所以我订购了一个Comcast商业账户(有线互联网提供商),并在Comcast调制解调器前面放置了一台Cisco WRV210。 他们给了我一个静态的IP地址,我打算用来访问我的相机系统。 我将DMZconfiguration为将静态IP地址转换为本地IP地址,然后直接转到video服务器。 这使我可以访问networking中的静态IP。 这是2天前设置,我注意到连接越来越慢,直到我必须重新启动思科防火墙框。 经过进一步调查,当我将我的笔记本电脑插入Comcast路由器时,我收到一个IP地址10.1.10.1,告诉我路由器也启用了DHCP。 Comcast电缆调制解调器是SMC品牌。 这是应该启用? 我希望我不必返回思科盒子,并得到别的东西。
在我的防火墙/路由器Linux机器上,我经常看到ICMP主机/端口不可达错误,如: Jan 10 10:11:56 localhost kernel: [80413.542607] firewall-invl: IN=wan OUT= MAC=c8:60:00:e1:0f:7c:00:01:5c:22:e0:c1:08:00 SRC=95.37.140.148 DST=my-public-ip LEN=162 TOS=0x00 PREC=0x20 TTL=51 ID=2053 PROTO=ICMP TYPE=3 CODE=1 [SRC=my-public-ip DST=10.10.10.103 LEN=134 TOS=0x00 PREC=0x00 TTL=48 ID=0 DF PROTO=UDP SPT=4608 8 DPT=13298 LEN=114 ] 在这里,“my-public-ip”是由ISP分配给“wan”的外部dynamicIP。 另一个iface,“br0”,连接到我的10.0.0.0/24局域网。 如果我正确阅读,那么95.37.140.148(俄罗斯,mts-nn.ru)上的一台主机向我发送一个ICMP主机不可达消息,以回应10.10.10.103的LAN机器请求之一。 然而这对我来说是非常混乱的,因为在FORWARD链中有一条规则,它专门阻止来自LAN内部的这种请求(以及192.168.0.0/16和172.16.0.0/12) -A FORWARD -d 10.0.0.0/8 -i br0 -j REJECT –reject-with icmp-host-unreachable 例如,traceroute返回正确的“!H” $ traceroute 10.10.10.103 traceroute to […]
我试图在我的testing平台上使用pfsense作为我们的托pipe中心cisco网关的替代品,以testing我们的新防火墙 设置是:[Internet] – > [Wan:?? -Hometing中心路由器 – 局域网:85.10.100.1] – > [Wan:85.10.100.2/30 – 我们的防火墙-DMZ:85.10.100.253/24] – > [85.10.100.x地址的机器networking] 我们没有这个思科网关的访问权限或非常多的知识,除了它被用作我们所有机器的网关,这些机器都具有在上述85范围内定义的IP地址 pfsense是坐在代替思科网关,与pfsense广域端与随机ip的几个客户端 我已经禁用了NAT,并且允许防火墙部分中的任何规则(否则没有任何作用),我的客户端可以ping内部networking上的机器。 但问题是当一个客户端访问前。 一个Web服务器在85台机器上的80端口上,如果你看access_log – 请求来自pfsense lan ip(85.10.100.1),而不是实际的ip。 我错过了什么? (85networking定义组成,但它类似于实际的IP)
这种情况可能有点局限性,但问题的根源意味着,只要您通过具有应用程序控制或类似function的防火墙传递PostScript(可能还有其他types的打印作业),就可能发生这种情况(说,因为你有一个到远程站点的VPN隧道)。 我们在台式机上运行Brooks RPM以接受来自SAP服务器的PostScript打印作业。 基本上,它应用脚本来将input(PostScript文件)转换为PDF,给它一个不错的名字,并将其发送到用户的电子邮件地址,带有预格式化的主题行以便于转发。 SAP服务器位于我们的网站上。 我在这里和远程站点都有SAP用户,我们通过VPN隧道(连接的细节无关紧要)连接到这个站点。 有一段时间,某些文档在打印时向服务器发送无限重复的打印作业。 症状如下: 不止一种types的文件有问题 错误可以在“问题”文件上一致地复制 打印输出不完整,但有趣的是,每一份打印作业都有不完整的状态 该问题只发生在远程站点 从两端,networkingstream量看起来完全正常(即没有丢包等),没有其他打印作业有问题 要解决这个问题,我们必须停止Windows打印机假脱机服务,清除%WINDIR%\ system32 \ spool \ PRINTERS并重新启动打印机假脱机服务 – 只有这样重复的打印作业才会停止。 我发现每次打印输出都会有不同的内容,这让我觉得奇怪 – 我猜测SAP服务器一直在生成格式不正确的PostScript文件,以响应来自打印服务器的每个故障报告,但是当我们检查SAP打印机假脱机日志 – 每次打印尝试只有一个logging输出。 从我对打印假脱机的理解(当然缺乏)来看,每次打印作业都不应该有不同的内容,因为内容实际上没有被重新生成。 事实certificate,我是对的 – 印刷工作被打破,但不是由SAP。
我正在设置防火墙/网关(Ubuntu服务器8.04.1) 防火墙有三个网卡:eth0 192.168.0.2 eth1 192.168.1.2 eth2 192.168.2.2 eth1直接连接到ADSL路由器(它也有NAT)ADSL路由器的IP是192.168.1.1 个人电脑192.168.0.x需要通过路由器访问互联网(网关设置为192.168.0.2,为他们每个人) 192.168.2.x上的服务器接收来自互联网的stream量 到目前为止,这里是防火墙脚本(更新) : #!/bin/bash # Local – eth0 – 192.168.0.* # Comms – eth1 – 192.168.1.* # Servr – eth2 – 192.168.2.* iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables –flush iptables –table nat –flush iptables –delete-chain iptables –table nat –delete-chain iptables -P INPUT […]
我来自一个Unix背景,但得到了在面向公众的服务器上configurationWindows防火墙的任务。 我觉得很尴尬的是,我对公共IP执行的任何nmap扫描都会报告从1到65389的所有TCP端口为打开状态,而不pipeWindows默认规则是否允许不符合规则的入站连接。 我在select其中一个configuration文件的入站规则中的“阻止所有连接”后,甚至被locking在远程桌面之外,但仍然显示: 3389 / tcp打开ms-term-serv 这是如何解释的
我有一个Sonicwall NSA 3500我正在configuration。 它支持1.5 Gbit的全状态stream量,但单个广域网端口仅支持1 Gbit的stream量。 NSA系列防火墙不支持链路聚合。 我可不可以,我应该在两个端口(它支持)上configuration循环广域网负载平衡吗? 我有端口来做,两个广域网端口都会到达同一个上游交换机,这个交换机有一个到路由器的10Gbit中继线。 为什么不对? 着名的遗言…所以我问… 更新 看来这是不可能的,因为防火墙抱怨两个WAN端口必须在不同的子网上。 从我了解这个正确的人确认?
