我主持一个网站,我发现我的服务器上的stream量是相当高的。 我的Linux服务器在DMZ的路由器后面。 我想根据客户端的公共IP地址查看eth0接口上我的Linux机器上的stream量。 然后我想看看哪个客户端正在窃取我的带宽。 还是更好,如果我从我的路由器使用DD-WRT呢? 谢谢!
这是我的情况: 1)DMZ:我在Apache服务器(我们的堡垒主机)上configuration了一个自签名的SSL证书,作为其他7个局域网服务器(subversion,ldap,jenkins,confluence,jira,mapi等)的反向代理。 2)防火墙:在DMZ堡垒主机(位于DMZ子网192.168.1.X)之间,我configuration了一个思科防火墙,可以让(特定)通信从DMZ堡垒主机端发送到特定的LAN主机。 局域网子网是192.168.50.X. 路由器是Cisco RV042。 3)局域网:我有7台服务器在UBuntu上运行各种应用程序,通过ufw启用iptables。 4)Subversion:7个服务器中的一个运行Subversion 1.5.4,并且暴露一个HTTP端口给堡垒主机。 非常像这篇文章讨论。 除了一件事我似乎无法解决的一切都已经运行了很多年了:如果没有人使用Subversion服务器几个小时/天(不完全一样),所有通过堡垒主机运行到LAN Subversion服务器的HTTPS Subversion命令都会失败当然)。 这导致了一个真正的问题,因为远程开发人员做了一堆本地更改,提交…然后Eclipse挂起,必须手动杀死,客户端源清理等….一个真正的麻烦。 然后,我接到一个电话…我导航到堡垒主机,并尝试查看一些来源,这几个点击开始工作后。 然后开发人员的下一次尝试提交始终工作。 以下是我所尝试的: 1)防火墙closures:如果我在Cisco路由器上禁用防火墙,那么它始终工作…始终,但我们没有DMZ / LAN安全! 2)局域网Subversion:如果你直接访问Subversion局域网服务器,它总是有效的。 3)防火墙configuration更改:启用防火墙时,我可以创build一个规则,以允许任何DMZ-> LANstream量通过,问题仍然存在。 实际上,防火墙已经打开但是完全打开了,问题仍然存在。 就好像路由器在堡垒主机和局域网颠覆服务器之间的防火墙需要在局域网端发起一个有状态的转换,但是我绝对testing过防火墙是开放的(如果不是这样,它永远不会工作……就像我说的如果频繁使用,它可以工作几天/星期)。 4)MTU不匹配:find一篇文章 ,提示这可能是问题,但根据ifconfig ,堡垒和颠覆服务器上的MTU是1500。 5)杂项的堡垒主机Apache的configuration更改…已经尝试了几十个东西在这里无济于事。 这里是在堡垒主机(反向代理)上的/etc/apache2/sites-enabled/default-ssl的Apacheconfiguration我已经在去年运行了: ProxyPass /svn http://virt-svn-srv.mycomp.int/svn keepalive=on <Location /svn> ProxyPassReverse http://virt-svn-srv.mycomp.int/svn SetEnv force-proxy-request-1.0 1 </Location> 我真的在我的智慧结束这一切…所有的build议是值得欢迎的。
我正在将一个Web应用程序(在LAMP上运行)从单个主机转换到configuration,在DMZ中的公共服务器上运行php / apache应用程序。 该应用程序连接到坐在DMZ后面的专用networking中的MySQL。 我给出的主要标准是将所有用户数据(在数据库或用户上传的文件中)全部保留在DMZ之外,并且只允许通过ACL对其进行访问。 即,通过networking和authentication/访问将应用层从数据层分离出来。 我已经很好地与mysql分离,但是我没有提出任何关于如何从Web服务器访问文件服务器上的文件存储的好主意。 我已经将它安装在Web服务器上的一个NFS导出上,但是这样会将文件服务器及其所有数据都打开给任何有权访问Web服务器(基本上)而无需身份validation的人。 我意识到,任何严肃的解决scheme都可能涉及重大的开发时间,我准备这样做。 还准备花费一些钱在现成的解决scheme,如果需要完成工作的权利。 我觉得我在这里失去了一些非常明显的东西。
我有两台服务器: 局域网中的SVR1(Windows Server 2008) – 域的一部分 DMZ中的SVR2(Windows Server 2008) – 工作组 我需要通过命令行批量访问SVR1中的SVR2 – 复制一些文件,执行sc命令pipe理SVR2上的服务。 这批计划,所以我需要访问SVR2没有凭据input。 我知道的唯一可能性是在两台服务器上都有相同的用户名和密码,但不是那么优雅,这是潜在的风险。 什么是解决我的问题的最佳方法? 如果没有第三方软件,这将是最好的。
我正在build立一个与我们的公司局域网断开的DMZ。 我已经将DMZ主机的DNS服务转移到了DMZ中,并且提供了只包含DMZ主机需要知道的区域信息。 有些连接需要从DMZ回到局域网。 我知道这并不理想,但现在基础架构的改进还是有所改进的(基本上,人们正在桌面上运行服务)。 无论如何,我需要通过端口636从DMZ连接到LAN上的LDAP服务器。我有连接与IP地址一起工作,但LDAP服务器在另一个分支机构,通过VPN,pipe理员使用循环赛DNS,所以IP每次都不一致。 目前,有6个与LDAP服务相关的IP地址(ldap.office.org)。 我可以将这6个IP地址添加到每个DMZ主机的/ etc / hosts文件中,但我宁愿将它们放在DNS中,但它们不在我的DNS权威的同一个域中(DMZ中的主机在“foo .dmz“域,其中LDAP是”ldap.office.org“) 如何让我的BIND服务器为ldap.office.org提供6个IP,而不是将DNS请求转发给因特网根服务器?
