我试图为我们的办公室设置IPSEC / XL2TPD VPN,并且在连接到VPN后访问远程本地机器时遇到一些问题。 我可以连接,我可以通过VPN浏览互联网网站,但是据说,我无法连接,甚至ping本地的。 我的networking设置是这样的: INTERNET> eth0> ROUTER / VPN> eth2> LAN 这些是VPN背后的一些traceroute: traceroute to google.com (173.194.78.94), 64 hops max, 52 byte packets 1 192.168.1.80 (192.168.1.80) 74.738 ms 71.476 ms 70.123 ms 2 10.35.192.1 (10.35.192.1) 77.832 ms 77.578 ms 77.865 ms 3 10.47.243.137 (10.47.243.137) 78.837 ms 85.409 ms 76.032 ms 4 10.47.242.129 (10.47.242.129) 78.069 […]
我有一个运行OpenVPN服务器的服务器A和一个连接到它的服务器B. 然后在BI上有由OpenVPN创build的eth0(物理接口)和tap0。 我想要一些IP去eth0而其他人去tap0。 这已通过使用“路由”命令添加路由规则成功实现。 但还有更多。 服务器B正在运行带有许多客户端的pptpd服务器。 我希望客户按照上述相同的规则行事。 但是我不知道如何configuration它。 当没有tap0时,我使用iptables规则将pptp子网(192.168.1.0/24)中的软件包redirect到eth0,并且运行良好。 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE 现在我有了tap0,我想要一些包到tap0。 我应该怎么做?
我只有私人IP地址迁移ejabberd服务器到虚拟机。 工作正常,但不能连接到其他xmmp服务器。 日志:s2s连接:xxxx – > gmail.com(找不到远程服务器) telnettesting:telnet xmpp-server.l.google.com 5269连接超时 在主机上添加iptables nat端口5269到内部ip。 iptables -t nat -A PREROUTING -p tcp -m tcp –dport 5269 -j DNAT – 到目标xxxx:5269 主机有一个公共ipv4 eth的全部出来。 如果我删除这个NAT的Telnettesting是好的,但我不能连接到内部IP端口5269。 有任何想法吗? 谢谢…
阿帕奇昨晚去世了。 错误日志显示这一点 [alert] (11)Resource temporarily unavailable: setuid: unable to change to uid: 48 浏览互联网,每个人似乎都认为这是在Linux的ulimit问题。 如果我理解正确,ulimit有一个默认的限制到任何非root用户并发进程的数量为1024.如果达到用户(在这种情况下,apache)的最大数量,它不能创build更多的进程。 这就解释了为什么当它试图产生一个新的孩子时,它不能设置给apache用户。 昨天晚上,我们有一个networking应用程序的用户在大约1分钟的时间内向同一页面发出了1100多个GET请求,这就是服务器死亡的时间。 我的Apacheconfiguration文件有这样的: <IfModule prefork.c> StartServers 8 MinSpareServers 5 MaxSpareServers 20 ServerLimit 2000 MaxClients 2000 MaxRequestsPerChild 4000 </IfModule> KeepAlive On MaxKeepAliveTimeout 5 KeepAliveTimeout 5 如果我的MaxClients是2000,MaxSpareServers是20,那么这意味着为了让Apache达到进程的限制,它将不得不有1000多个繁忙进程,我根本没有看到发生这种情况,考虑到这些GET请求很小,很容易处理20-30个请求。 最重要的是,MaxRequestsPerChild被设置为4000,所以它不应该产生这么多新的孩子,对吧? 那么,为什么它不能setuid,这真的是罪魁祸首吗? 我已经使用了Apache的ab工具来尝试在一个不太强大的本地构build中重现这一点,我不能。 即使是function不太强大的硬件,也可以在一分钟内处理好几千个连接,性能也不错 如果我尝试通过networking同时访问服务器,它会变得糟糕,但Apache不会陷入困境。 所以这是我的问题: 有没有更好的方式来configurationprefork模块? 我们只是从旧的服务器迁移到这个较新的服务器。 老一点的ServerLimit和MaxClients设置为512.我想也可以设置2000,以避免在可预见的将来再次改变它。 我已经尝试调整ulimit nproc到一个低数字来尝试和重现错误。 在limits.conf中,我设置了* hard nproc 15 […]
我在CentOS 5 64bit上运行Cloudmin GPL,并试图让我的Xen PV guest通过NAT /端口转发设置访问互联网。我已经完成了以下工作: (在dom0上) echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE iptables -A PREROUTING -t nat -p tcp -i eth0 –dport 8001 -j DNAT –to 192.168.3.2:22 来自http://jonmccune.wordpress.com/2008/08/25/iptables-nat-in-xen/的信息 eth0 Link encap:Ethernet HWaddr 00:1C:C0:F2:23:1A inet addr:xxx35 Bcast:199.xx255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:346089 errors:0 […]
在工作中,我们有一个日常使用的专用互联网链接(服务器使用不同的链接),上传带宽有限(当前3Mbps)。 由于有大约80个用户,有时这个上行链路有可能显着地降低100%的利用率。 大多数情况下,这是由于多个用户试图同时将file upload到Dropbox,Google Drive …。 我已经尝试过stream量整形,因为用户看起来非常擅长寻找上传带宽吃早餐的新服务,所以需要一些维护。 我一直在想一个不同的方法。 基于用户的某种dynamic带宽pipe理。 在早上,每个人都会开始“干净”,没有stream量形成(或者一些非常基本的计划),但是随着时间的推移,“沉重的上传者”将越来越积极地自动形成(可能通过一些预定义的层次)。 我的想法是设置一个Linux机器作为路由器(或者可能是实际路由器之前的桥)。 任何想法如何实现这个?
