我有一台机器在不同的网段上有两个网卡,我为不同的网段设置了路由。 如果我手动运行所有的路由命令,但是在将命令放在/etc/network/interfaces文件中时我无法使其工作,那我做错了什么? 当我手动执行命令时,它会在两个接口上都回答,当我将它们放在/ etc / network / interfaces中时,它不会。 我怀疑我是按照错误的顺序或类似的方式做某事的。 我错过了什么? 我正在运行的命令(这工作): ip route add 192.168.85.0/24 dev eth0 src 192.168.85.94 table internal ip route add default via 192.168.85.1 table internal ip route add 212.16.165.128/28 dev eth1 src 212.16.165.131 table external ip route add default via 212.16.165.129 table external ip route add 192.168.85.0/24 dev eth0 src 192.168.85.94 […]
iptables通常用图表来说明 路由查找(路由表)执行时我无法理解: 里面的“路由决策”灰色框? 如果是这样,是否意味着一个数据包被路由两次? 之后“nat POSTROUTING”并没有显示在图片中? 这是我目前的假设,但我无法在互联网上find任何确认。 有没有可用的参考?
在我尝试使用虚假用户和iptables来执行此操作之前,需要执行需要限制的命令。 但是现在这些命令需要读取每个用户的环境variables设置,所以看起来这种方式不再有效。 操作系统是一个RedHat,似乎是唯一可靠的select是SELinux。 除了Web上的基本文档和教程,还没有关于configurationSElinux策略的最佳实践。 什么是推荐的方式来实现这个function?
我正在尝试使用vconfig在无线IPTV机顶盒(机顶盒)上的2个embedded式Linux SOC之间build立一个vlan。 SOC之间的物理连接是Marvell 88E60xx交换机。 问题是,vlan需要是私有的。 如果有一个以上的IPTV STB,RPC(远程过程调用)从错误的STB获得响应,并且我使用的静态IP地址在networking上被复制。 我在Wireshark上看到这个。 为1.1.1.1(28:c8:7a:b5:ad:50)检测到的重复IP地址 – 也被28:c8:7a:b5:ad:10使用(第171帧) 我怀疑我缺less1或2个configuration步骤,但这是我第一次尝试build立一个VLAN。 这就是我如何在控制WiFi的SOC上configurationvlan vconfig add br0 12 ip link set br0.12 up ifconfig br0.12 1.1.1.2 netmask 255.255.255.248 这就是我如何在控制IPTV的SOC上configurationvlan ifconfig eth0 0.0.0.0 multicast up vconfig add eth0 0 ifconfig eth0.0 0.0.0.0 multicast up brctl addbr br0 brctl addif br0 eth0.0 brctl addbr br6 brctl stp br6 […]
我在我的networking中观察到相当奇怪的(至less对我来说)几条路线的行为。 我在ipsec隧道上使用gre接口。 这些gre接口在我的整个networking上都有mtu 1400。 通常我看到这种tracepath输出: 1?: [LOCALHOST] pmtu 1500 1: 10.xxx.101.1 13.625ms 1: 10.xxx.101.1 13.178ms 2: 10.xxx.101.1 13.973ms pmtu 1400 2: 192.168.yyy.251 56.555ms 3: 192.168.yyy.92 643.252ms 4: 192.168.yyy.28 417.291ms 5: 192.168.zzz.129 517.893ms reached 但由于某种原因,当tracepath给出不同的结果时,我得到了一个案例: 1?: [LOCALHOST] pmtu 1500 1: 10.xxx.101.1 13.625ms 1: 10.xxx.101.1 20.857ms 2: 10.xxx.101.1 11.954ms pmtu 1400 2: 192.168.yyy.251 46.456ms 3: 192.168.yyy.251 45.563ms […]
我的最终目标是在Linux中实现虚拟路由和转发(VRF)。 似乎被广泛接受的方法是设置不同的networking名称空间(每个单独的路由表一个),并为每个名称空间/路由表运行一个Quagga或BIRD守护进程。 我没有结婚这个方法,所以如果有人有任何其他的build议,请让我知道。 有问题的机器在VMware工作站12中运行Debian 7(wheezy)。它一直是一个路由器,并且在我开始重新configuration之前已经成功路由了一段时间,所以我知道一般的路由设置是好的。 目前的问题是我无法通过我的networking名称空间进行通信。 也就是说,veth1(这是在我的名字空间如下)只能ping veth0,没有别的。 veth1和它下面的networking之间没有networking通信 – 甚至没有ARP。 如果我不知道更好的话,我会说有人从交换机上拔下了电缆(但在虚拟环境中很难做到这一点)。 是的,我检查了vmnets设置正确。 路由器在恢复到旧configuration时工作。 这只是在这个新的configuration不起作用。 任何人有任何想法如何获得veth1沟通? 甚至是完全不同的方法来获得VRF在Linux上的工作? 提前致谢。 我build立了新的configuration如下: 添加命名空间 ip netns add nsx 添加虚拟接口 ip link add veth0 type veth peer name veth1 创造一座桥梁 ip link add name vbr0 type bridge 将eth1和veth1添加到桥 ip link set dev eth1 master vbr0 ip link set dev veth1 […]
