在过去的一周里,我一直试图通过利用从VPS到专用机器的GRE隧道来保护服务器免受DOS攻击,但没有取得太大的成功。 视觉: User –> VPS –> Dedicated Server 我遵循了几个指南BUYVM和我的世界 DDOS保护 ,并根据需要进行修改。 到目前为止我所做的是: 在这两台机器上加载以下内核模块 ip_gre ip_nat_pptp ip_conntrack_pptp 此外,两台机器都启用了ipv4端口转发function。 在专用机器上设置GRE: ip tunnel add veridian mode gre remote VPS_EXTERN_IP local DEDICATED_EXTERN_IP ttl 255 ip link set veridian up ip addr add 10.10.10.1/24 dev veridian 这产生了接口: veridian Link encap:UNSPEC HWaddr 3F-8D-F2-FA-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.10.1 PtP:10.10.10.1 Mask:255.255.255.0 inet6 addr: fe80::200:5efe:3f8d:f2fa/64 Scope:Link […]
我有一个Ubuntu 14.04.1服务器系统,其中em1接口绑定到一个网桥: ifconfig em1 em1 Link encap:Ethernet direcciónHW c4:34:6b:ae:ea:a8 ACTIVO DIFUSIÓN FUNCIONANDO MULTICAST MTU:1500 Métrica:1 Paquetes RX:677380321 errores:0 perdidos:0 overruns:0 frame:0 Paquetes TX:396179860 errores:0 perdidos:0 overruns:0 carrier:0 colisiones:0 long.colaTX:1000 Bytes RX:839163556407 (839.1 GB) TX bytes:372594438191 (372.5 GB) Interrupción:64 Memoria:fb800000-fbffffff ifconfig br0 br0 Link encap:Ethernet direcciónHW c4:34:6b:ae:ea:a8 Direc. inet:10.128.3.64 Difus.:10.128.255.255 Másc:255.255.0.0 Dirección inet6: fe80::c634:6bff:feae:eaa8/64 Alcance:Enlace ACTIVO […]
我有一台主机运行centos 6.2,它有2个使用libvirt的虚拟机。 我有这一切工作,但后来我停电,现在主机连接,但虚拟机无法获得一个IP时,他们来了,没有networking连接。 我正在尝试使用桥接networking适配器进行连接。 ifconfig看起来像这样: em1 Link encap:Ethernet HWaddr 84:2B:2B:58:4C:AD inet addr:192.168.1.38 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::862b:2bff:fe58:4cad/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:328369 errors:0 dropped:2 overruns:0 frame:0 TX packets:228167 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:38114989 (36.3 MiB) TX bytes:267087066 (254.7 MiB) em2 Link encap:Ethernet HWaddr 84:2B:2B:58:4C:AE inet6 addr: fe80::862b:2bff:fe58:4cae/64 Scope:Link […]
在多ISPconfiguration中,我将特定stream量(例如VoIP)通过特定接口路由和NAT到不同的提供商。 当其中一个接口(或路由)变得不可用时,所有使用它的连接都必须被丢弃,并且后续stream量必须通过仍在工作的连接进行路由。 在状态更改后,我正在重新设置和加载相应的iptables和路由条目(这是“shorewall restart” – 我正在使用shorewall)。 问题是 – 仍然存在的conntrack条目导致旧的(现在错误的)外部地址仍然被用于这些连接的NAT! 在“conntrack -D”之后,NAT再次按预期工作。 我想只删除属于旧的外部地址的conntrack条目或解决问题的方式不会影响通过其他接口的连接。 例如 – 我想删除所有具有反向连接目标dst=old.ext.ip.adr conntrack条目,就像 udp 17 164 src=192.168.158.3 dst=213.208.5.40 sport=5060 dport=5060 packets=178 bytes=104509 src=213.208.5.40 dst=old.ext.ip.adr sport=5060 dport=5060 packets=234 bytes=127268 [ASSURED] mark=256 secmark=0 use=2 我已经试过了: # conntrack -D -r 212.108.43.143 ^C (nothing happens, it just hangs) # conntrack -D -r 213.208.5.40 -d 212.108.43.143 Operation […]
