每个数据包是否由不同的核心处理? 或者它是一个单线程的过程?
更新: 我find了解决scheme: http : //www.linuxfoundation.org/collaborate/workgroups/networking/bridge#No_traffic_gets_trough_.28except_ARP_and_STP.29 # cd /proc/sys/net/bridge # ls bridge-nf-call-arptables bridge-nf-call-iptables bridge-nf-call-ip6tables bridge-nf-filter-vlan-tagged # for f in bridge-nf-*; do echo 0 > $f; done 但我想对此有专家意见:禁用所有bridge-nf- *是否安全? 他们在这里干什么? 更新结束 我需要将LXC容器连接到我的主机的物理接口(eth0),阅读大量教程,文档和博客文章。 我需要容器有自己的公共IP(我以前做过KVM / libvirt)。 经过两天的search和尝试,我仍然无法使用LXC容器。 主机运行一个新鲜安装的Ubuntu服务器Quantal(12.10)只有libvirt(我没有在这里使用)和lxc安装。 我创build了容器: lxc-create -t ubuntu -n mycontainer 所以他们也运行Ubuntu 12.10。 / var / lib / lxc / mycontainer / config的内容是: lxc.utsname = […]
在CentOS 5和6 Linux中使用iptables – 你怎么能防止进程作为根 , Apache或没有人启动传出连接? 在CentOS 5 Linux上我试过把这些行放到/ etc / sysconfig / iptables中: -A OUTPUT -m owner –uid-owner root -j DROP -A OUTPUT -m owner –uid-owner apache -j DROP -A OUTPUT -m owner –uid-owner nobody -j DROP 但不幸的是得到的错误: # sudo service iptables restart iptables: Flushing firewall rules: [ OK ] iptables: Setting chains […]
我的EC2(Fedora AMI)服务正受到stream氓configuration错误的客户端的严重打击。 我有什么select来阻止这个stream氓客户端的IP?
我想我的iptables规则自动加载启动。 根据Debian上的wiki,这可以通过在/etc/network/if-pre-up.d/中放置一个名字为iptables的脚本来完成。所以我确实是这样的: cat /etc/network/if-pre-up.d/iptables #!/bin/sh /sbin/iptables-restore < /etc/firewall/iptables.rules /sbin/ip6tables-restore < /etc/firewall/ip6tables.rules 这个脚本的作品:如果我作为根运行它我的防火墙规则得到应用。 但重启时没有防火墙规则。 我究竟做错了什么? 根据要求:/ etc / network / interfaces(我没有碰到这个文件) jacko@DebianVPS:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet […]
我试图转发从远程服务器的networkingstream量到我的本地机器,以testing一些API集成(tropo,贝宝等)。 基本上,我试图设置类似tunnlr.com提供的东西。 我用命令启动了ssh隧道 $ssh –nNT –R :7777:localhost:5000 user@server 然后我可以看到服务器正在使用端口7777进行监听 user@server:$netstat -ant | grep 7777 tcp 0 0 127.0.0.1:7777 0.0.0.0:* LISTEN tcp6 0 0 ::1:7777 :::* LISTEN $user@server:curl localhost:7777 Hello from local machine 所以这工作正常。 curl请求实际上是从本地机器提供的。 现在,我如何启用server.com:8888通过该隧道路由? 我试过像这样使用nginx: upstream tunnel { server 0.0.0.0:7777; } server { listen 8888; server_name server.com; location / { access_log /var/log/nginx/tunnel-access.log; error_log /var/log/nginx/tunnel-error.log; […]
使用默认策略vs -j DROP丢弃不匹配的数据包是否有区别? 喜欢: iptables -P INPUT DROP iptables -A INPUT –dport 80 -j ACCEPT VS iptables -A INPUT –dport 80 -j ACCEPT iptables -A INPUT -j DROP 我关心的原因是因为我不能创build日志链,并将其作为默认策略,因此我需要使用第二个示例。
我有一个防火墙/路由器(不做NAT)。 我GOOGLE了,看到相互矛盾的答案。 看来UDP 500是常见的。 但其他人混淆。 1701,4500。 有人说我也需要让50或47,或50和51。 好的,哪些端口是正确的IPSec / L2TP工作在没有NAT的路由环境? 即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。 也许这里的一个好的答案是指定为不同情况打开哪些端口。 我认为这对许多人有用。
我有一个Linux系统(让它成为A)与2个以太网卡,即eth0和eth1连接到两个完全无关的局域网。 基本上,eth0用于正常的应用程序stream量,eth1仅用于debugging目的。 debugging意味着eth1使用交叉电缆连接到运行Wireshark的另一个Linux机器(让它成为B)。 我希望Wireshark能够处理在eth0上传输的应用程序数据包。 基本上我需要将旅行数据包从eth0接口复制到接口eth1,以便B盒上的Wireshark可以嗅探它们(出于某些原因,我没有物理访问LAN eth0)。 我也可能需要根据某些规则(仅仅基于TCP / IP字段)指定从eth0到eth1复制哪些数据包。 还要注意,A的eth0不需要放在混杂模式,因为我只想复制一个包含A作为目的地的数据包子集 有没有办法使用iptables单独实现这一点? 或者我需要编写一个应用程序来使这个工作? 我应该怎么做“复制”数据包?
我有两台主机试图build立一个IPSec连接。 为此,他们必须在UDP端口500和4500上进行通信,所以我在两端的防火墙中打开它们(如相关部分所示): -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT -A INPUT -m udp -p udp –dport 500 -j ACCEPT -A INPUT -m udp -p udp –dport 4500 -j ACCEPT #….. -A INPUT -j REJECT –reject-with icmp6-port-unreachable 然而,密钥交换从来没有成功。 每一方都不断尝试重复发送UDP数据包,从来没有听到任何回应,直到最后放弃。 我在一端启动了tcpdump ,发现UDP数据包被碎片化,第二个碎片进入后,一个ICMP端口不可访问被返回。 这种交易失败的一个例子(为了保护而消毒): 04:00:43.311572 IP6 (hlim 51, next-header Fragment (44) payload length: 1240) 2001:db8::be6b:d879 > 2001:db8:f:608::2: […]