我在DMZ中有两台ESX 3.5服务器。 我可以通过VPN从我的局域网的任何端口访问这些服务器。 DMZ中的服务器无法启动连接回局域网,原因很明显。 我的局域网上有一台vCenter服务器,可以初始连接到ESX服务器。 但是,ESX服务器尝试在UDP / 902上发送心跳回到vCenter服务器 – 显然这不会返回到vCenter服务器,然后标记ESX服务器没有响应和断开连接。 我可以想到两个广泛的解决scheme: 1)尝试告诉vCenter忽略没有获取心跳。 我能做的最好的是延迟断开3分钟。 2)尝试一些聪明的networking解决scheme。 但是,我又一次亏损了。 注意:vCenter服务器位于局域网上,不能被赋予公有IP,因此防火墙规则将不起作用。 另外,我不能设置从DMZ到LAN的VPN。 **我添加了以下内容,我添加到评论中的解释 好的,也许这是我不太好解释的一点。 DMZ位于远程站点上,是一个完全独立的networking(networking1)。 vCenter服务器位于我们的办公室LAN(networking2)上。 networking2可以连接到networking1上的任何端口上的任何机器。但是networking1不允许发起到networking2的连接。从networking1发往networking2的任何stream量都被防火墙丢弃,可路由地址。 我能想到的唯一解决scheme是从networking1到networking2build立一个VPN,但这是不可接受的。 那么任何聪明的人都有什么想法? Ĵ
问候服务器故障Universe, 所以这是一个快速的背景。 两个星期前,我开始担任超过100人的医疗服务公司的系统pipe理员。 我正在更换的那个人几乎没有注意到这个公司。 基本上,我inheritance了一个已经存在了10年以上的主要总部(我所在的地方)的networking,五个小型办事处(less于20人)。 我正试图理解当前的设置。 总部的networking包括: Linksys RV082路由器为员工提供互联网接入,并通过站点到站点的VPN连接小型办公室(每个使用RV042)。 我们有电缆和双绞线连接,以平衡交通(但是这根本不工作,现在不是我主要关心的问题)。 思科Ironport设备。 这是我们传入和传出电子邮件的主要网关。 这也有一个外部IP和内部IP。 莲花骨牌进出电子邮件服务器连接到提到的思科网关。 这些也有一个外部IP和内部IP。 两个Windows 2003和2008框当然是作为域控制器运行的。 这些也有外部IP和内部IP。 网站和networking邮件服务器也在外部和内部IP上。 为什么有这么多的服务器直接连接到互联网,我仍然感到困惑。 我认真考虑重新devise这个设置,考虑到适当的安全实践(我最关心的问题),并且需要为外部/内部服务器设置适当的防火墙以及大约50名员工的VPN解决scheme。 预算不是问题,因为我已经有了一些灵活性来购买必要的解决scheme。 我被告知思科ASA设备可能会有所帮助。 有没有人在服务器故障的宇宙有一些build议? 谢谢大家。
我们已经有几个人在家工作,通过VPN访问一些内部服务器。 他们都使用我们完全控制的公司提供的笔记本电脑或个人电脑。 现在我们面临更多的人想要做家庭办公,但使用自己的机器。 他们至less需要访问我们的内部IM和文件服务器。 让他们通过自己的机器访问我们的内部networking似乎会带来潜在的安全风险。 我主要关心的是让他们访问我们的samba文件服务器。 有人build议仅仅依靠一个保护文件服务器的访问式病毒扫描程序,但我并不完全相信这是足够的。 是否有某种访问代理或类似的东西,我们可以把它放在一个DMZ,只允许外部访问该服务器,做一些扫描/过滤,让他们从那里访问我们的内部服务器? 我们最好使用基于开源/ Linux的版本,因为我们大多数是使用CentOS / RHEL作为服务器,并希望保持这种状态(开源并不意味着我们不愿意为此付费,只需要一些想法或产品,我们可以看着)。
我期待为小型企业build立VPN和DMZ解决scheme。 以下是一些背景和他们的一些要求: 这是一个可能有十几台服务器和另外六个工作站的小型企业。 它提供了一个带有数据库后端的公共Web应用程序。 成本是一个很大的因素,因为这是一个易于设置和维护的解决scheme。 2个物理位置需要通过站点到站点的VPN链接 远程访问必须通过客户端到站点的VPN为州外承包商提供(最有可能不超过5个) 上面(3)的VPN客户端需要在Windows(XP和Win7)和Linux(Ubuntu)上运行, 两个物理位置的每一个都需要一个DMZ来容纳Web应用程序服务器。 任何解决scheme都必须由相当能胜任系统pipe理但不是networking专家的人来执行和维护。 我想避免像OpenVPN这样的基于PC的解决scheme。 没有任何反对OpenVPN或类似的解决scheme,我只是想保持简单,使用某种设备。 我正在寻找像CISCO RV042这样的低成本设备,因为它似乎提供了我所需要的一切。 我不知道如果我太便宜,所以我正在寻找一个理智的检查。 这是一个小企业的体面的解决scheme,还是应该看其他解决scheme?
我们必须将防火墙内的服务器移动到DMZ(不是真正的DMZ,而是两个防火墙之间的空间),当以这种方式移动服务器时,通常是一个好主意,要站在另一台目标机器上IP在移动生产机器之前testing防火墙规则?如果不是,为什么不呢? 注:这些都是虚拟机,所以站起来一个testing框是微不足道的