根据@esh关于在EC2内部使用外部弹性IP DNS名称的优秀文章 ,我正在更改我的Web服务器的连接string,以通过弹性IP DNS名称连接到数据库服务器(MSSQL实例)比弹性IP地址本身。 我发现的问题是,我可以使用弹性IP地址连接到SQL实例,但是当我使用弹性IP DNS名称连接时,出现以下连接错误: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 – Could not open […]
我有一个20字节的头长度和4096字节的数据长度的IP数据包。 networking的最大传输单元只有1500字节。 就我所了解的碎片而言,碎片包如下所示。 碎片1将携带0-1499字节的数据。 碎片2将携带1500-2999字节的数据 碎片3将携带3000 – 4096字节的数据 片段偏移字段值应如下所示。 FRAGMENT 1 – 0/8 = 0; FRAGMENT 2 – 1500/8 = 187.5(这是否意味着我们将添加4个字节的填充并将片段偏移字段设置为188?从我对networking的理解来看,这应该是显而易见的方法,但我似乎无法在Google上find任何信息以支持这一点。) 片段3 = 3000/8 = 375。 任何build议,将不胜感激。
我想使用iptables将所有传入的stream量从某个端口转发到另一个端口。 问题是预先路由不适用于来自本地主机的stream量。 本主题提出了一个解决scheme iptables -t nat -I PREROUTING -p tcp –dport 443 -j REDIRECT –to-ports 8080 iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 –dport 443 -j REDIRECT –to-ports 8080 该解决scheme适用于大多数情况。 但是,当我连接到http:// myserver:443 ,其中myserverparsing为本地计算机上承载的IP地址,但不是127.0.0.1,它似乎绕过了这两个规则。 有没有一种方法来捕捉从本地机器完成eth0 ip地址的请求?
我有一个Windows应用程序接收和处理通过UDP传输的XML消息。 应用程序使用Windows“原始”套接字收集数据,因此整个第3层数据包是可见的。 最近我们碰到了一个让我难倒的问题。 如果XML消息(即,UDP分组)很大(即,> 1500字节),则按预期分割。 通常,这会导致XML处理器失败,因为它试图处理每个UDP数据包,就像它是一个完整的XML消息一样。 在这个发展阶段,这是一个已知的系统短缺。 在Windows 7上,这正是发生的事情。 碎片被接收和logging,但没有处理发生。 然而,在Windows XP上,可以看到相同的片段,XML处理器似乎处理一切都很好。 Windows XP会自动重新组装UDP碎片吗? 我想我可以期望这是一个正常的UDP套接字,但它不是一个“原始”套接字,IMO的行为。 此外,如果Windows XP上出现这种情况,为什么Windows 7上的行为不一样? 有没有办法来启用这个?
我想扫描我的DMZ,查找在子网之间桥接的主机,并启用路由。 因为我拥有从VMWare服务器到DMZ上的负载均衡器的一切,所以我不确定每个主机是否configuration正确。 可以使用什么IP,ICMP或SNMP(等)技巧来轮询主机并确定主机是否充当路由器? 我假设这个testing会假定我知道目标IP,但是在一个有很多子网的大型networking中,我将不得不testing许多不同的networking组合,看看我是否成功。 这里是一个例子(ping): 对于DMZ中的每个IP,arp为主机MAC 将ICMP回复消息发送到指向每个子网上的在线主机的主机 我认为有一个更好的方式来获取信息,即从ICMP / IP本身,但我不知道要寻找什么低级别的位。 如果可以在不知道主机可以连接到的子网的情况下确定“路由器”状态,我也会感兴趣。 这将有助于了解何时改善我们的安全状况。
我有一个问题,我相信其他人已经遇到,我正在试图find最好的解决scheme。 它可能有点长,所以请裸露在我身边。 请注意:端口22只是一个示例端口将有实例,当它不是端口22我正在处理。 安全组 "server-1" has a security group "group-1" "server-2" has a security group "group-2" "server-1" has an elastic ip address assigned to it ie 111.222.333.444 和 "group-2" is allowed to connect to "group-1" via port 22 所以如果我通过以下命令从服务器2 ssh到服务器1 ssh -iKEY.pem [email protected] 连接是好的,按预期工作。 但是,如果我尝试通过这个命令连接。 ssh -iKEY.pem [email protected] 它不工作,我认为是明显的原因 为了连接到服务器1 ,我离开了awsnetworking,因此aws将服务器2的连接视为外部资源,不再是aws实例。 这意味着它不会使用这样的安全组: "group-2" is allowed […]
我有一个容易受到攻击的页面,所以为了减less匿名攻击,我在我的.htaccess网站上find了这个代码: # BLOCK PROXY VISITS <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP:VIA} !^$ [OR] RewriteCond %{HTTP:FORWARDED} !^$ [OR] RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR] RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR] RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR] RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR] RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR] RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$ RewriteRule .* – [F] </IfModule> 我的问题是,一个广告客户在他的公司内部使用代理,因此无法访问我的页面。 我对正则expression式一无所知,尽pipe我认为当我看到它的时候我可以识别一个正则expression式 ,如“ 哦,看看正则expression式 ”。 我认为上面的条件是正则expression式,但我没有知识来改变它们, 只有来自这个特定静态IP的代理访问不被禁止。 如果可能,我该如何实现? 先谢谢你!
