到在其SRAM中设置的IP地址。 他们无法存储URL,也无法将URLparsing为IP地址。 到设备发送到目的地IP的stream量必须通过我控制下的网关路由器。 网关路由器正在运行OpenWRT linux。 我想将这些UDP数据包发送到Amazon Elastic Load Balancing(AWS服务)。 Elastic Load Balancing的一个限制是(就我所能确定的)而言,必须使用DNS来parsing负载平衡器的IP(因为在任何时候AWS可能会使用多个负载均衡器)在亚马逊控制下的DNSselect使用哪一个)。 这是漫长的故事。 简短的故事是:“如何通过OpenWRT路由器将UDP数据包路由到通过路由器上的DNSparsing的地址? 我正在寻找一个解决scheme,通过IP链/表,防火墙规则等(或至less“插件”与一些历史),而不是自定义生成的代码。 预先感谢您的帮助!
为什么不可能configuration多个默认的IPv6网关? 在Linux上,我无法执行两个“ip-6 route add default via [gw_ip]”,而我可以使用IPv4来执行此操作。