根据iptables-extensions手册页 hashlimit可以做带宽限制: “stream量超过512kbyte / s”=> –hashlimit-mode srcip,dstip,srcport,dstport –hashlimit-above 512kb/s 然而,当我试图指定这样一个规则,1)它不会像我所期望的那样限制我的带宽,2)当我使用iptables-save转储规则时,无论我在数字后加了多less,我都会得到相同的条目(kb / s,b / s,/ sec,愚蠢的东西,或者什么也没有): # iptables -t filter -A it2net -s 10.5.2.43/32 -m hashlimit –hashlimit-upto 8kb/s –hashlimit-mode dstip –hashlimit-name test –hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.44/32 -m hashlimit –hashlimit-upto 8b/s –hashlimit-mode dstip –hashlimit-name test –hashlimit-htable-expire 3600000 -j ACCEPT […]
我正面临着在基于OpenVZ的VPS上运行的Ubuntu 12.04上设置ufw的问题。 我知道ufw有局限性。 我GOOGLE了一堆文章如何解决这个问题(如: http : //blog.bodhizazen.net/linux/how-to-use-ufw-in-openvz-templates/ )。 但如果我试图应用这些方法,我卡住了 ufw-init强制重载 只是跳过: # ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y ERROR: problem running ufw-init # /lib/ufw/ufw-init force-reload Skipping (not enabled) 我无法弄清楚是否可以使用ufw? 如果不是,我应该与iptables打交道吗?
我想configuration鱿鱼作为透明的代理,我按照下面的步骤进行configuration 从网站下载squid3.5,因为squid3.1不支持ssl bump ./configure –enable-linux-netfilter –enable-icap-client –enable-ssl –with-filedescriptors=65536 –with-large-files –prefix=/usr –localstatedir=/var –libexecdir=${prefix}/lib/squid –srcdir=. –datadir=${prefix}/share/squid –sysconfdir=/etc/squid make make install SSL已启用鱿鱼,我可以检查使用 squid -v Squid Cache: Version 3.5.2 Service Name: squid configure options: '–enable-linux-netfilter' '–enable-icap-client' '–enable-ssl' '–with-filedescriptors=65536' '–with-large-files' '–prefix=/usr' '–localstatedir=/var' '–libexecdir=/lib/squid' '–srcdir=.' '–datadir=/share/squid' '–sysconfdir=/etc/squid' 'CPPFLAGS=-I../libltdl' –enable-ltdl-convenience 到现在为止,每件事都是好的 我已经在/etc/squid/cert/squid.pem中创build了authentication 当我编辑squid.conf http_port 3128 https_port 3130 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/cert/squid.pem 只有3128的http_port正在运行 […]
iptables通常用图表来说明 路由查找(路由表)执行时我无法理解: 里面的“路由决策”灰色框? 如果是这样,是否意味着一个数据包被路由两次? 之后“nat POSTROUTING”并没有显示在图片中? 这是我目前的假设,但我无法在互联网上find任何确认。 有没有可用的参考?
情况 我知道如何做ipv4转发,并期望ipv6转发几乎相同的方式工作。 所以我configuration了一个VirtualBox主机,configuration了从我的ISPconfiguration的networking地址。 现在,这是我有的networking: http://tmp.hjts.nl/vboxnetwork.png 题 我能够在Debian路由器上ping所有ipv6地址,但是我无法访问Debian必须将数据包(例如从Fedora客户端)转发到Debian上的eth0的地址。 组态 Debian服务器被configuration为允许IPV6转发: root@6server:~# sysctl -p net.ipv6.conf.all.forwarding = 1 net.ipv6.conf.all.accept_ra = 2 net.ipv6.conf.all.accept_redirects = 1 net.ipv6.conf.all.accept_source_route = 1 Iptables应该允许它。 root@6server:~# ip6tables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all anywhere anywhere state RELATED,ESTABLISHED ACCEPT all anywhere […]
