我有两个networking,我想连接路由器/防火墙来过滤两者之间的stream量。 一个networking在公共子网上,假设64.22.12.192/27 ,另一个networking在私有子网192.168.0.0/24 。 通过一个有三个以太网端口的路由器连接,一个连接到互联网,另外两个连接到公共和私有子网,并且在它们自己的VLAN中。 如何使私有子网可见到公共networking? 这是networking图: Router1> eth0 —连接到Internet Router1> eth1 — 64.22.12.193/27连接到VLAN 64子网64.22.12.193/27 Router1> eth3 — 192.168.0.1/24连接到VLAN 192子网192.168.0.0/24 我试过在路由器上的静态路由192.168.0.0/24到64.22.12.193我也尝试路由到192.168.0.1 。 都没有工作。 我希望两个子网之间的stream量通过路由器,因为我希望能够在子网之间的路由器上设置防火墙规则。 我尝试了静态路由,但无法工作,我做错了什么? 我意识到我可以使用NAT,但为了访问个人私有IP机器,我将不得不build立一个一对一的NAT,将我的宝贵的有限的公共IP 我必须设置一个隧道来完成这个吗? 隧道不会绕过防火墙规则吗? IP路由显示: default via 66.22.32.137 dev eth0 proto zebra 192.168.0.0/24 dev eth3 proto kernel scope link src 192.168.0.1 64.22.12.192/27 dev eth1 proto kernel scope link src 64.22.12.193 66.22.32.136/29 […]
我最近一直试图追查我们的系统中的一个问题,并且注意到它根本不被允许连接到远程机器。 但是,远程机器(不受我们控制)正在响应我们与另一个端口(26469,26497,26498)上的许多TCP RST数据包的连接请求,这个数据包与我们始发的端口(53)相同。 它根本就不会让RST在这些晦涩难懂的高端港口,只有10包/秒的时间,只有RST一两个小时。 在我们连接的数千个节点中,这是唯一一个能够显示这种行为的节点。 什么可能导致这个? 编辑 下面是Wireshark发生的一个截图。 我没有实际的转储了,每次都不能重现这个特定的场景。 基本上,我们发送了一个SYN并立即在一个奇怪的端口上获得了RST ,所以我们用RST做出响应,只是继续前进。
我使用默认的日志logging策略“低”的UFW。 我想保持默认拒绝操作的这个日志logging,但只有一个特定的IP地址禁用它。 所以我想创build一个没有logging的新规则。 有没有办法做到这一点? 到目前为止,我有一个相当简单的ufw设置,像这样: Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip To Action From — —— —- 22/tcp LIMIT Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 22/tcp ALLOW Anywhere (v6) 80/tcp ALLOW Anywhere (v6) 443/tcp ALLOW Anywhere (v6)
在内核日志中有数百个这样的行。 源是VPS的外部IP(不是本地主机,也不是127.0.0.1),其他时间是VPS提供商networking的IP。 源端口和目的端口总是17500.我搜查了一下,但似乎并不是一个已知的端口。 它不被SSH,FTP,邮件服务器或其他人使用。 编辑:Dropbox没有安装的服务器(运行Ubuntu服务器12.04) Jan 2 01:17:17 kernel: [8861587.504866] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:10:00:25:09:e7:9b:08:00 SRC=xx.xx.xx.xx DST=255.255.255.255 LEN=210 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=190 Jan 2 01:17:40 kernel: [8861610.825311] iptables denied: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:10:00:05:90:ad:c2:08:00 SRC=xx.xx.xx.xx DST=255.255.255.255 LEN=151 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=17500 DPT=17500 LEN=131 Jan 2 01:17:47 kernel: [8861617.544797] iptables […]
为了获得VNC的访问权限,我把这个愚蠢的命令放到了ssh的firewalld上 $ firewall-cmd –enable 5903:tcp 现在我不能ssh,ping或curl服务器。 哎呦。 任何人都可以解释造成这种情况的原因吗? 我的意思是肯定 – 自行启用将启用防火墙及其默认规则(即SSH访问是其中之一)是正确的? 正如你可能可以告诉我没有阅读手册 – 基本的人为错误。 另外请注意,我以普通用户身份运行该命令,而不是以root身份或通过sudo运行。 谢谢所有:(
我首先在Stack Overflow上问了这个问题 ,但后来我认为Server Fault可能是一个更好的地方发布它。 我有两个WebSocket服务器都运行在不同的端口比80和443.这两个服务器运行在只有端口80和443打开的防火墙后面。 WebSocket Server A:800 | |—–|FireWall:80 & 443|—–> INTERNET WebSocket Server B:801 | 我正在寻找的是一种让我的客户端连接到WebSocket服务器的方式,而无需知道端口,也无需打开任何其他端口(而不是80和443)的防火墙。 所以我想,也许我的防火墙和WebSocket服务器之间的中介服务器(或代理服务器)可以configuration为当客户端请求www.mywebsite.com/a端口80或443(通过防火墙)中介服务器将客户端连接到WebSocket服务器A.当客户端在端口80或443上询问www.mywebsite.com/b时,中间服务器将其连接到WebSocket服务器B.这是可能的吗? 如果有的话,是否有任何服务器,你可能知道有这个function实现? 在另一个说明(也许不是很不一样), TCP打孔和上面解释的方法之间有什么区别?
