据我所知,docker运行容器与自己的IP,并完全开放的端口,在桥接口docker0。 比方说我启动一个容器,它有自己的IP:172.17.0.11,我有一个虚拟以太网接口eth0.1,公网IP为93.xxx 如何将eth0.1转发到Docker容器,以便通过eth0.1 IP访问容器? 我可以一次转发所有端口吗? (也许用一个脚本) 如何禁用docker默认行为,以便每个容器只有在docker0接口上获得IP,我手动设置转发? @Xavierlucas 我把它连接起来,因为我认为那里解释得更好。 如果你检查debianconfiguration文件,我添加到/ etc / net / interfaces文件中: post-up /sbin/ifconfig eth0:X IP.OF.FAIL.OVER netmask 255.255.255.255 broadcast IP.OF.FAIL.OVER post-down /sbin/ifconfig eth0:X down 这样我有一个虚拟接口(eth0:0),它有一个由我的提供商转发的公有IP。 我认为路由是由供应商完成的,因为在我的服务器上没有额外的路由或configuration 注意: 有一个后续问题 为什么端口转发不能在这个设置中工作?
我正在设置一个安全的服务器,仅用于存储encryption的文件,但需要从互联网上访问。 服务器本身处于安全的位置,没有任何物理访问,这很好,但我更担心互联网端。 除了打开ssh之外,我正在考虑使用Ubuntu和其他软件。 如何设置iptables来阻止除ssh之外的所有连接? 如何设置打开的SSHlocking超过2次失败的尝试?
我有两台运行iptables和apf的CentOS 5服务器。 我有问题从服务器1连接到服务器1到服务器2.我可以从服务器1连接到第三个服务器,从第三个服务器连接到1和2。 在所有情况下,我使用的是IP地址,而不是主机名。 我已经停止所有服务器上的iptables和apf,它似乎并没有改变任何东西。 debugging这个过程的最好方法是什么?
所以我试图做大致这个 http://wiki.mikrotik.com/wiki/PCC 在Linux上。 进一步解释一下:PCC只需要取出数据包的源地址,对它进行散列,将散列除以某个数字,如果余数等于某个其他数字,则进行规则匹配。 实际上,我使用这种方法大多是随机地将我的networking分成几个几乎同样大的组。 更具体地说,六个这样的小组将如下所示: Group 1: pcc_hash(source IP) % 6 = 0 Group 2: pcc_hash(source IP) % 6 = 1 … etc 然后给这些组分配一些共享的资源(比如带宽或公共IP地址),他们不想经常改变(特别是使用公共IP地址)。 我的问题是,如果有一个很好的方法,使用一些类似的,最好简单的iptables规则将networking分成任意数量的随机平等的子网。 我已经成功地使用u32(2 ^ n个networking,仅仅匹配源IP地址的最后n位)将networking分成两个幂。 但是,一些随机性也会很好,而将networking分割成精确的三分之一是不可能的。 此外,mikrotiks基本上是基于Linux的,所以必须有一种方法来做到这一点:D 有人在这里意识到一个好的方法,或者至less有一些好的u32文档可以做到这一点吗? 提前致谢 -MK
我正在尝试configuration一个为几百个用户提供Internet的路由器。 该路由器configuration有4个基本电缆上行链路,全部使用DHCP,容量大约为10/1 Mbps。 路由器有3个接口: eth0连接到pipe理networking,192.168.A.0 / 24(可以忽略) eth1连接到用户networking,192.168.B.0 / 23 eth2连接到VLAN交换机,调制解调器位于4个不同的VLAN上。 IP路由,IP规则和iptables的细节可以在这里find : http : //pastebin.com/Qi3KBR79 VLAN编号为24〜27,对应的路由表中编号相同。 每个路由表都包含eth0,eth1和eth2.X的链接级别条目,以及DHCP服务器给出的默认路由。 请注意,有可能是2个调制解调器在同一个子网上。 我使用CONNMARK和IP规则来标记连接并将它们redirect到调制解调器特定的路由表。 我也有一个dhclient挂钩,负责在DHCP租约更新时更新这些辅助路由表。 对于INPUT和FORWARD,缺省的iptables策略是DROP,而对于OUTPUT则是ACCEPT。 请注意,ip规则部分将fwmarks 3和4redirect回到调制解调器1和2,但这是暂时的,因为其他2个调制解调器仍然在传递来自用户的stream量(我们不能完全断开它们…) 现在所有这些说,这个解决scheme有点作用,但展品约50%的数据包丢失,无论select的上行链路: – /有人能告诉我什么是我做错了? 我一直在这个问题上捅了好几个小时,现在变得非常沮丧… 在此先感谢 – 托马斯
