我有一个标准的br0网桥设置我的KVM客人: auto br0 iface br0 inet static address 192.168.1.117 netmask 255.255.255.0 network 192.168.1.1 broadcast 192.168.1.225 gateway 192.168.1.1 bridge_ports eth0 bridge_stp off bridge_fd 0 auto eth1 iface eth1 inet static address 10.0.0.117 netmask 255.255.255.0 gateway 10.0.0.1 broadcast 10.0.0.225 eth1保留给其他stream量,但客人可以简单地改变它的IP连接到它。 我试图实现的是,一旦访客尝试更改其IP地址或MAC地址(尝试join另一个networking/欺骗另一个访客),则将所有stream量都丢弃到主机/外部/其他客户端, 我尝试了很多接口(eth0,br0,tap0,tap +),但我似乎无法得到我的规则: iptables -A INPUT -m physdev –physdev-in tap+ –physdev-out tap+ -s 192.168.1.205 -m mac ! […]
我能够login到FTP,但我没有看到任何文件或文件夹。 我的iptables看起来像这样 -Ainput-p udp -m udp -dport ftp-data -j ACCEPT -Ainput-p udp -m udp –dport ftp -j ACCEPT -A INPUT -p tcp -m tcp –dport https -j ACCEPT -Ainput-p tcp -m tcp –dport http -j ACCEPT -Ainput-p tcp -m tcp –dport ftp-data -j ACCEPT -Ainput-p tcp -m tcp –dport ftp -j ACCEPT 当我从服务器本身ftp到本地主机时,出现以下错误: 230login成功。 远程系统types是UNIX。 […]
我试图将连接到我的Ubuntu盒子(我将称之为“主机”)的设备(我称之为“目标”)的设备路由到远程办公室的服务器。 主机使用通过名为efix的NIC连接的Racoon IPSec VPN。 这将创build一个名为efix:0的别名IF,其IP地址为192.168.190.132 。 它能够到达服务器。 主机和目标之间的链接是以太网链接,在主机的IF eusb上使用IP地址10.0.0.1 ,在目标上使用IF eth0上的10.0.0.2 。 我已经设置了以下路由和iptables条目: 估计的正好: 10.0.0.0 * 255.255.255.0 U 0 0 0 eth0 default 10.0.0.1 0.0.0.0 UG 0 0 0 eth0 主持人: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT –to 192.168.190.132 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT iptables -A […]
所以我有一个单一界面的机器。 它有2个IP地址(eth0:192.168.2.3,eth0:1 192.168.2.4)。 我想采取任何stream量进来192.168.2.4和NAT到外部IP地址。 尽我所能告诉我已经做了一切必要的工作,但它并不是我错过了一些东西。 / proc / sys / net / ipv4 / ip_forward设置为1 我的iptables都设置为默认的ACCEPT,这里是我的DNAT规则: iptables -t nat -A PREROUTING -d 192.168.2.4 -j DNAT – 到目的地192.1.1.2 该机器有一个到192.1.1.2的路由,通过一个可从eth0访问的网关:192.1.1.2 192.168.2.248 255.255.255.0 UG 0 0 0 eth0 DNAT规则似乎实际上没有做任何types的NAT /redirect。 我错过了什么?
我希望能够使用iptables或ebtables或其他一些Linux实用程序来计算进入给定MAC地址的字节数。 我试过在ebtables查看字节数,但是他们总是0,我在这里做错了什么?
