我们有一个在192.168.2.1 interally访问的Linuxnetworking服务器。 它有一个默认网关192.168.2.2 。 这个网关不连接到外部世界。 我们也有一个公共IP地址176.35.XXX.XXX 。 它连接到192.168.2.6上的防火墙,然后转发到192.168.2.1 。 问题是默认网关在通过公共IP访问时无法返回响应。 是否有可能告诉networking服务器,来自192.168.2.6任何stream量应该返回到192.168.2.6而不是192.168.2.2 ? 编辑: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 172.16.1.9 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 172.16.0.0 172.16.1.9 255.255.255.0 UG 0 0 0 tun0 172.16.1.0 172.16.1.9 255.255.255.0 UG 0 0 […]
我有一个networking服务器192.168.2.1有一个网关192.168.2.2。 这个网关不允许访问外部世界,当networking服务器在本地访问时这很好。 我也有一个公共IP 176.XXX.XXX.XXX指向防火墙192.168.2.6,然后转发到192.168.2.1。 如果我从公网IP上访问networking服务器时运行tcpdump ,我可以看到活动,就入站stream量而言,一切似乎都没有问题。 但是由于网关,没有响应返回。 我想保留所有本地stream量的192.168.2.2的网关,但是任何来自防火墙(192.168.2.6)的stream量我想返回到防火墙。 这是可能的使用源策略路由? 如果是的话,这是最好的步骤? 创build一个自定义策略表(可以说mycustomtable) ip rule add from 192.168.2.6 lookup mycustomtable添加路由规则ip rule add from 192.168.2.6 lookup mycustomtable ip route add default via 192.168.2.6 dev eth1 table mycustomtable向定制表ip route add default via 192.168.2.6 dev eth1 table mycustomtable添加规则 这会工作吗? 这是我目前的iptables -L -n输出: target prot opt source destination ACCEPT tcp — […]
我有一个pfsense设置与多个wan,从它们共享同一层中的网关组GW_group1 我已经通过tinc与另外两个相同devise的设置链接,它将几个端口redirect到其他服务器,并接受从防火墙规则中的GW_group1连接到防火墙NAT中的直接NAT,从每个接口到服务器的每个端口 NAT: GATEWAY1 PORT 80 -> SERVER 1 PORT 80 GATEWAY2 PORT 80 -> SERVER 1 PORT 80 GATEWAY1 PORT 90 -> SERVER 2 PORT 90 GATEWAY2 PORT 90 -> SERVER 2 PORT 90 FIREWALL: ACCEPT GW_group PORT 80 TO SERVER 1 IP ADDRESS ACCEPT GW_group PORT 90 TO SERVER 2 IP ADDRESS 我可以从外面通过防火墙,如果只有如果连接通过默认网关来,如果我更改默认网关,我不再能够访问pfsense,也不能从外部访问它后面的服务器,并获得连接超时,即使tinc不能连接,除非它是连接到默认网关的IP地址 […]
我试图让外部客户端通过一个非常严格的学院防火墙访问我的数据库服务器,即只有端口80和443打开。 为了允许客户端与服务器通信,我计划将服务器侦听的端口从(默认为MySQL)端口3306更改为端口80.在更改/var/mysql/my.cnf文件中的设置以反映更改我希望,MySQL服务器拒绝启动。 Server: Debian 8.0 x64 MySQL Server: 5.5.57-0+deb8u1 configurationMySQL:(/etc/mysql/my.cnf) [client] port = 80 socket = /var/run/mysqld/mysqld.sock [mysqld_safe] socket = /var/run/mysqld/mysqld.sock nice = 0 [mysqld] user = mysql pid-file = /var/run/mysqld/mysqld.pid socket = /var/run/mysqld/mysqld.sock port = 80 basedir = /usr datadir = /var/lib/mysql tmpdir = /tmp lc-messages-dir = /usr/share/mysql skip-external-locking #bind-address = 127.0.0.1 key_buffer = […]
