KB299540解释了Windows XP如何自动将度量指定给IP路由: 下表概述了用于为绑定到各种速度的networking接口的路由分配度量标准。 Greater than 200 Mb: 10 Greater than 20 Mb, and less than or equal to 200 Mb: 20 Greater than 4 Mb, and less than or equal to 20 Mb: 30 Greater than 500 kilobits (Kb), and less than or equal to 4 Mb: 40 Less than or equal to 500 Kb: […]
我最近遇到了一种情况,我需要将两个IP地址分配给一个Linux主机,以便我们可以运行两个SSL / TLS站点。 我的第一个方法是使用IP别名,例如使用eth0:0,eth0:1等,但是我们的networkingpipe理员有一些相当严格的安全设置来压扁这个想法: 他们使用DHCP监听,通常不允许静态IP地址。 静态寻址是通过使用静态DHCP条目来完成的,所以相同的MAC地址总是获得相同的IP分配。 这个function可以在每个交换机端口被禁用,如果你问,你有一个原因(谢天谢地,我有一个良好的关系networking家伙,这是不难做的)。 在交换机端口禁用了DHCP监听function的情况下,他们必须在交换机上设置一条规则,允许MAC地址X的IP地址为Y.不幸的是,这也有一个副作用,就是只允许MAC地址X IP地址Y. IP别名要求MAC地址X分配了两个IP地址,所以这不起作用。 在交换机configuration上可能有解决这些问题的方法,但为了保持与networkingpipe理员的良好关系,我试图find另一种方式。 有两个networking接口似乎是下一个合乎逻辑的步骤。 幸运的是,这个Linux系统是一个虚拟机,所以我能够轻松地添加第二个networking接口(无需重新启动,我可以添加 – 非常酷)。 几个击键后,我有两个networking接口启动并运行,并从DHCP拉动IP地址。 但问题出现了:networkingpipe理员可以看到(在交换机上)两个接口的ARP条目,但是只有我提出的第一个networking接口会响应ping或任何types的TCP或UDPstream量。 大量的挖掘和戳,这是我想出了。 它似乎工作,但似乎是很多工作,似乎应该是简单的东西。 有什么其他想法? 步骤1:在所有接口上启用ARP过滤: # sysctl -w net.ipv4.conf.all.arp_filter=1 # echo "net.ipv4.conf.all.arp_filter = 1" >> /etc/sysctl.conf 从Linux内核文档中的文件networking / ip-sysctl.txt: arp_filter – BOOLEAN 1 – Allows you to have multiple network interfaces on the same subnet, and have the ARPs […]
每隔几个星期,我都会收到一封电子邮件(通常是非常不愉快的),有时甚至是来自Facebook用户的电话,他们认为我正在“窃听”他们的互联网。 进入www.facebook.com后,他们在我的网站上结束后得出这个结论。 看着我的服务器日志,似乎每天大概有一个人从不同的IP和服务提供商那里得到这个消息。 在他们的请求中的主机:标题确实包含www.facebook.com,因为我可以从我的服务器日志确认。 在这一点上,我相信这个问题必须在DNS。 不知何故,我的IP最终得到了一个www.facebook.com查询服务。 这一定很less发生,否则我会看到更多的stream量。 事实上,即使只有一小部分的Facebook用户在那里结束,我的网站也将被夷为平地。 任何关于这个根本原因的想法? 有人见过类似的东西吗 在这一点上,我能想到的唯一的行动方式是为从我的服务器请求www.facebook.com的用户创build一个特殊的login页面,告诉他们稍后再试。
我一直在阅读Debian系统pipe理员手册 ,并在网关部分中看到了这段话: …请注意,NAT仅与IPv4及其有限的地址空间相关; 在IPv6中,地址的广泛可用性通过允许所有“内部”地址在因特网上直接路由(这并不意味着内部机器是可访问的,因为中间防火墙可以过滤stream量),大大降低了NAT的有效性。 这让我想到了…随着IPv6还有一个私人范围。 请参阅: RFC4193 。 公司是否真的要用公有地址build立所有的内部机器? IPv6是如何工作的?
