我有一个networking(10.1.0.0/16)上的一个主机通过TCP与另一个networking(10.2.0.0/16)和中间网关通话的testing设置。 有时,TCP连接丢失,在扫描跟踪(pcap)时,我看起来像是因为在某个时刻网关只发送了一个到10.1.0.1的ICMP主机不可达消息。 10.1.0.1然后发送一个TCP RST到10.2.0.1。 在我看来,网关(pfSense)是坏的或configuration不正确,但无论如何,出于testing的目的,我想阻止这种types的ICMP主机(10.1.0.1)之前,它会影响我的TCP连接还是这样呢?我甚至不确定)。 我试过iptables: iptables -I INPUT -i eth0 -p icmp –icmp-type host-unreachable -j DROP 但是尽pipe它在防止类似ping的用户空间应用程序接收到这些ICMP消息方面做得很好,但是当网关发送所谓的“杀手级ICMP数据包”时,TCP连接仍然结束。 我对它是如何处理的? 如果是,那我能做些什么来达成我的目标?
我试图build立MIPS Linux盒子networking。 这是它的configuration: ~ # ifconfig eth0 Link encap:Ethernet HWaddr CC:5D:4E:FF:45:7F inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::ce5d:4eff:feff:2178/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1333 errors:0 dropped:10 overruns:0 frame:0 TX packets:573 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:107853 (105.3 KiB) TX bytes:45385 (44.3 KiB) Interrupt:5 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 […]
我有一个运行SNMP池的Debian机器,但我遇到了一个问题,让池使用特定的接口。 Debian机器有3个接口 allow-hotplug eth0 iface eth0 inet static address 10.1.1.3 netmask 255.255.255.0 gateway 10.1.1.1 dns-nameservers 10.1.1.6 allow-hotplug eth1 iface eth1 inet static address 10.1.1.7 netmask 255.255.255.0 allow-hotplug eth2 iface eth2 inet static address 10.1.1.8 netmask 255.255.255.0 在本机尝试从中获取SNMP信息的客户端机器上,它将允许来自10.1.1.3的SNMP请求,但由于某种原因,当Debian发送请求时,其使用10.1.1.7(eth1)。 我也注意到,当我从Debian机器ping客户端(10.1.1.5)时,Wireshark说ICMP数据包来自10.1.1.7。 为什么不使用列表中的第一个接口(10.1.1.3)? 路线: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 10.1.1.1 0.0.0.0 […]
在我们的服务器上有一个3-4Gbps的ICMP泛洪,我想知道..我有一个20Gbps的DDoS保护,但是这个testing对ICMP来说似乎是无效的(它很好的阻止了大量的TCP和UDP攻击过去它却因为停机而导致ICMP失败)。 以下是DDoS检测发布的stream量示例: http : //pastebin.com/raw.php? i= MW4gTN1C 问题是,我不知道这是什么样的ICMP数据包。 1-是否只能使用ICMP ECHO(ping数据包)进行这种攻击,或者是否存在可用于此类攻击的其他ICMP数据包types? 因为我没有看到自己能够反映ICMP数据包,除了回显请求。 2 – 我知道build议ICMP保持畅通,像MTU这样的一些东西,那么我应该避免使用什么样的ICMP数据包,或者限制速率(在某些情况下,对于快速networking操作来说,是必不可less的)? 3-现在我要求ICMP在数据中心的核心路由器完全被拒绝(我知道的想法不好,但我需要一个快速的解决scheme,它工作)。 ACL是 0: deny icmp any 104.xxx/29 1: permit ip any any 有没有更好的方法来阻止这种攻击? 你认为只有阻止ICMP回应请求才能摆脱攻击的影响? 总而言之,我试图想出一个ACL,完全过滤潜在危险的ICMP数据包,而不必完全摆脱它。 谢谢
我有一个Dockernetworking,里面有两个容器。 当我使用假的目标IP地址和第二个容器的真实MAC地址运行nping时,数据包出现在具有不同源地址(MAC和IP)的tcpdump -eni eth0输出中,并且具有相当大的延迟(〜10s) 。 这是一个docker错误,或者我错过了什么? 这里是你如何重现这个问题。 运行这个脚本: docker network create –driver=bridge –subnet=10.16.17.0/24 so_con docker run -itd –name=con_A –net=so_con debian /bin/bash docker run -itd –name=con_B –net=so_con debian /bin/bash docker exec con_A sh -c 'apt-get update && apt-get install -y tcpdump' docker exec con_B sh -c 'apt-get update && apt-get install -y nmap' export A_MAC=`docker inspect […]
我必须互相与ipv4地址相互连接的主机。 我修改了每一个的MTU为9000.然后,我想发送一个固定数据包大小+1500的Ping请求来validation可以发送和接收巨型帧。 当我发送正常的ping我得到答复如预期,但与-s“8972”标志我没有得到既不超时也不回复。 我得到了100%的损失 我在mininet里做了一个小环境来分享我的问题。 我已经修改了两个MTU主机9000.这些是我在mininet的命令: mininet> h1 ifconfig h1-eth0 h1-eth0 Link encap:Ethernet direcciónHW 06:49:45:e2:7e:18 Direc. inet:10.0.0.1 Difus.:10.255.255.255 Másc:255.0.0.0 Dirección inet6: fe80::449:45ff:fee2:7e18/64 Alcance:Enlace ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST MTU:90 </code>00 Métrica:1 Paquetes RX:295 errores:0 perdidos:27 overruns:0 frame:0 Paquetes TX:36 errores:0 perdidos:20 overruns:0 carrier:0 colisiones:0 long.colaTX:1000 Bytes RX:67960 (67.9 KB) TX bytes:11499 (11.4 KB) mininet> h2 ifconfig […]
我有一个在Docker容器中运行的脚本,用于侦听ICMP数据包。 如果你ping容器的IP地址,它会把它们拿起来并发送一封电子邮件。 不过,从外面 ping这个容器有点困难。 服务器IP是53 。 *和容器IP是172 . 。*。 如何从外部ping(ICMP)容器? 平了53 。*地址没有到达容器,因为实例本身重复ping。 我已经让这个容器运行了一个周末,一些外部的pings似乎已经在外部对容器进行了破坏,但不知道如何!