这有点复杂,所以忍受着我。 我有一个相当不错的IP工作知识,但我正在寻求帮助实现这个最好的方式。 我的ISP给了我一个静态的IP块,以及一个IP。 为了隐私的缘故,这里是我将在我的例子中使用的networking布局: 192.168.1.0/24 – 局域网 172.16.0.1/30 – 单个静态IP,默认为gw 172.16.0.2 172.16.1.1-5 / 28 – 静态IP的范围,默认gw 172.16.1.6 在这些例子中,172.16.0.1和172.16.1.1-5实际上是世界可路由的互联网IP。 为了隐私,我使用私有IP块。 所以假设172.16.0.1是你想要的公有IP,172.16.1.1块也是一样的。 我的服务是通过单个电缆调制解调器接口和一个以太网端口提供的。 换句话说,所有的交换,路由等预计将在客户端完成。 我目前有一个有两个以太网接口的Linux服务器。 它被分配了172.16.0.1静态并且使用NAT为LAN接口提供互联网,完美地运作。 我已经使用这个设置多年来为我提供了一个NAT路由器,我比现有的路由器有更深的控制权。 现在,我想开始利用我拥有的其他静态IP。 渔获是这些: 我仍然希望至less在某种程度上能够控制对这些盒子的访问。 所以,在Linux的主箱子里,我想能够说“172.16.1.1不能接收除80端口以外的任何input连接”或“172.16.1.2无法连接到除22端口之外的任何东西”。 只是一些例子。 换句话说,我仍然希望防火墙控制这些盒子。 类似于我现在可以使用iptables阻止192.168.1.5从任何地方去除了我想要的地方,在这种情况下,也计算入站连接。 理想情况下,这意味着我可以将所有数据包发送到通过iptables路由的五个公共静态数据之一,并且具有与LAN数据包相同的控制级别。 局域网上的计算机(192.168.1.0/24)也可能需要访问这些面向公众的机器。 另外, 公共IPS上的计算机可能需要访问LAN计算机。 所以,172.16.1.2可能需要访问192.168.1.5,反之亦然。 拥有静态世界可路由IP的计算机应尽可能自我意识到其面向公众的IP。 我看到的一个build议是build议在局域网上播放公用计算机,给他们局域网地址,然后在Linux机器上使用多宿主,并将所有端口从所需的静态转发到所需的局域网IP。 这确实有用,但是会造成一些混乱的情况–Linux框现在需要知道每一个静态IP ,因此这不能很好地扩展。 因此,例如“eth1”(WAN接口)不仅需要它已经使用的IP,还需要所有其他五个IP。 这可能是罚款五,但如何在未来可扩展性有2000 IP … 我想到的一个想法是向Linux路由器添加第三个接口,并build立一个只包含面向公众的机器的小型networking。 唯一的问题就是这些机器和Internet之间的路由。 最重要的是,我可以用这种方法简单地完成这个任务,就是在eth2上为Linux发送第二个IP地址,这个IP地址会占用这五个宝贵的静态数据中的一个。 我不想使用任何商业解决scheme来实现这一点。 我觉得Linux应该能够处理这种情况。 这是我希望能够工作的布局,但我只需要弄清楚如何在Linux上进行路由本身。
在MPLS隧道的入口处 ,哪些数据包字段用于确定传入数据包的标签 ? 这里说的是,除了IP目标地址之外,还有其他一些属性被考虑在内,而没有具体说明: MPLSnetworking边缘的Ingress路由器使用一系列属性(而不仅仅是数据包的目的地址)来分类每个数据包,以确定使用哪个LSP。 在networking内部,MPLS路由器只使用LSP标签将数据包转发到出口路由器。
我通过ssh使用PPTP时遇到一些错误: sudo ssh -L 1723:127.0.0.1:1723 vpn-server@$192.168.1.1 192.168.1.1是vpn服务器的ip。 当我启动pppd(客户端)whith下面的命令: sudo pppd call tun nomagic logfd 2 nodetach debug dump tun是带有以下内容的pppd设置文件: pty "pptp 127.0.0.1 –nolaunchpppd" name myname password mypassword remotename myremotename #require-mppe-128 refuse-eap file /etc/ppp/options ipparam vpn 第一次,我在服务器日志消息中有这个错误: peer refused to authenticate : terminating link 在这之后,当我重新启动pppd时,我在客户端有这个消息: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <pcomp> <accomp>] 此消息重复x次… 我的pptp服务器没有SSH工作。 有什么build议么?