我有一个小型家庭办公室设置。 我使用谷歌的语音和vonage电话。 请看图 – 我知道这不是理想的,但是由于我的Cisco交换机(3550)打包,所以这是最大限度地输出以太网的唯一方法; 我现在没有预算花一分钱。 vonage机箱在接口上有QOS on和QOS。 思科交换机只是vlans和路由,没有qos。 无线接入点在一个vlan上,另一个是电话。 这是一个有效的build立。 由于交换机死亡,电话质量一直不好,所以我想我需要在iptables的Linux机箱上实现QOS? 特别是当有人连接VPN时,这从来都不是问题。 我有一个相当不错的互联网连接。 是否有一行iptables我可以写,将放在从Vonage盒来的一切QOS? 并放弃openvpn的优先级? 我宁愿openvpn客户端运行速度慢,因为它只用于安全的互联网浏览时。 openvpn在端口443上运行。 下面是我目前的iptables -L : Chain INPUT (policy DROP) target prot opt source destination fail2ban-SSH tcp — anywhere anywhere tcp dpt:ssh ACCEPT all — anywhere anywhere ACCEPT tcp — anywhere anywhere tcp flags:ACK/ACK ACCEPT all — anywhere anywhere state […]
在我的服务器上,我想将所有stream量复制到其他主机。 我使用TEE模块的iptables: iptables -t mangle -A PREROUTING -i eth0 -j TEE –gateway IP_SERVER2 我检查规则: iptables -t mangle -L =>规则在这里,但它不起作用…其他服务器没有收到任何东西。 当我做一个tcpdump时: tcpdump dst IP_SERVER2 => 0通过filter收到的数据包 我尝试启用/proc/sys/net/ipv4/ip_forward , /proc/sys/net/ipv4/conf/all/accept_redirects和/proc/sys/net/ipv4/conf/all/send_redirects 。 我改成了/etc/sysctl.conf的net.ipv4.ip_forward选项,它仍然不起作用。 你有什么想法吗?
与Fedora 8上BugZilla的旧请求类似,我希望自那时以来有所改变,或者有人知道另一种方式。 我想手工pipe理iptables规则 – 一刀切的自动规则根本不适合我。 这些规则似乎在networking启动和销毁时被添加和删除。 有没有办法阻止这些规则被添加或挂钩到networking启动,以后恢复默认规则。 现在,我用cron使用一个非常粗糙的方法,但是我希望有一个更好的方法: * * * * * root iptables-restore < /etc/sysconfig/iptables
我开始使用RHEL7并学习一些有关systemd的变化。 有没有办法执行/sbin/service iptables save在firewalld? $ /sbin/service iptables save The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl. 我可以从文档find最接近的并行–reload : Reload the firewall without loosing state information: $ firewall-cmd –reload 但是它并没有明确地说是否保存。
首先,这不是一个日常的路由问题。 设置相当复杂,所以让我先说明一下。 我有一个路由器,让它保持简单,3个接口。 eth0,eth1,eth2。 eth2用于pppoe。 eth0和eth1有客户。 好,到目前为止,所有的基本..现在来了棘手的事情:我在eth0和eth1上创build了一堆macvlan接口,名称模式是: g1eth0 : g1 for gate1, eth0 indicates on what physical interface its laying on 我为每个上行链路提供了3,1个pppoe和2个VPN。 然后这些合并成门后命名的桥梁。 到目前为止,我们有这些接口: <iface>:<description> eth0 : our 1st subnet is here eth1 : our 2nd subnet is here eth2 : our pppoe is hooked here ppp0 : our pppoe uplink tap0 : our vpn1 […]