我们在ESX上运行RedHat 5.8 VM,并使用iptables作为防火墙。 这个盒子有多个nics,一个nic作为我们networking的网关,其他nics每个都去一个单独的VLAN /networking。 我看到的问题是,从主机直接向防火墙虚拟机执行iperftesting,速度为800 Mbps,但尝试从防火墙外的主机到防火墙内的主机执行iperftesting(导致stream量通过通过防火墙)产生约30Mbps或更低的速度。 细节: 我不确定我们正在运行的ESX或UCS的版本是什么,但我可以看出这是否重要。 我们的系统pipe理员保持最新,所以他们最有可能在最近几次更新。 我知道我们正在为networking适配器使用VMXNET 3驱动程序。 所有连接都被validation为1Gbps。 我试过了: 从我读过的内容来看,e1000驱动程序的效果更好,所以我们添加了一些使用该驱动程序的nics,并通过这些接口testing了iperf,结果相同。 检查testing接口上的LRO是否被禁用。 当我运行“ethtool -K ethX lro off”时,它会报告“没有卸载设置已更改”,我假定它已被禁用。 在testing的接口上也禁用了TSO。 当我进行速度testing时,通常是通过同一个集群上的防火墙从物理设备到虚拟设备进行testing。 我也尝试通过防火墙从虚拟设备到虚拟设备进行testing,得到了相同的结果。 禁用iptables并运行速度testing,收到相同的结果。 上面的项目都没有改变什么,除了可能使事情变得更慢(我得到了一点<10 Mbps的)。 因为我可以得到800 Mbps以上的防火墙本身,这使我认为nics本身的configuration没有任何问题。 我觉得这是操作系统本身的转发问题,因为它只是在stream量通过防火墙时才显现出来。 我也应该注意到在这个过程中我没有观察到任何CPU峰值。 我相信我会留下一些细节,所以如果还有其他问题,请告诉我。 我感谢任何帮助!
我们正在托pipe一个SharePoint MOSS 2007环境,并安装并使用带有SSRS 2005的本机报表查看器 。所有工作正常,但是从互联网上来看,报表查看器显示的页面未findexception。 事实certificate,报告呈现在iframe中。 该iframe的URL由访问者的浏览器请求。 但是,报告服务器不能从互联网上访问,我们不希望使其可访问。 在某些ASP.Net应用程序中,我们使用另一个版本的报告查看器 ,这不会显示iframe,但会将报告embedded到页面的标记中。 更重要的是,报告将从Web服务器从报告服务器获得,并且报告服务器不能从互联网访问。 我已阅读了此版本中的同步呈现 ,并希望find一种使SharePoint版本的行为方式相同的方法。 有谁知道这是否可以完成,或者让报告服务器保持隐藏在防火墙后方的其他方式?
那么,我不知道如何问这个问题,但我知道你可以使用关键字标志来指定你想过滤的标志。 根据Packetfilter的文档: 要在评估规则期间让PF检查TCP标志,使用以下语法的flags关键字: 标志检查/屏蔽标志任何 掩码部分告诉PF只检查指定的标志,检查部分指定标题中的哪个(哪些)标志必须在“开”以便匹配发生。 使用any关键字可以在标题中设置标志的任意组合。 通过fxp0 proto tcp从任何端口ssh标志S / SA通过fxp0 proto tcp从任何端口ssh 由于S / SA标志是默认设置的,所以上述规则是等同的。这些规则中的每一个都传递了带有SYN标志的TCPstream量,而只查看SYN和ACK标志。 具有SYN和ECE标记的数据包将与上述规则相匹配,而具有SYN和ACK或恰好ACK的数据包则不会。 所以我理解了这个例子,为什么带有标志S和E的数据包可以通过(因为E标志没有被掩码SA考虑),为什么只有Ack标志的数据包不能通过防火墙。 我不明白的是,为什么标志S和A的数据包不能通过规则S / SA,如果标志S在数据包标题中是“开”的。 也许文档是不明确的? 对不起,如果这是一个愚蠢的问题或英文误解。 我想象它只能通过,如果它必须只有标志S.在集算术会是这样的: 标志在标题中必须是'on' – >标志(s)与被屏蔽的子集[pf doc]有关,只有标志必须在标题'on'上 – >标志(s)被掩盖的子集[我从给出的例子中理解的] 提前致谢!