在我的思科路由器,我有多个启动语句,如果其中一个图像加载失败或意外删除。 例如路由器可能有一个configuration,如: boot system flash disk0:PREFERED_IMAGE.bin boot system flash disk0:OLD_IMAGE.bin 路由器首先尝试启动PREFERED_IMAGE.bin,因为它是第一个顺序。 我可以configuration一个ASA吗? 或者在ASA中执行多个启动语句会导致问题? boot system disk0:/PREFERED_IMAGE.bin boot system disk0:/OLD_IMAGE.bin asdm system disk0:/PREFERED_ASDM.bin asdm system disk0:/OLD_ASDM.bin
希望我们有一些Juniper家伙,我已经configuration了Juniper SSG5作为我们的主要防火墙/路由器,在接口bgroup1上设置的DHCP服务器从10.10.10.76到10.10.10.210 所有的客户端都可以上网除了2.我们已经把其他的笔记本电脑插入这些端口没有问题。 我得到的错误是: IP pool of DHCP server on interface bgroup1 is full. Unable to offer IP address to client at xxxxxxxxxxxx IP pool of DHCP server on interface bgroup1 is full. Unable to offer IP address to client at xxxxxxxxxxxx 但游泳池并不满。 有大量的地址可用。 每当我从DHCP服务器释放IP到它的列表的末尾,不会被删除。 当客户端连接时,即使清除DHCP地址并重新创build,也会保持相同的IP。 也试图在客户端发布。 可能是什么问题 ? 是的,客户端正在获取DHCP地址,防火墙已禁用。 情况:以前的路由器已经安装并且硬件出现故障 – >用configuration为模拟旧路由器configuration的Juniper SSG5replace – […]
我是Fedora和后端新的。 最近我有一份工作,通过linode构build一个游戏服务器。 目前的设置是2 linode + 1 nodebalancer,我有一个memcached服务器在每个linode,我已经设置memAdmin监视memcached。 我的问题是,如何build立允许S1(memAdmin)telnet S2 11211的防火墙规则? 由于我的memAdmin位于S1,它需要访问S2 memcached的权限。 我已经尝试了一些规则: iptables -P INPUT DROP iptables -A INPUT -p tcp -s (S1's ip) –dport 23 -j ACCEPT iptables -A INPUT -p tcp -s (S1's ip) –dport 11211 -j ACCEPT 我甚至尝试内部网IP地址像192.168.0.0/24为-s,但它仍然无法正常工作。 我已经将/ etc / sysconfig / memcached中的OPTION设置为“-l 0.0.0.0”,memcached服务正在侦听ip 0.0.0.0,但我仍然无法telnet S2 11211 form S1。 我试图阻止iptables服务。 […]
我有2个Miktorik RouterBoards,RB1100和RB951G。 951G充当我的无线盒子,并具有访客,内部和互联网无线networking。 RB1100有3个WAN连接(2×150 / 10Mb电缆调制解调器和70 / 20Mb VDSL调制解调器),并为整个networking进行负载平衡,防火墙等。 RB1100在networking192.168.0.0/24上,951有3个地址范围: 来宾 – > 192.168.87.0/24 内部 – > 192.168.88.0/24 仅限Internet – > 192.168.89.0/24 这个想法是,客人是防火墙大时间(有限的带宽,有限的网站等),我已经与热点的帮助下工作。 Internet只应该被路由到互联网,可能限制某些端口,并且不应该在192.168.0.0/24networking上看到任何东西。 内部应该既可以访问互联网,也可以访问192.168.0.0/24networking,而192.168.0.0/24networking上的任何东西都应该能够看到192.168.88.0/24networking… 我只有互联网的一部分工作在一定程度上,但不小心清除我的路由器configuration( doh ),但我从来没有设法正确设置内部networking… 目前我已启用NAT,并允许我从88.0 / 24networking查看192.168.0.0/24networking上的所有计算机,但0.0 / 24无法看到88.0 / 24networking… 我知道我需要做一些与路线有关的事情,但是即使有了这些,也不能让我看到机器(wifi上的笔记本电脑无法看到有线的桌面)。 那么,我哪里错了? 再次,对不起,我不能发布确切的configuration…失去了防火墙规则拧了…