我有一个Linux路由器,它通过dynamicIP通过PPPoE连接到互联网 我希望它不响应从外部(互联网)ping(或任何其他types的ICMP),但我想从内部(局域网)ping(和所有icmp,如traceroute,tcptraceroute,mtr等)并从服务器到外部目标工作,我该怎么办呢?
我在Stack Overflow问这个问题,然后认为这可能是更好的地方问。 鉴于以下情况: PC — | aa RTR1 bb | — | aa RTR2 bb | — | aa RTR3 bb | 等等 每一个| aa rtr bb | 是指一个具有两个端口aa和bb的路由器。 我的问题是这个。 当你做一个跟踪路由从路由器端口地址应该回应的时间超过生活中的PC在PC上的路由信息? 我似乎记得被教导认为路由器与端口一样多,所以在我的情况下,当aa将数据包转发到bb并将ttl递减到0时,它将是aa端口的地址失败的消息。 我试图find明确的答案。 谢谢。
我想了解碎片的概念: 我有两个公共IP连接到交换机的虚拟机。 tracepath显示数据包不通过网关 从vm1:尝试发送65507字节的icmp到vm2。 ping -M want -s 65507 vm2 但在vm2上的tcpdump输出:显示 tcpdump -evvv icmp 12:48:44.635551 42:43:30:b4:89:0c (oui Unknown) > b6:7a:6b:7d:54:32 (oui Unknown), ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 64, id 10843, offset 1480, flags [+], proto ICMP (1), length 1500) VM1 > VM2: icmp 12:48:44.635568 42:43:30:b4:89:0c (oui Unknown) > b6:7a:6b:7d:54:32 (oui Unknown), ethertype […]
我正在寻找在一组networking中find所有在线的主机。 我想find在170.10的整个networking在线的所有主机。 。 (有~64K可能的主机)。 我试图扫描的networking是一个内部本地networking。 我用nmap工具。 但是这大约需要50分钟,这太长了。 在64K主机中,只有20-40个主机在线。 但问题是,它们可能位于可能的256个networking中的任何(或一个或多个)networking中。 我正在寻找一种方法来快速弄清楚这一点。 我不认为使用ping命令将有助于ping 64K主机的速度。 我正在寻找任何替代解决scheme,可能直接向所有256个networking或类似的东西广播ICMP数据包。 任何想法/build议? 谢谢。
我用下面的iptables规则configuration了我的linux路由器 iptables –list-rules -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -A FORWARD -i vmbr0 -o eth2 -j ACCEPT -A FORWARD -i vmbr0 -o eth1 -j ACCEPT -A FORWARD -i eth1 -o vmbr0 -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth2 -o vmbr0 -m state –state RELATED,ESTABLISHED -j ACCEPT eth1和eth2是wan接口。 vmbr0是我的私人networking。 从远程计算机ping […]
我有以下testingnetworking: build筑: edge_a: 192.168.e.1 [edge vlan] (edge switch, no acl) [admin vlan] 192.168.m.1/24 core: 192.168.m.2/24 [admin vlan] (core router, yes acl) [admin vlan] edge_b: 192.168.m.3/24 [admin vlan] (edge switch, no acl) [edge2 vlan] 192.168.e2.1 拓扑结构: edge_a <–[admin vlan ]–> core <–[admin vlan]–> edge_b 边缘交换机不支持ACL,只有一小部分IP路由function(HP Procurve 2600或2800)。 Core支持ACL(Procurve 5308xl)。 旧的体系结构:所有VLAN都跑回核心路由器,这是每个“默认网关”。 我正在尝试将每个vlan的“默认网关”移动到相关的边缘交换机。 但是,边缘交换机将很高兴地在直接连接的vlan如Admin vlan之间路由。 节点在该networking上没有业务。 要阻止访问pipe理员VLAN,我正在将ACL应用到内核的“admin vlan […]
CentOS 4.x 我有几个旧的CentOS 4.x系统,并configuration了iptables来允许ICMPstream量。 原来,我有一个iptables规则,看起来像: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT 这似乎一段时间工作正常,但我们的监控解决scheme之一,要求平常更多的时间比一秒(长话短说,但这是一个要求)。 为了适应这一点,我改变了规则: -A RH-Firewall-1-INPUT -p icmp –icmp-type echo-request -j ACCEPT 奇怪的是,我在多个CentOS 4.x服务器上有这个相同的规则,而且大多数都处理得很好,但其中一个还是间歇性地不发送echo ping回复。 我已经确认IPTables规则在所有服务器之间是相同的。 有什么想法可以在这里发生? 为了更好的衡量,我在CentOS服务器端收集了一个数据包捕获,但是我所看到的只是服务器间歇地发回一个关于目的地和主机不可达的ICMP Type 3 / Code 1消息(这对我来说似乎很奇怪,这个消息响应的盒子本身)。 有任何想法吗?
在ASA 5505上我如何允许icmp请求输出(和回应),同时不允许来自外部接口的响应。
如何在Cisco路由器中设置ICMP速率限制? 在手册页上,他们只讨论ICMP不可达消息: ip icmp rate-limit unreachable [df] [ms] [log [packets] [interval-ms]] 还有什么还包括其他ICMP消息types? 例如,如果我想限制发送超时消息的数量呢?
我最近build立了一个到远程站点的连接。 站点之间的连接在ISP级完成(即,这不是ISA上的B2B隧道)。 我在networking领域相当轻量,所以希望我能正确描述这个。 我添加了一个networking对象,其中包含远程站点的私有IP范围,以及ISAnetworking规则中的路由。 我也在ISA中创build了一个允许两个networking之间的所有stream量的规则,并禁用了严格的RPC过滤。 我们希望build立DNS转发和我们两个域之间的信任。 DNS转发似乎正常工作 – 我可以看到stream量来自/从我们的DNS服务器,FQDN坪解决和响应任一networking上。 但是,从他们的网站到我的任何其他stream量失败(http,RDP等)。 最重要的是,域信任失败。 由于RPC连接错误(“本地安全机构无法获取到域控制器的RPC连接”),它们无法完成信任向导。 我可以在我的域控制器上完成对他们的configuration,并且从我到他们的stream量正确地stream动。 这似乎表明ISA阻止了一些东西,但是如果我将日志logging设置为在ISA中生效,并从networking中追踪入站stream量,我什么都看不到。 这表明了我的防火墙或configuration问题。 奇怪的是,我没有看到ping请求(即通过ISAstream),要么。 还有什么我可以检查,可能是我的最终configuration错误? 我不愿意指着他们的networking团队,发现这一直是我的问题。