我使用shorewall作为生产站点的防火墙和网关。 该站点还有一些虚拟专用网(VPN)运行在同一站点的不同服务器上(位于受保护区域)。 我在网站(在保护区域)的服务器的设置是让shorewall网关作为他们的默认网关,当他们需要访问VPN隧道另一端的资源时,网关会将stream量路由到本地VPN端点(当然是在接受防火墙规则之后),所以stream量基本上进入了保护区域接口,并通过相同的接口被路由出去。 这个设置在closuresshorewall的时候效果很好,但是当shorewall打开的时候,它会阻止这个stream量。 我想configurationshorewall允许这种types的stream量,但我不知道如何做到这一点。 Shorewall有一个名为route_rules的文件,所以我在其中添加了一个规则,如下所示: #SOURCE DEST PROVIDER PRIORITY eth1 192.168.1.0/24 main 1000 ( eth1是受保护区域的接口名称, 192.168.1.0/24是VPN的其他大小的networking, main是'shorewall-route_rules'手册页说的,您应该让路由表处理路由1000是根据所述手册页的默认优先级)。 但是这似乎对iptables规则根本没有影响,我也没有看到任何其他configuration更改作为这个规则的结果 – 显然我的stream量仍然被阻止。
再次在这里要求你的帮助… 这次我需要设置一个2个squidcaching代理的集群来加速一些apache服务器。 好处是没有NAT的调用,所以只有直接路由。 现在,我可以使用juniper防火墙[网关]上的策略路由来转移特定IP地址的stream量(如果xxxx-xxxx和dest端口中的IP dst范围= 80,则通过我的squid IP路由它,但不会改变包本身)。 但是,让我有点麻烦的是,我应该如何拦截stream量并对其进行修改,使其直接被squid盒取代,而不是路由到apache服务器。 显然这里有iptables,我并不擅长,所以如果你能给我一些帮助来设置规则,我会非常感谢你 很明显,我想要实现的只是HTTP通信的透明caching代理,它应该只使用公有IP地址加速一系列IP地址(多个服务器)。
在openstack上启动的实例无法连接到局域网上的任何东西,但他们愉快地到达互联网(谷歌,雅虎等) Openstack设置: 运行Openstack Essex的Ubuntu 12.04 多节点 1控制器 1计算运行nova-network 服务器上的双以太网卡。 eth0在局域网上,eth1在私有局域网上。 内部办公LAN:10.0.0.0/16(10.0.0.1 – 10.0.255.255) Openstack私有局域网:10.2.0.0/16 实例获得浮动ip在以下范围内:10.0.253.0/24 一个浮动ip的实例可以从办公室局域网到达。 实例无法直接到达办公室局域网(ping 10.0.0.2失败) 我认为这是计算主机上缺less的转发规则。 计算路由表: Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface default firewall001.hq. 0.0.0.0 UG 0 0 0 eth0 10.0.0.0 * 255.255.0.0 U 0 0 0 eth0 10.2.0.0 * 255.255.255.224 U 0 0 0 […]
我有一个function有限的基于路由的VPN。 我的站点A上的计算机可以ping站点B上的一个工作站,它恰好是唯一的工作站不是已经设置的域的一部分。 重申,我无法ping所有在同一个域的计算机。 有谁知道为什么这可能是? 网站B上的计算机都不能上网(除了可能是一台可以ping通的机器,但是网站B上的任何一台计算机都无法在物理上find这台计算机来testing它)
我目前正致力于在EC2的生产环境中build立一个质量保证环境。 所有这些实例都在VPC设置中,并具有以下子网: 10.0.83.0/24 – Production 10.0.81.0/24 – QA 我有一个EC2实例作为网关机器运行,已经有2个网卡,这似乎是限制(一个网卡用于外部IP,另一个用于内部网卡)。 我最初的计划是在10.0.81.0/24子网中添加另一个NIC,但这似乎是不可能的。 所以,我的下一个计划是将新的IP添加到现有的内部网卡,从而得到这个configuration: eth1 Link encap:Ethernet HWaddr 06:84:b1:68:6a:72 inet addr:10.0.83.10 Bcast:10.0.83.255 Mask:255.255.255.0 eth1:0 Link encap:Ethernet HWaddr 06:84:b1:68:6a:72 inet addr:10.0.81.10 Bcast:10.0.81.255 Mask:255.255.255.0 然后确保虚拟NIC处于正确的安全组中。 路由表显示正确: 10.0.83.0 * 255.255.255.0 U 203 0 0 eth1 10.0.81.0 * 255.255.255.0 U 0 0 0 eth1 然后,我为这个新地址build立了岸边墙,并重新启动了它: /etc/shorewall/interfaces: #ZONE INTERFACE BROADCAST OPTIONS …. – […]