我运行LXC Linux容器,因此我在主机上设置了net.ipv4.ip_forward = 1,这样我就可以从LXC容器内pingnetworking(google.com)。 但是,当我在同一个环境中运行VirtualBox虚拟机并连接到WLAN无线接口时,我得到了重复的ICMP数据包(DUP!)。 我可以通过在主机上设置net.ipv4.ip_forward = 0来停止VirtualBox虚拟机中的重复数据包,但是这会打破LXC容器中互联网的parsing。 我怎样才能防止DUP! 在虚拟机ping并离开net.ipv4.ip_forward = 1集? 谢谢。
所以我在单个192.168.10.0/24 IP子网上有一个2节点的galera集群,就像这个布局一样: 我的问题不是关于加莱拉,而是连接。 Node1无法通过ICMP到达Node2,因此我的Galera集群不能正常工作。 答:没有固件激活,但我得到每个具有直接电缆连接的IP的响应。 B.从我的笔记本电脑,我可以到达服务器A和服务器B接口,但无法到达Galera节点接口。 Ping的输出是“Destination Unreachable”。 C.我已经在ServerA和B上启用了IP转发,但什么也没有发生。 接下来我设置IPTABLES如下: iptables -A FORWARD -i eth1 -o eth3 -m状态-state ESTABLISHED,RELATED -j接受iptables -A FORWARD -i eth3 -o eth1 -j ACCEPT(*)为什么eth1到eth3? 因为我试图至less到达局域网上的任何一台机器,但没有成功。 D.现在,ping不会返回任何输出,如果FW正在过滤它。 E.我没有在这里设置GW,因为它们都属于同一个子网。 问题:这个架构设置是否正确完成? 我的意思是,我想我可以从Node1到达Node2,反之亦然,例如通过以下path: 奖励:在这一点上,我们不能添加任何额外的网卡到设置。 先谢谢了!
我有一台Linux机器被设置为自动将VPN隧道连接到公司networking。 将本机设置为从本地networking到目的地为194.1.0.0/16**和10.0.0.0/8的NATstream量,通过隧道连接到具有公司networking的机器。 本地networking上的客户端设置为将此服务器的IP作为其默认网关,如通过dhcp发布的。 这一切都工作得很好,除了发往互联网的stream量也通过这个主机路由。 即客户端A(192.168.1.144)想要与Google的DNS服务器(8.8.8.8)交谈。 目前发生的事情是,它将数据包发送给VPN主机(192.168.1.108),然后将其发送到ADSL路由器(192.168.1.254),该路由器通过互联网将其转发出去。 然后,响应(大概)在到达A之前通过VPN主机返回。 我希望VPN服务器在接收到一个不指定给VPN末端networking的数据包时,用ICMPredirect来响应,指示A通过192.168.1.254发送。 这应该将负载从VPN服务器上移走。 我已经尝试在DHCP服务器(Ubuntu 16.04.1 LTS ISC DHCPD)设置静态路由,以便所有的默认网关是192.168.1.254和VPN主机可以通过192.168.1.108访问,但我或者configuration错误或各种客户端无法拿起选项。 客户端是一系列Windows机器(7和10),Linux机器(主要是Ubuntu)和Android设备。 VPN服务器运行Ubuntu 16.04.1 LTS。 以下脚本设置了NAT: echo 1 > /proc/sys/net/ipv4/ip_forward iptables-restore <<EOF *nat -A POSTROUTING -j MASQUERADE COMMIT EOF 机器上的路线是: Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 ens2 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 […]