我做了一个防火墙规则bash脚本为: #!/bin/bash iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # […]
我已经阅读了无数关于如何configuration网桥的文章,而且它们都显得模棱两可或者不完整,或者只是显而易见的错误(使用192.168.xxconfiguration我的WAN端口以获得Internet连接?)。 我的情况:Ubuntu 16和KVM的安全性是通过Sophos UTM在虚拟机上运行的。 物理机有两个以太网端口,其中只有一个插入了电缆。 “当局”不同意是否必须有一个或两个物理以太网端口来build立桥梁。 我特别困惑的看似占优势的看法,说你只需要一个端口,并configuration它,使物理机(PM)和虚拟机(VM)共享一个IP地址。 在这种情况下防火墙是如何工作的? 哪台机器接收到防火墙通过的任何内容? 而不pipe答案是什么,不是一台机器就无法到达? 或者两台机器都收到全部通过的数据包? 如果我有两个以太网端口并在LAN端口上设置网桥,我可以避免上述的混淆。 现在我有一个通向虚拟机的IP地址,另一个仍然指向下午。 防火墙现在不复杂,因为我有不同的目标IP地址。 但是,第二种情况下的帐户从不包含对防火墙或IP表的任何讨论。 但是我不需要在两个端口之间有规则转发stream量吗? 我的电脑不是一个路由器(不是没有configuration)。 数据包进入一个端口不只是因为他们共享一个共同的底盘神奇地find通往第二个端口的方式吗? 我想正确的答案是WAN端口被分配一个公共IP。 局域网端口被桥接,并给予一个私人IP。 防火墙规则然后转发所有的stream量,除了SSH(所以我有办法远程进入PM仍然),从广域网到局域网端口。 然后,我在VM上configurationSophos来完成繁重的防火墙function。 局域网的其余部分连接在Sophos VM的下游。 我的IPtablesconfiguration命令的外观如何? 我花了好几个小时试图弄清楚自己。 帮帮我! PS – 最后一个问题。 网桥是否获得公共或私人IP地址? 我认为它需要有一个地址与虚拟机所在的网段相同。 在我的情况下,这意味着一个私人的IP地址。
鉴于以下networking设置: ┌192.168.1.10 Windows Server (WAN) │ └192.168.1.100 Router (WAN) 192.168.0.1 Router (LAN) │ └192.168.0.x Windows Client (LAN) 广域网区域:192.168.1.x. 局域网区域:192.168.0.x. 这些区域由路由器分开。 您可以看到客户端位于LAN区域,并通过路由器连接到WAN区域。 服务器位于广域网区域。 我想要做的是启用客户端(运行Windows 7)通过Kerberos与服务器(Windows Server 2003)进行身份validation。 许多网站告诉我,我需要在路由器防火墙中启用TCP和UDP端口88来使用Kerberos。 当然,这只有在服务器位于防火墙之后才有意义。 但是在这种情况下,客户端就在防火墙之后。 我试图使用客户端上的lmhosts文件来指定我的Windows服务器的IP地址,但不起作用。 我能够使用域用户和密码在我的客户端上进行Windowslogin。 但是,当我想要访问networking共享时,例如,我收到一条错误消息,并提示我再次进行身份validation。 我的问题:我需要什么configuration才能正确validationWindows域并使用networking共享,而不必重新进行身份validation?
我在centOS上运行ISC DHCP deamon,并希望在到达dhcpd之前阻止不需要的(通过客户端MAC地址)发现消息。 我怎样才能做到这一点与iptables或其他?
我试图理解iptables图中的多重路由决策。 当数据包第一次到达时,可能会在“mangle PREROUTING”中进行更改,而不是作为数据包的第一个目标的本地处理。 但是图中另一个“路由决策”块的目的是什么呢? 例如,如果数据包在“mangle OUTPUT”中更改为本地传送,则图的底部将执行“Routing Decision”选项。 我认为它不能将包传递回“mangle INPUT”。 iptables的工作原理图
我刚刚安装了OPNSense; 它工作正常,我可以有stream量进出,但是当试图使用一个持续的stream如rtmp,它停止几个kB后。 如果我禁用了防火墙,那么这个stream会继续,所以我猜想有一些防洪function是可以启用的。 有没有办法禁用它? 提前致谢