所以我有我的系统运行Fedora 15,目前与DSL线。 该行提供一个静态IP,以及静态路由,DNS。 我从这个IP运行一个networking/电子邮件/ DNS服务器。 它还支持NATnetworking在内部networking上提供networking和DHCP。 我现在想添加另一个使用DHCP(Comcast)的ISP,并且切换从NAT生成的stream量通过新的连接,同时保持与服务器相关的function的DSL连接。 这将卸载我的家庭使用的stream量到Comcast连接。 我试图找出最简单的方法来做到这一点与Fedoraconfiguration文件,但我不知道我可以单独做这个文件。 我可以在网上find的大部分信息必须处理负载平衡或故障转移,我也不想实现。 Comcast连接的DHCP客户端似乎也完全使用标准的Fedoraconfiguration文件,因为路由被设置为最后一个接口。 我希望我可以说,该接口的任何路由转到一个单独的路由表,并将其用于NAT。 感谢您的任何信息。 eth0 198.144.1.x DSL eth1 192.168.0.x NAT eth2未使用(损坏) eth3 xxxx电缆(DHCP)
我最近受到攻击,我正在为我的Ubuntu服务器(最新)configurationCSF防火墙。 我发现portflood设置只阻止指定秒计数的IP,但我想分开的时间。 我一直在想,但即使一个小时也能做到。 这是否有可能使“间隔秒”和垃圾邮件发送者被阻止的时间不同? 如果没有,是否有一个类似于csf的不同的防火墙允许这个?
有很多方法可以loggingWeb服务器的stream量。 例如,如果我想logging所有传入stream量,则可以将以下行作为附加到INPUT链的第一条规则: -A INPUT -j LOG –log-prefix "IPTABLES: " –log-level info 如果我想logging所有新的连接,我可以按照以下规则放置上面的规则: -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT 或者,如果我想要logging丢弃的连接,我可以在接受规则之后和放置规则之前放置logging规则,例如: -A INPUT -p tcp –dport 22 -j ACCEPT -A INPUT -j LOG –log-prefix "IPTABLES: " –log-level info -A INPUT -j DROP 我发现在线发现的许多示例configuration只logging一些特定的丢弃连接,例如格式不正确的数据包或不需要的SSH连接。 如果因为要求而连接已经被丢掉了,那么为什么人们还想保留一个日志呢? 不logging所有传入连接(速率限制)比logging不需要的stream量更有用吗? 添加评论 :我想强调一下,我是以networking故障排除为目的提出这个问题的。
对于PORT FORWARDING,我有以下规则: root@foo:~# iptables -t nat -S -P PREROUTING ACCEPT -P INPUT ACCEPT -P OUTPUT ACCEPT -P POSTROUTING ACCEPT -A PREROUTING -p udp -m udp –dport 1:1024 -j DNAT –to-destination 192.168.100.10 -A PREROUTING -p tcp -m tcp –dport 1:1024 -j DNAT –to-destination 192.168.100.10 运行一个iperf(tcp连接),我得到的结果比没有端口转发的结果要差十倍,只是路由。 因为我找不到任何真正的基准testing,所以我在这里问:这是正常的使用iptables DNAT的吞吐量如此巨大的下降? 有可能优化它吗?