也许我没有正确地解决我的问题,但我有一个IP地址和多个服务器在IP路由器后面。 有没有办法让我redirect请求从服务器获得HTTP转发到防火墙后面的其他计算机? 我在用着: Ubuntu – 所有服务器 Apache2 – 所有服务器 IpFire – 路由器软件
我有一个WAN接口和2个LAN接口。 我需要LAN能够通过WAN(外部)接口访问networking外部的服务器。 我使用ASA 5510防火墙而不是路由器,因为我没有路由器。 它看起来很简单,但它不起作用。 我从连接到LAN(内部)networking的PC(172.16.22.8)ping到10.10.10.1,这是WAN本地接口也没有工作。 但从ASA防火墙,我可以ping我的局域网(内部)电脑。 我跟着从这个论坛得到的configuration。 但是,它没有工作。 在我的configuration下面。 请帮忙。 interface Ethernet0/0 nameif outside security-level 0 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.16.22.254 255.255.255.0 ! interface Ethernet0/2 nameif inside2 security-level 50 ip address 172.16.21.254 255.255.255.0 ! access-list outside-inside extended permit ip any any access-list outside-inside extended permit […]
我相当肯定,这是一个NAT或路由问题,但这是一个不断让我难住。 硬件是Checkpoint Safe @ Office防火墙。 默认的操作模式是有线客户端在192.168.10.xnetworking上,而WiFi客户端在192.168.252.x上,并且彼此被防火墙隔离。 有线端的一台电脑就是一台networking服务器。 为我的商业网站的“开发”子域服务。 它是从外部和内部访问和一切正常工作。 然而,我需要有线和无线networking能够因为其他原因彼此交谈。 去做这个; 您可以将设备设置为“网桥模式”,因此有线和WiFi客户端都将以192.168.10.x的IP地址结束,并且可以自由通信。 不幸的是,以这种方式桥接的事情严重阻碍了networking服务器的性能,使其从networking内部无法使用 – 它在外部仍然很好。 如果我从networking内部ping dev.mydomain.com,它会parsing到我的公共IP地址 – 而我之前的所有尝试(并使用googlesearch)都可以使这个configuration正常工作,这表明因为请求是出站的,所以返回到networking中, “double natting”或类似的东西,导致路由器不确定如何处理它。 有没有办法解决这个问题? 我发现其他人也遇到同样的问题(跨越不同的设备),但还没有看到有效的解决scheme。 Updated 31/03/2013: 我相当确信,第一个回答者是在正确的轨道上使用NAT规则redirectstream量。 起初,我认为硬件没有工作 – 但我已经能够通过成功地将所有出站networkingstream量从一个设备redirect到虚无确认,它按预期工作。 所以现在的问题是 – 什么NAT规则(S)需要发挥作用,以确保stream量属性路由到内部networking? 我试过了最明显的一点: 何时:源是内部networking ,目标是我的公共IP ,服务是Web服务器 那么:不要更改源,将目标更改为我的内部服务器IP,并且不要更改服务。 这不起作用,但我觉得好像应该。 更新#2 我正在使用Microsoftnetworking监视器尝试和观察数据包,看看是否提供了任何见解。 首先,这提出了一个关于NAT转换如何工作的问题 – 因为即使规则已经到位,我也会看到请求发送到dev.mydomain.com,而在数据包内部,目的地仍然是我的公有IP 。 如果翻译实际上是改变目的地,还是应该默默地redirect? 其次,这也证实了这个问题。 如果我在捕获数据包的同时查看真实的网站,则模式看起来与您所期望的相似 – 首先,DNS查找出现并返回,然后发出大量请求(可能与所有标准文件,JS,CSS等等,以及HTML本身),每一个都几乎立即回答与数据包。 如果我看着我的开发。 子域; 这是非常片面的。 有或没有NAT规则,我所看到的是请求消失,并且初始响应回来,然后HTTP GET请求出去,并返回(实际上包含页面的HTML) – […]