在我的Linux机器上,我通过ipip获得了一个tun0 dev: tun0 Link encap:IPIP Tunnel HWaddr inet addr:10.10.10.2 PtP:10.10.10.1 Mask:255.255.255.255 我在这个盒子上运行一个ipsec vpn服务器(ipsec-tools),我怎样才能通过服务器上的dev-tun0路由所有vpnstream量(就像Openswan的leftnexthop)。 我的VPN客户端有10.9.0.1的IP地址。
这是我的情况:我有我的互联网连接由无线networking提供(我们称之为“A”)。 但是,我对这个networking没有太多的控制权。 我有一个wrt610n闪存dd-wrt,我想用它作为我的主要路由器/连接点,该networking。 我很确定我需要安装至less一个天线作为networkingA的“客户端”。我已经试过了,它工作正常,我在路由器上得到一个WAN IP。 不过,现在我想转过头来提供另一个networking(我们称之为“B”),以便我的设备连接到。 而且,这意味着有线和无线设备。 有人可以帮我弄清楚如何configuration它来做到这一点?
我想通过wlan0接口路由网页浏览 ,其余的通过eth1 。 你能帮我用iptables命令来达到这个目的吗? 以下是我的configuration。 谢谢 :) 编辑:这是关于桌面configuration不是一个Web服务器设置。 基本上我想用我的一个连接来浏览网页,另一个用来浏览网页。 使用ifconfig: eth1 Link encap:Ethernet HWaddr 00:1d:09:59:80:70 inet addr:192.168.2.164 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::21d:9ff:fe59:8070/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:33 errors:0 dropped:0 overruns:0 frame:0 TX packets:41 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4771 (4.7 KB) TX bytes:7081 (7.0 KB) Interrupt:17 wlan0 Link encap:Ethernet […]
以下configuration: Ubuntu 10.04服务器,2个网卡: – eth0 192.168.1.215/24,默认GW:192.168.1.250 – eth1 192.168.3.225/24 两者都连接到相同的路由器(Funkwerk Bintec R3000)。 路由器可以(通过内置的诊断)成功ping通两个IP。 当服务器中的两个NIC都在线时,从本地PC(IP为192.168.1.14/24),我只能ping eth0,而不能ping eth1。 但是:在ubuntu-box上禁用eth0时,我突然可以ping通eth1! 现在的问题是:我怎样才能让ubuntu-machine在eth0和eth1上响应ping? 非常感谢! 编辑:命令输出 IP地址显示 # ip addr show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu […]
我有以下configuration:两个子网(我们将调用A和B)和IP电话。 互联网访问在每个NAT的后面,并且在这两个子网之间build立路由VPN。 我正在使用托pipe的SIP提供程序(两个networking相同)。 IP电话configuration为在NAT后工作,并使用托pipe的SIP代理。 呼叫到外面和来电正常工作,通过托pipe提供商。 子网A中的电话之间的呼叫直接build立,即SIPstream量仍然到达托pipe提供商,但RTPstream量保持本地。 对于子网B内的呼叫也是如此 从A到B或从B到A的呼叫也起作用。 然而,RTPstream量并不通过VPN,而是往返于不理想的SIP提供商。 我有什么办法可以改善这最后一点?