我无法使用起搏器和corosync使群集工作。 这是我的硬件configuration: networking:192.168.3.0/255.255.255.0 网关:192.168.3.1 node1(Ubuntu Server 12.04 x64)静态IP:192.168.3.34 node2(Ubuntu Server 12.04 x64)静态IP:192.168.3.35 这个networking在防火墙后面。 我有两个通过udp与外部设备通信的资源: resource1 – > udp端口16500 resource2 – > udp端口16501 我使用的起搏器命令: crm configure primitive res1-srv upstart:resource1 \ op monitor interval=10s timeout=120 on-fail="restart" \ meta is-managed="true" failure-timeout=300 migration-threshold=5 allow-migrate=true crm configure primitive res2-srv upstart:resource2 \ op monitor interval=10s timeout=120 on-fail="restart" \ meta is-managed="true" failure-timeout=300 […]
我有一个场景,我们将使用Mac将video内容stream式传输到RTMP服务器。 此RMTP服务提供2个摄取URL,以便您可以两次上传相同的video内容,并在连接出现问题时提供冗余。 但是,两个RTMP摄取URL是相同的,唯一的区别是它们的TCP端口号,例如: { "rtmp1": "rtmp://xxx.xxx.com:1935/id1", "rtmp2": "rtmp://xxx.xxx.com:1936/id1" } 我想要做的是以下几点: Mac上有两个networking接口(每个使用不同的networking提供商,以实现冗余)。 让OS X使用其中一个networking接口将内容stream式传输到第一个URL,然后使用第二个networking接口stream式传输到第二个URL 我不知道如何通过OS X中的不同networking接口将stream量分stream到同一个主机(但是不同的端口)。我已经find了这些链接( 这里和这里 ),但他们解决了不同的问题。 有谁知道如何在OS X中使用iptables,nat,主机或任何服务组合来实现我正在寻找的这个分割? UPDATE 经过一番研究,我相信这应该可以用PF来实现。 我已经创build了下面的规则集,并使用此规则加载了pf。 但是,所有stream量都被阻塞,应该允许出站和正确路由的实际rtmpstream量也被阻止。 似乎我有一个语法问题,让PF与我configuration的规则匹配的RTMPstream量: ext_if1 = "en0" ext_if1_gwt = "192.168.1.1" ext_if2 = "en5" ext_if2_gwt = "192.168.1.1" rtmp_ip = "104.46.55.96" rtmp_port1 = "1935" rtmp_port2 = "1936" pass in on $ext-if1 route-to ($ext_if1 $ext_if1_gwt) proto tcp from […]
我有AWS上运行的OpenVPN访问服务器。 这里是configuration: 172.18.16.0/20 客户端(172.18.16.101)—– OpenVPN服务器(172.16.0.0/20) | | | | 私有子网(172.16.16.0/20) 客户端可以连接到OpenVPN服务器。 OpenVPN服务器可以ping和访问客户端和私有子网上的资源。 客户端也可以访问OpenVPN服务器上的所有资源以及私有子网。 另外,OpenVPN服务器也可以访问客户端上的资源。 但是,专用子网上的框似乎无法ping或访问客户端上的资源。 OpenVPN服务器networkingconfiguration: as0t0链接封装:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:172.18.0.1 PtP:172.18.0.1掩码:255.255.248.0 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500公制:1 RX数据包:18个错误:0丢弃:0超出:0帧:0 TX包:18个错误:0丢弃:0超限:0载波:0 碰撞:0 txqueuelen:200 RX字节:1223(1.2 KB)TX字节:968(968.0 B) as0t1链接封装:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:172.18.8.1 PtP:172.18.8.1掩码:255.255.248.0 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500公制:1 RX包:0个错误:0个丢弃:0个超限:0个帧:0个 TX数据包:0错误:0丢弃:0超载:0载波:0 碰撞:0 txqueuelen:200 RX字节:0(0.0 B)TX字节:0(0.0 B) eth0 […]
我想移动到nftables(Ubuntu可靠,内核3.19)。 但是我想知道如何迁移ARP数据包的ebtables规则: -p ARP – arp-op请求–arp-ip-src 192.168.178.237 –arp-mac-src 2:fb:c5:e0:ef:a3 -j ACCEPT 命令nft add rule bridge filter qemu1-o arp operation request counter accept作品,但是我无法弄清楚如何将ip / mac限制添加到规则。
我有一个运行OpenVPN的服务器(93.xxx.xxx.xxx是公共IP),不同的Android和Windows客户端可以连接到互联网,但是我的Windows 10 PC上的OpenVPN客户端performance得很奇怪: 它成功连接和validation。 Sun Nov 08 10:50:38 2015 NOTE: –user option is not implemented on Windows Sun Nov 08 10:50:38 2015 NOTE: –group option is not implemented on Windows Sun Nov 08 10:50:38 2015 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 4 2015 Sun Nov 08 10:50:38 2015 library versions: […]