我们需要访问位于客户端的几台Linux机器。 我们需要访问客户端机器的Linux机器位于云端。 要build立的连接是站点到站点的VPN。 在重新启动ipsec服务通过命令sudo service ipsec restart连接结束与接收到的错误哈希有效载荷不匹配计算值 虽然,我们已经重新validation了ipsec.secrets具有正确的密钥,因为它是由客户端共享的。 另外,在运行命令sudo ipsec auto –up vpn cli挂断。 作为一个networking蹒跚学步的人,我分享了大部分我认为可能与错误有关的输出。 请让我知道是否需要更多的信息。 以下信息分享如下: 输出为ipsec服务重新启动 当ipsec服务启动时,完成login/var/log/secure 在ipsec.confconfiguration 在ipsec.secretsconfiguration ipsec.verify输出 输出ifconfig 客户和我们logging的VPN信息共享 输出为ipsec服务重新启动 [root@gbox-1 ~]# service ipsec restart ipsec_setup: Stopping Openswan IPsec… ipsec_setup: Starting Openswan IPsec 2.6.32… ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey ipsec_setup: NETKEY support found. […]
背景: RHEL 7.2截至2016年10月 物理系统 NetworkManager已禁用 通过将2x10G网卡(eth0和eth1)组合为lacp0来configurationnetworking (不相关的)IP地址在VLAN子接口lacp0.XXX和lacp0.YYY上configuration (也无关紧要)这些系统注定要成为Oracle 12c节点 networking连接是100%OK,基准testing证实LACPfunction完全正常,接近20 GBps理论最大值。 问题: systemd在关机期间没有检测到networking堆栈已经停止,并且等到为时已经太晚才能卸载NFS共享,从而无法卸载它们,从而导致NFS服务器无限期地挂起以供NFS服务器响应。 症状: 运行“systemctl stop network.service”之后,network.target和network-online.target仍被视为活动的 。 我到目前为止: 通过/etc/fstab文件添加的NFS挂载被转换为*.mount systemd单元。 这些单元自动依赖于依赖于network-online.target的remote-fs.target 。 从文档看来,networking* .target依赖于networkingpipe理工具来检测networking是否启动等。 这可以是NetworkManager , systemd-nerworkd ,或其他任何东西(但什么?)。 我想我的问题可能在这里,因为看起来我们的jumpstart模板依赖于旧的init脚本来pipe理接口。 我怀疑systemd可以与它交互,以获知networking正在启动或closures(尽pipe用于停止与systemctl stop network的networking堆栈) 我的第二个假设是,即使通过ifcfg- *文件使用libteam / teamd的networking组合也超出了systemd的network.target范围。 团队系统单元(包括[email protected])和networking单元似乎没有依赖关系。 这就解释了为什么唯一显示这个问题的系统是那些LACP支持的系统,而我们在使用典型的绑定之前没有这个问题。 所以我的问题:我有什么解决scheme,以确保我的NFS共享被卸载之前,我的networking堆栈被closures,通常是在重新启动系统? PS:如果上述解决scheme不是来自创buildNFS挂载的方式,那么会更好,因此必须向此服务器添加共享的人员不必知道要采取的特殊步骤。 考虑到我们的生产stream程,这似乎几乎不可能
我试图在我的路由器上使用来自SNMP的数据来描述特定接口的networking使用情况。 我知道ifInOctets / ifOutOctets只有32位,会溢出高速,并使我的graphics看起来愚蠢,但它看起来像由ifInOctets / ifOutOctets和ifHCInOctets / ifHCOutOctets返回的值不总是相同的差异。 我已经使用snmpwalk | grep InOctetstesting了几次 snmpwalk | grep InOctets并减去值。 有时候,我发现32位计数器的变化比64位版本的变化要小得多(超过50%),有时候我会发现,64位计数器显示的delta变化较小。 我是否错过了应该读取64位计数器的方式,或者在数据更新方面存在差异? 32位数字与/ proc / net / dev中的内容相匹配,所以我倾向于相信他们,但是当速度太高时,封装问题使得它们无法使用: 下面是几个例子,每个snmpwalk运行大约10秒钟: $ snmpwalk -c public -v2c 192.168.1.1 | grep -i InOctets.2 IF-MIB::ifInOctets.2 = Counter32: 2291487255 IF-MIB::ifHCInOctets.2 = Counter64: 2901400127083 $ snmpwalk -c public -v2c 192.168.1.1 | grep -i InOctets.2 IF-MIB::ifInOctets.2 = […]
我在Ubuntu 14.04LTS上运行Apache2。 要开始保护对机器的networking访问,我想先阻止一切,然后为特定子网制定特定的允许语句,以浏览Apache中托pipe的站点。 Ubuntu服务器安装时没有select安装包,安装后添加的唯一包是:apt-get update; apt-get安装apache2,php5(带有额外的php5模块),openssh-server,mysql-client 以下是我的/etc/hosts.allow设置: 的/etc/hosts.deny ALL:ALL /etc/hosts.allow根本没有允许条目。 我希望所有的networking协议被拒绝。 症状是,即使在/etc/hosts.deny中存在拒绝所有语句,我仍然可以通过Web浏览到Apache Web服务器上托pipe的站点 添加拒绝条目后系统重新启动。 为什么会使用ALL:ALL忽略/etc/hosts.deny并允许http浏览Apache服务器上托pipe的站点?