我有一套实施VIP行为的规则 – 全部在nat表中。 显然我想尽可能less的处理数据包。 我不清楚“-m state –state NEW”是否在这种情况下是一种优化。 将build立的连接上的数据包将“快速path”? 我还可以做其他事情来优化一系列IP:端口比较和“-j DNAT”规则吗? 编辑:示例表 -t nat -A OUTPUT -j VIPS -t nat -A VIPS -d 10.0.154.213/32 -p tcp -m tcp -dport 80 -j SVC-FOO -t nat -A VIPS -d 10.0.140.123/32 -p tcp -m tcp -dport 80 -j SVC-BAR -t nat -A VIPS -d 10.0.221.241/32 -p tcp -m […]
我有一个vpn服务器连接到现在有IP 10.30.0.x的VPN客户端。 我希望它能够ping另一个私人客户端连接到VPN服务器。 请注意,其他私人客户端是VPN服务器的私有子网,并且没有连接到它。 所以vpn服务器类似10.20.0.95和vpn客户端10.30.0.190和私人子网连接到vpn服务器是10.20.0.180。 现在10.30.0.190不能ping 10.20.0.180,反之亦然。 我在server.conf中启用了客户端到客户端 另外请注意,使用伪装它的作品,但是我不知道哪一个正在ping 10.20.0.180。 我只看到来自vpn服务器的请求。 server.conf port 1190 proto udp dev tun ca ca.crt dh dh.pem topology subnet server 10.10.0.0 255.255.0.0 ifconfig-pool-persist ipp.txt push "route 10.20.0.0 255.255.0.0" client-config-dir ccd ifconfig 10.10.0.1 255.255.255.0 route 10.30.0.0 255.255.0.0 10.10.0.2 client-to-client keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log log-append openvpn.log verb 3 […]
所以,我按照这个指南做了一个命名空间,我可以运行我的VPN: https : //schnouki.net/posts/2014/12/12/openvpn-for-a-single-application-on-linux/ 到目前为止工作正常,但我有一个问题。 我想在命名空间中运行一个服务,通过另一台PC上的浏览器打开一个我可以使用的端口。 所以,我想我必须将进入我的正常networking的端口转发到名称空间中的虚拟networking,但是我无法弄清楚,我是怎么做到的。 这是ifconfig的输出: eth0 Link encap:Ethernet HWaddr b8:27:eb:f5:59:ab inet addr:192.168.0.8 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:73328 errors:0 dropped:0 overruns:0 frame:0 TX packets:125290 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:10329389 (9.8 MiB) TX bytes:100230154 (95.5 MiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING […]
我有一个情况,我试图托pipe我自己的networking服务器,因为我需要一些定制软件,包括电话,WebRTC,node.js等,但是,我的networking连接在城镇和国家,它将被托pipe,光纤线路不是很可靠(从物理angular度讲 – 容易出现割伤 – 很less发生,但已经发生了几次)。 为了解决这个问题,我想通过两个不同的物理媒体,当然还有两个不同的公共IP,可以通过两个ISP访问内部服务器。 域名注册商通常在DNS设置(Alogging)中只有一个IP作为容错机制,这将毫无用处。 即使我手动更改域的Alogging,当其中一个物理连接断开时,传播也是需要一些时间的,更不用说DNScaching等等了。所有这些都是基本的东西,我猜想。 为了解决所描述的问题,我可以在托pipe服务器上使用反向代理,其唯一目的是将给定会话的传入请求redirect到特定的IP地址,类似于负载平衡中使用的循环方式,虽然在技术上它是两个不同IP的同一台服务器。 DNS Alogging将指向托pipe服务器。 如果一个ISP的连接closures,托pipe服务器将自动转发到另一个IP。 我查看了常见的反向代理服务器(APache,Nginx,Squid),但无法从会话的angular度清楚地了解它如何pipe理redirect。 也就是说,同一个会话中的多个请求被redirect到同一个IP? 称为磅的反向代理服务器似乎提供这样的服务,但我也不清楚。 反向代理是否处理会话pipe理? 如果不是,它如何知道一个特定的请求必须被转发到一个会话中的同一个IP? 或者,这是否与TCP连接有关,而不是应用程序级会话? 请注意,在这种反向代理使用中,转发的IP与代理本身不在同一个本地networking中,而是完全不同ISP的远程服务器的公共IP地址。 也许这并不重要,因为在我的情况下,远程服务器是相同的,尽pipe具有不同IP地址的IP接口不同。 即使请求来自同一个会话中同一个服务器上的两个不同的IP(由于一个会话中途中断一个电缆而造成的),会话pipe理是否会自行处理? 在推进实施之前,我只需要澄清一下。 或者有更好的方法来解决这个问题吗?我想很多第三世界国家会面临这个问题,特别是如果他们想要在内部部署node.js和相关的新一代服务,而不是必须关心这里提出的问题。 在一个相关的主题上,iptables的目标NAT是否可以用作反向代理服务器。 这只是一个理论问题,因为我不能在托pipe的共享服务器上设置IPtables规则。