我想在远程服务器上设置一个VPN来路由我所有的互联网stream量,出于隐私的原因。 我可以设置一个传入连接并成功连接到它。 问题是,我只能看到远程计算机,没有其他网站会打开。 我希望远程服务器像NAT一样工作。 我怎样才能做到这一点? 请注意,我不想拆分互联网stream量。 我实际上想要将所有stream量发送到远程服务器,但需要使其中继stream量。 为了logging,我的远程服务器是Windows Web Server 2008,它没有路由和远程访问服务。 澄清 我最感兴趣的是服务器configuration。 我没有任何configuration客户端的问题。 顺便说一下,Windows Web Server 2008似乎具有与客户端操作系统(如Vista)内置的相同的VPNfunction,特别是,它不包括MMC中的RRAS控制台。 我也接受有关第三方PPTP / L2TP守护进程的build议,如果它们是免费的。
我的家庭服务器有两个主要的接口, eth1 (一个标准的互联网连接)和tun0 (一个OpenVPN隧道)。 我想使用iptables来强制UID 1002拥有的本地进程生成的所有数据包通过tun0退出,所有其他数据包通过eth1退出。 我可以很容易地标记匹配的包: iptables -A OUTPUT -m owner –uid-owner 1002 -j MARK –set-mark 11 现在,我想在POSTROUTING链(可能是mangle表)中添加一些规则,以匹配标记为11的数据包,并将它们发送到tun0 ,然后是匹配所有数据包并将它们发送到eth1 。 我find了ROUTE目标,但似乎只是重写了源接口(除非我正确读取它)。 是iptables能够吗? 我必须乱搞路由表(通过ip route或只是传统的route命令),而不是? 编辑:我想也许我应该提供更多的信息。 目前我还没有其他的iptables规则(虽然我可能会创build一些规则来执行未来不相关的任务)。 另外, ip route的输出是: default via 192.168.1.254 dev eth1 metric 203 10.32.0.49 dev tun0 proto kernel scope link src 10.32.0.50 85.17.27.71 via 192.168.1.254 dev eth1 192.168.1.0/24 dev eth1 proto […]
我遇到过一种情况:客户端需要将一组不到100万个IP地址(无子网)列入黑名单,networking性能是一个问题。 虽然我会猜测IPTables规则的性能影响要比路由less,但这只是猜测。 有没有人有任何可靠的证据或其他理由来支持将IPTables或空路由作为黑名单IP地址列表的解决scheme? 在这种情况下,一切都是自动的,所以易用性并不是真正的问题。 编辑26-Nov-11 经过一些testing和开发,看来这些选项都不可行。 看起来,路由查找和iptables都是通过规则集进行线性search,并花费太长时间来处理这么多规则。 在现代硬件上,将1M项放在iptables黑名单中会使服务器速度降低到每秒大约二十个数据包。 所以IPTables和空路由都没有了。 按照Jimmy Hedman的build议, ipset会很棒,除了它不允许你跟踪一个集合中的65536个以上的地址,所以我甚至不能尝试使用它,除非有人有任何想法。 显然,阻止这么多IP的唯一解决scheme是在应用层进行索引查找。 那不是吗? 更多信息: 在这种情况下,使用情况是阻止“已知罪犯”IP地址列表访问Web服务器上的静态内容。 FWIW,通过Apache的Deny from进行阻塞同样很慢(如果不是更多的话),因为它也是一个线性扫描。 仅供参考:最终的工作解决scheme是将apache的mod_rewrite与berkeley DB映射一起使用来对黑名单进行查找。 berkeley DB的索引特性允许列表以O(log N)性能进行扩展。
我已经多次反驳这个错误,但还没有find错误意味着什么的解释,或者是什么会导致问题。 我不会发布我的configuration或者我想添加的具体路由,因为我不想让别人告诉我我做错了什么这个时候,我想要了解错误的含义(什么是RTNETLINK的一个开始),以及这个错误的常见/已知的原因是什么,以便我和下次可以解决这个问题。 # ip route add ….. RTNETLINK answers: No such process
我设置了一个Debian框作为4个子网的路由器。 为此,我在LAN连接的NIC( eth1 )上定义了4个虚拟接口。 eth1 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.1.1 Bcast:10.1.1.255 Mask:255.255.255.0 inet6 addr: fe80::960c:6dff:fe82:d98/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6026521 errors:0 dropped:0 overruns:0 frame:0 TX packets:35331299 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:673201397 (642.0 MiB) TX bytes:177276932 (169.0 MiB) Interrupt:19 Base address:0x6000 eth1:0 Link encap:Ethernet HWaddr 94:0c:6d:82:0d:98 inet addr:10.1.2.1 […]
我想知道是否可以在运行内部跟踪路由时进行Dell Powerconnect 2848交换机显示。 这将有助于诊断问题,并使问题发生的地点更容易。 根据数据表 ,这个特定的交换机是2层和3层感知。 我不完全确定这意味着什么。 这可能吗?