我已经configuration我的服务器(server1)通过IPsec(安全vpn)VPN连接到另一台服务器(server2)。 但现在我需要设置另一个VPN(工作VPN),所以我将能够连接到我的服务器(服务器1)和访问另一台服务器(服务器2)。 我的服务器有1个外部networking接口(eth0 IP 71.185.153.102 – 访问互联网)。 安全VPN使用eth0:0,它是一个IP 71.185.200.240的虚拟networking接口。 目标:连接到安全VPN(从我的办公室)并访问它的地址: http : /20.35.166.61 : 6084/test/ 它应该如何工作: 我的家庭办公室 – >连接到VPN(在我的服务器上) – >服务器通过接口ppp0获取数据包 – > iptables应该转发并将所有数据包转换为eth0:0(VPN over IPsec) 到目前为止,我做了什么: 安装了poptop(pptpd) 给它一个localeip和一个remoteip(localeip 192.168.0.1 remoteip 192.168.0.100-200) 接受来自ppp0的所有stream量:iptables -A INPUT -i ppp0 -j ACCEPT 接受从ppp0到eth0的所有转发:iptables -A INPUT -i ppp0 -o eth0 -j ACCEPT打开gre协议: iptables -A INPUT -p gre -j ACCEPT […]
我试图将NATstream量发送到服务器的专用接口到环回(因为MySQL bind-address是在127.0.0.1 ,不能改变,但我仍然需要通过专用接口达到它)。 组态 –mysql bind-address = 127.0.0.1 使用sysctl -w net.ipv4.ip_forward=1启用IP转发 -setup iptables如下( eth0是私有接口) -P FORWARD ACCEPT -P OUTPUT ACCEPT -A INPUT -i eth0 -p tcp –dport 3306 -j ACCEPT -A INPUT -i lo –jump ACCEPT -A INPUT –match state –state ESTABLISHED,RELATED –jump ACCEPT -t nat -A PREROUTING -i eth0 -p tcp –port 3306 -j […]
我正在寻找一种方法来通过tun0(openvpn)路由所有wlan0stream量(tcp和udp)。 但是,源自设备本身的所有其他stream量不应通过tun0路由。 我猜这可以通过使用iptables或路由来实现,但我的选项似乎没有任何工作。 # route add -net 0.0.0.0 gw 172.27.0.1 dev wlan0 SIOCADDRT: No such process 信息:这是因为VPN服务器不是多余的,而且wlan用户并不重要。 但是,设备上运行的所有服务都相当重要,而拥有一台没有SLA的VPN虚拟机就不是个好主意。 试图尽量减less出现问题的几率。 所以将VPN服务器设置为默认网关并不是一个真正的select。 我也希望所有wlan0用户使用VPN服务器的IP地址作为外部IP。 用提供的脚本编辑: root@ft-genesi-xxx ~ # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 172.27.0.17 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 […]
我想了解使用iptables DNAT与回送地址的限制。 考虑我们有一个应用程序只能连接到127.0.0.1; 使服务器和客户端在不同的节点上工作的明显的解决scheme是使用NAT如下: 确保所有传出的数据包都具有主客户端主机的IP地址: iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source <CLIENT_IP> 现在让我们试图欺骗客户和DNAT一个连接到外部世界: iptables -t nat -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp –dport <SERVICE_PORT> -j DNAT –to-destination <SERVER_IP> 不幸的是,当试图连接到127.0.0.1:<SERVICE_PORT>时,这只是不起作用127.0.0.1:<SERVICE_PORT>程序只挂在connect syscall上。 有意思的是,我看不到任何接口上的任何SYN数据包( tcpdump -qn -i any port <SERVICE_PORT> ),但是我可以看到数据包计数器增加,同时查看iptables统计信息( iptables -nvL -t nat )。 search解决scheme我find了一个内核编译选项CONFIG_IP_NF_NAT_LOCAL ,它在内核2.6.0-2.6.10中使用来解决与本地发起的连接一起使用NAT的问题。 不幸的是,当前的git内核树拥有版本2.6.11和更高版本的信息,所以我在这里死路一条。 进一步看,我已经遇到了这个线程 ,关于一些DNAT在2.6.11环回问题的修复; 其中一个补丁删除CONFIG_IP_NF_NAT_LOCAL构build选项,并无条件地启用代码( […]
我试图去看看这个网站的其他地方,但我找不到任何匹配这个问题的东西。 现在我的本地networking和远程networking之间有一条ipsec隧道。 目前,运行Openswan ipsec并打开隧道的本地盒可以ping远程ipsec盒和远程networking中的任何其他计算机。 login到远程计算机时,我可以ping任何本地networking中的盒子。 这是什么工作,这是什么不: 我不能通过不是ipsec框的本地机器ping任何远程计算机。 以下是我们的networking图: [local ipsec box] ———-\ \ [arbitrary local computer] –[local gateway/router] — [internet] — [remote ipsec box] — [arbitrary remote computer] 本地ipsec盒和任意本地计算机没有直接联系,而是通过网关/路由器进行通信。 路由器已经被设置为将来自本地计算机的远程子网的请求转发到ipsec框。 这工作。 问题是ipsec盒不转发任何东西。 每当任意一台本地计算机在远程子网上ping一些东西时,就是这样的回应: [user@localhost ~]# ping 172.16.53.12 PING 172.16.53.12 (172.16.53.12) 56(84) bytes of data. From 10.31.14.16 icmp_seq=1 Destination Host Prohibited From 10.31.14.16 icmp_seq=2 Destination Host […]