早上好。 我运行Ubuntu 14.04服务器和Docker 1.8.1,UFW是我pipe理iptables的前端。 我需要运行一个应用程序到一个容器中。 我确实需要以下行为: 我的应用程序需要连接到另一台机器的端口,说,8888 / TCP。 我不希望dockerpipe理我的iptables,因此我在/etc/default/docker DOCKER_OPTS="–iptables=false"设置了DOCKER_OPTS="–iptables=false" 。 这样做,docker现在应该跳过设置任何 iptables规则。 然后,我在UFW中做了以下工作,以便将docker集装箱连接到外部世界: 在/etc/default/ufw设置DEFAULT_FORWARD_POLICY="ACCEPT" 在/etc/sysctl.conf设置net.ipv4.ip_forward=1和net.ipv4.conf.all.forwarding=1 我还将以下行添加到/etc/ufw/before.rules以启用NATfunction: # nat Table rules *nat :POSTROUTING ACCEPT [0:0] # Forward traffic from private network through eth0, the Internet iface on master. -A POSTROUTING -s 172.17.42.1/16 -o eth0 -j MASQUERADE # don't delete the 'COMMIT' line or these […]
我已将我的android / web应用程序托pipe在VPC的专用子网(10.0.1.0)中的EC2实例上。 这个实例上安装了apache-tomcat,但是没有公有IP。 我的VPC的公有子网(10.0.0.0)中也有一个NAT实例,公有IP分配给服务器。 iptablesconfiguration看起来像这样: [ec2-user@ip-10-0-0-21 ~]$ sudo iptables -t nat -L –line-numbers Chain PREROUTING (policy ACCEPT) num target prot opt source destination 1 DNAT tcp — anywhere anywhere tcp dpt:webcache to:10.0.1.11:8080 2 DNAT tcp — anywhere anywhere tcp dpt:http to:10.0.1.11:8080 3 DNAT tcp — anywhere anywhere tcp dpt:http to:10.0.1.11:8080 4 DNAT tcp — […]
我正在尝试将网桥上的dnsstream量转发到本地dns服务器,并且无法正常工作。 作为一个思想练习,我决定阻止所有的stream量,这也是行不通的。 这是我的设置: #/etc/network/interfaces auto lo iface lo inet loopback iface eth0 inet manual iface eth1 inet manual #allow-hotplug br0 auto br0 iface br0 inet static bridge_ports eth0 eth1 address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1 sudo iptables -L结果(MAC地址是eth0和eth1): Chain INPUT (policy DROP) target prot opt source destination DROP udp — anywhere anywhere udp dpt:domain DROP […]
我有一个宽带ADSL调制解调器路由器SagemCom F @ ST 2704有很多embedded式选项,如每接口创build不同的networking(4个Ethnet端口和5无线SSID,以及许多方面的分析)。 他也有一个接口分组function在它的Web界面允许单个或多个接口在一起。 为了分离接口和有两个不同的DHCP服务器,我已经创build了两个网桥br0和br1 ,如下图所示: br0 =(eth0,eth1,w10)和br1 =(eth2,eth3,w10.1) 所以,这是我的Telnet接口: atm0, atm0.1, atm0.2, bcmsw, br0, br1, eth0, eth1, eth2, eth3, lo, ppp1.1, wl0, wl0.1, wl0.2, wl0.3, wl0.4 我已经用ebtables commande尝试了一些防火墙指令,但是它不起作用。 这是我的指挥官: ebtables -A FORWARD -i br0 -o br1 -d ff:ff:ff:ff:ff:ff -j DROP ebtables -A FORWARD -i br1 -o br0 -d ff:ff:ff:ff:ff:ff -j DROP 请如何分开brigdes […]
我不能在Fedora 22上安装iptable-service。当我input命令 dnf安装iptables-service ,它会抛出下面提到的错误。 错误:无法同步caching回购“更新”(和一些更多的信息)。 我试图手动进入回购链接在浏览器中,它要求我保存元数据文件,所以我知道回购作品。 可能是什么问题? 我该如何解决这个问题? 我不能安装任何东西,它会引发这个错误。 至less有没有其他的方法来安装iptables-service? 谢谢。 编辑下面是我得到的完整的错误: – Error: Failed to synchronize cache for repo 'updates' from 'https://mirrors.fedoraproject.org/metalink?repo=updates-released-f22&arch=i386': Cannot prepare internal mirrorlist: Curl error (60): Peer certificate cannot be authenticated with given CA certificates for https://mirrors.fedoraproject.org/metalink?repo=updates-released-f22&arch=i386 [Peer's Certificate issuer is not recognized.]
我还没有find一个非常具有描述性的主题(如果有一个存在的话,我感到抱歉 – 在几个小时的search中,我没有发现任何具体的情况)。 我的主要问题是将tun0(我的OpenVPN服务器)的stream量转移到gre1(我的GRE隧道)并返回。 如果我设置一个NAT规则,我可以让stream量通过eth0,但是我只是不知道为什么它不能正确地路由gre1。 我的默认路由是eth0。 另一件事情是,我不希望所有的stream量从gre1stream回tun0。 我已经绑定了gre1(nginx等),这也是设置。 只是从tun0到gre1和返回的stream量。 OpenVPN客户端分配的IP地址为172.27.240.0/20。 感谢您的帮助,非常感谢。 查克〜