我正在使用puppet agent v3.0.1(在FreeBSD上),试图连接到puppet master v3.1.1(在Ubuntu上),并且puppet代理挂起以下debugging输出: puppet agent –debug –no-daemonize … Debug: /File[/var/puppet/ssl/private_keys]: Autorequiring File[/var/puppet/ssl] Debug: /File[/var/puppet/ssl/private]: Autorequiring File[/var/puppet/ssl] Debug: /File[/var/puppet/ssl/private_keys/zg-3.XXXX.ch.pem]: Autorequiring File[/var/puppet/ssl/private_keys] Debug: /File[/var/puppet/ssl/public_keys/zg-3.XXXX.ch.pem]: Autorequiring File[/var/puppet/ssl/public_keys] Debug: Finishing transaction 17214983260 [hangs.. about two minutes..] Error: Could not request certificate: execution expired Error: Could not request certificate: execution expired puppet master被托pipe在一个虚拟机中,并通过VM主机上的端口转发进行访问。 我已经从防火墙后面的另一个节点testing了对主节点的访问,该节点正常工作。 当代理人运行时,木偶大师没有任何迹象表明已经build立了连接(虽然目前还不清楚)。 我已经检查了netcat和telnet,并确认我能够启动从代理到服务器的连接并交换数据。 同一个木偶大师已经正确运行了不同的运行Puppet v3.0.2的FreeBSD代理 […]
我最近build立了一个到远程站点的连接。 站点之间的连接在ISP级完成(即,这不是ISA上的B2B隧道)。 我在networking领域相当轻量,所以希望我能正确描述这个。 我添加了一个networking对象,其中包含远程站点的私有IP范围,以及ISAnetworking规则中的路由。 我也在ISA中创build了一个允许两个networking之间的所有stream量的规则,并禁用了严格的RPC过滤。 我们希望build立DNS转发和我们两个域之间的信任。 DNS转发似乎正常工作 – 我可以看到stream量来自/从我们的DNS服务器,FQDN坪解决和响应任一networking上。 但是,从他们的网站到我的任何其他stream量失败(http,RDP等)。 最重要的是,域信任失败。 由于RPC连接错误(“本地安全机构无法获取到域控制器的RPC连接”),它们无法完成信任向导。 我可以在我的域控制器上完成对他们的configuration,并且从我到他们的stream量正确地stream动。 这似乎表明ISA阻止了一些东西,但是如果我将日志logging设置为在ISA中生效,并从networking中追踪入站stream量,我什么都看不到。 这表明了我的防火墙或configuration问题。 奇怪的是,我没有看到ping请求(即通过ISAstream),要么。 还有什么我可以检查,可能是我的最终configuration错误? 我不愿意指着他们的networking团队,发现这一直是我的问题。
我有一个网关(+防火墙+代理)设置在2个网卡Squeeze框。 问题是客户端无法看到一些HTTPS(例如,他们可以去https://mail.google.com,但不是https://github.com )但是,当我尝试与curl或wget在服务器上是没有问题的。 这是我的“路由-n”结果 Destination Gateway Genmask Flags Metric Ref Use Iface vpn.server.ip.addr 0.0.0.0 255.255.255.255 UH 0 0 0 eth0 virtual.vpn.ip.addr 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.250.0 0.0.0.0 255.255.255.252 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 这是我的防火墙 SQUID_SERVER="192.168.1.14" # […]
我们有一个Sonicwall TZ215,允许configuration日志和警报发送到pipe理员地址。 但是,我们只有gmail / google帐户可用,并且没有select启用gmail所需的SSL TLS。 由于这是防火墙设备,我想保持解决scheme在框中。 我们没有任何额外的机器来轻松运行像stunnel这样的转发器。 是否有一个解决scheme/设置,使sonicwall日志通过我们的谷歌帐户作为ssl邮件发送? 谢谢,迈克
我想使用本地透明代理有一个地方input密码到办公室代理。 基本上,发送到端口80的所有TCP数据包除了发送到特定子网的TCP数据包都应该被转发到本地Squid。 Squid在常规模式下工作正常,但是当我将其切换为透明并在浏览器中禁用代理时,浏览器无法连接到远程主机。 ipfw工作,通过添加deny ip from any to any规则的deny ip from any to any检查。 debugging很难,因为它是Mac OS的日志所在。 乌贼 $ squid -v Squid Cache: Version 3.2.9 configure options: '–disable-debug' '–disable-dependency-tracking' '–prefix=/usr/local/Cellar/squid/3.2.9' '–localstatedir=/usr/local/var' '–enable-ssl' '–enable-ssl-crtd' '–disable-eui' '–enable-ipfw-transparent' 'CC=cc' 'CXX=c++' 'PKG_CONFIG_LIBDIR=/usr/lib/pkgconfig:/usr/local/Library/ENV/pkgconfig/10.8' 规则 $ sudo ipfw list 00100 fwd 127.0.0.1,3128 tcp from me to any dst-port 80 65535 allow ip […]
我想在我的Mac OS X 10.8笔记本电脑上设置一个pf或ipfw防火墙规则,以便无线和有线networking上的所有通信限于在不在办公室时通过OpenVPN拨打“通话”。 在其他(更简单/更多)我的话: 只要不在192.168.68.*networking上使用我的无线或有线连接,禁止除OpenVPN连接之外的所有stream量。 一旦build立,允许通过OpenVPN接口的所有stream量。 允许通过无线或有线连接直接连接到192.168.68.*networking的所有通信。 感谢您对此的任何意见,我希望有一个自动/程序化的方式来做到这一点…
我正在寻找一个Win2k3服务器,通过基于IPsec隧道的连接与分支机构通话。 Windows 2k3防火墙不提供出站通信的控制,所以我已经转向IPsec策略。 我testing这与几个虚拟机,并具有以下规则: 项目清单 允许RDP 允许DNS请求 与远程服务器协商(IPSEC连接) 全部否认。 (这指定一个端点为Win2k3 IP) RDP仍然有效,DNS请求正常工作。 但是当我ping另一个端点时,结果如下: Negotiating IP Security Destination host unreachable. Destination host unreachable. Destination host unreachable. 不久,我就剥夺了所有的一切规则,隧道build立得很好。 我试图为UDP 500(ike)创build一个许可规则。 但是,一旦你放入500,它说你不能build立一个基于ike协议的隧道。 所以这样了。 我试图用两个端点IP创build一个额外的规则,并允许stream量。 然而,这胜过协商安全规则,并且不会尝试创build隧道。 我很好,没有想法。