我正在使用Nova-Networkconfiguration运行OpenStack Grizzly版本。 [没有Quantium]。 我的networking设置如下: OpenStack Box(10.10.13.xxnetworking) – > OpenStack Internal Network(192.168.0.xx) 我的OpenStack实例可以访问互联网,并在[192networking内]互相查看。但是,他们无法访问10.10.13.xxnetworking内的任何东西。 他们有一个浮动的IP,在10.10.13.xxxnetworking[这是必要的]给了他们一个身份。 有没有办法让他们看到10.10.13networking中的物品?
我将使用这些设置: # Allow these TRUSTED hosts unrestricted access iptables -A wanout -i `nvram get lan_ifname` -m mac –mac-source <allowed MAC #1> -j ACCEPT iptables -A wanout -i `nvram get lan_ifname` -m mac –mac-source <allowed MAC #2> -j ACCEPT # Allow everyone access to these sites iptables -A wanout -i `nvram get lan_ifname` -d <VPN IP1> […]
我有一个网关(+防火墙+代理)设置在2个网卡Squeeze框。 问题是客户端无法看到一些HTTPS(例如,他们可以去https://mail.google.com,但不是https://github.com )但是,当我尝试与curl或wget在服务器上是没有问题的。 这是我的“路由-n”结果 Destination Gateway Genmask Flags Metric Ref Use Iface vpn.server.ip.addr 0.0.0.0 255.255.255.255 UH 0 0 0 eth0 virtual.vpn.ip.addr 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.250.0 0.0.0.0 255.255.255.252 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 这是我的防火墙 SQUID_SERVER="192.168.1.14" # […]
我们有一些转发连接的iptables规则,这些规则是稳定可行的。 例如,端口80转发到同一台计算机上的端口8080(networking服务器)。 当给定的Web服务器重新启动时,我们会将请求转发到显示维护页面的端口8080上的另一个IP。 在大多数情况下,这个IP是在一个单独的服务器上。 这一切都工作完美,直到我们安装bridge-utils,并改为使用桥接器br0而不是eth0作为接口。 我们已经转换为使用网桥接口的原因是要获得ebtables的MAC SNAT / DNATfunction。 我们没有其他的理由在服务器上添加一个网桥接口,因为它们实际上并不通过多个接口桥接连接。 我知道这是在服务器上添加桥接器的一个奇怪的原因,但是我们在一个新的项目中使用MAC SNAT / DNATfunction,ebtables似乎是最安全,最快和最简单的方法,因为我们已经非常熟悉iptables的。 问题是,由于转换到br0接口,iptables PREROUTING转发到外部服务器不再工作。 内部PREROUTING转发工作正常(例如:请求进入端口80,它转发到端口8080)。 OUTPUT链也起作用(例如:我们可以通过本地目的地IP:8080从盒子向外连接,并且OUTPUT链将其映射到不同服务器上的维护服务器IP,端口8080,并返回一个网页)。 但是,如果目标IP是外部的,则在PREROUTING规则之后,进入该框的任何stream量似乎都会死亡。 这是我们设置的一个例子: 旧的设置: iptables -t nat -A PREROUTING -p tcp –dport 9080 -j DNAT – 到目的地$ MAINTIP:8080 iptables -a FORWARD –in-interface eth0 -j ACCEPT iptables -t nat -A POSTROUTING –out-interface eth0 -j MASQUERADE echo 1> / proc […]
所以我需要设置一台服务器来为IPMInetworking服务一台NAT服务器 xxx.xxx.xxx.xxx =外部IP(互联网IP) aaa.aaa.aaa.aaa =内部IP A bbb.bbb.bbb.bbb =内部IP B 用户1 – > xxx.xxx.xxx.xxx:1112 < – > aaa.aaa.aaa.aaa User 2 – > xxx.xxx.xxx.xxx:1113 < – > bbb.bbb.bbb.bbb xxx.xxx.xxx.xxx位于两个networking上带有NIC的防火墙服务器上,以作为两者之间的桥梁。 让我知道了所需的信息我无法弄清楚如何使用iptables做到这一点。 这是我的 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A PREROUTING -t nat -p tcp -d xxx.xxx.xxx.xxx –dport 1111 […]
所以,我想通过VPN连接路由某些stream量,其余的通过我的普通Internet连接。 我想运行几个不同的程序,其中大多数不支持绑定到特定的networking接口(在我的情况下tun0 )。 我设法发送一个特定用户的stream量通过VPN在这里给出的答案: iptables – 目标将数据包路由到特定的接口? 但不幸的是,当我运行连接到互联网的服务器,并具有在本地IP( 127.0.0.1/192.168.0.* )上运行的Web界面时,所有Internet通信都正确通过tun0 ,但我无法以不同的用户身份从本地IP连接到Web界面。 当我作为VPN-ified用户login时,我可以访问在本地IP上运行的服务,但其他用户/机器无法访问我启动的任何服务器。 任何人都可以指向正确的方向吗?
我有一个VPS(在linode上),我安装了Node.JS。 我的server.js文件如下: var http = require('http'); http.createServer(function (req, res) { res.writeHead(200, {'Content-Type': 'text/plain'}); res.end('Hello World\n'); }).listen(1337); console.log('Server running on port 1337'); 当我尝试在我的服务器上: wget http://localhost:1337 它确实工作并下载响应。 但从外部看,谷歌浏览器正在说哎呀! Google Chrome无法连接到xxx.xxx.xx.xx:1337 这是Iptables的输出: Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp — anywhere anywhere multiport dports ssh ACCEPT all — anywhere anywhere REJECT all — anywhere […]
我想使用iptables来过滤tftp客户端的OUTPUT包,但失败了,你能帮我吗? 我的规则: iptables -A OUTPUT -m udp -p udp –dport 69 -j NFQUEUE iptables -A OUTPUT -m string –algo kmp –string "nessus" -j NFQUEUE 客户端的OUTPUT包大部分是这样的: No. Time Source Destination Protocol Info 9 1.432738 192.168.9.76 192.168.9.114 TFTP Read Request, File: nessus713610685\000, Transfer type: netascii\000 Frame 9 (69 bytes on wire, 69 bytes captured) Ethernet II, Src: […]
我有一个不支持绑定到不同接口的应用程序。 它目前通过eth0发送传出连接,但我想通过eth0:1(它是一个虚拟接口)发送它。 所有stream量都通过特定的端口范围发送。 有什么办法可以使用Shorewall将stream量路由到合适的接口? 我宁愿不使用iptables,但如果这是唯一的方法,那么我也愿意这样做。
我正在研究一个拥有多年变化历史的多个盒子和路线的现场networking。 我试图用最小的干扰来巩固它们。 我想摆脱一些旧的路由器,并由较新的(活)框处理连接。 应该这样工作吗? iptables -t mangle -A PREROUTING -p tcp -d 192.168.0.1 -j MARK –set-mark 1 iptables -t mangle -A PREROUTING -p tcp -d 192.168.0.2 -j MARK –set-mark 2 iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 -j DNAT –to-destination $DST:7021 iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 -j DNAT –to-destination […]