我有SIXXS的IPv6地址。 我的主机通过AICCU隧道(“sixxs”接口)连接到SIXXSnetworking。 我的主机地址是2001 :: 2,最后的主机地址是2001 :: 1。 在我的主机上,IPv6是完全可访问的。 我在虚拟机上configurationIPv6networking有问题。 我使用VirtualBox,VM(Ubuntu)使用tap1(在由br0桥接的主机上) #!/bin/sh PATH=/sbin:/usr/bin:/bin:/usr/bin:/usr/sbin # create a tap tunctl -t tap1 ip link set up dev tap1 # create the bridge brctl addbr br0 brctl addif br0 tap1 # set the IP address and routing ip link set up dev br0 ip -6 route del 2001:6a0:200:172::/64 dev […]
我正在帮忙组织一个小会议。 没有互联网连接,所以我们仅限于有限的移动LTE连接。 我们有一个基于Ubuntu的服务器,作为一个路由器,提供一个DHCP和DNS服务器,并从其子网192.168.1.0/24路由到LTE连接(USB棒)。 即使我们从内部networking到基于LTE的互联网的NATconfiguration工作,我们想要防止客户端使用太多的有价值的数量,并且限制每个客户端(MAC地址?)到一定数量的数据,例如100MB。 如果一个客户端达到这个限制(上传和下载的总和),我们希望被告知(一个日志条目足够),他应该被扼杀(如果可能的话)或从互联网连接切断(但他仍然应该能够在本地networking中进行通信)。 有什么机制或软件可以用于这种情况?
networking WAN __|___ |Router| ‾‾|‾‾‾ ______ 192.168.0.1—-(192.168.0.0/24)—-192.168.0.102-|Server|-192.168.3.1—(192.168.3.0/24) ‾‾‾‾‾‾ 服务器 所以我试图设置(A): 192.168.0.102 __________|____________ | | | | eth0–tun0 | | | | | | apache-| | | | ssh—-| | | | | | |_________________|_____| | 192.168.3.1 但是,这是我得到(B): 192.168.0.102 __________|____________ | | | | eth0–tun0 | | | | | apache——–| | | ssh———–| | | […]
我所遇到的大部分信息都倾向于使用桥接连接来build立KVM防火墙。 根据我的理解,如果networkingstream量能够到达主机,而不必先通过防火墙,则存在安全风险。 我已经看到主网卡(例如eth0 )被设置为虚拟机网卡,但是这是否排除主机访问eth0 ? 另一个想到的选项是网卡的PCI直通,但是我遇到了这个方法的问题。 有没有其他方法需要主机stream量先通过防火墙? 你推荐使用什么方法?
我想要的是 我必须用squid,dansguardian和nginx来实现一个非常具体的设置。 在这里我非常具体,因为类似的问题经常要求更多的信息来给出准确的答案。 此外,我通常不会做networking的东西,我目前的解决scheme是从其他Stack Exchange的问题和答案中挑选拼图的结果,所以请原谅/纠正我迄今为止所犯的任何错误/误解。 本质上,我想阻止通过端口80和443访问互联网的任何尝试,除非通过端口3128上的代理访问所述端口。原因是这样,代理和Dansguardian可以过滤/阻止不受欢迎的网页。 我们决定使用非透明的代理,以便我们可以使用非阻塞SSL阻塞。 这部分已经在工作了。 但是,如果客户端尝试直接访问Web,而不是放弃尝试,Magic Box应该将客户端redirect到关于如何设置代理的分步指南。 我们设置了wpad来消除手动configuration客户端设备的需要。 不过,OSX和Linux,更重要的是iOS和Android没有默认启用的wpad支持(或者完全不支持)。 我们的第一个想法是留下客户的指示,如何设置在纸上的设备。 然而,我的老板要我设置redirect的变体,因为客户立即明白为什么互联网不能马上工作。 这是对所需设置的视觉帮助。 没有描绘的事实是, enp1s0和enp2s0是桥br0一部分。 networking图显示了所有相关的物理设备。 标有红色的是我们无法触摸或configuration的设备。 标记为绿色是我们的设备。 “魔盒内”图表显示了所需的路由决策 目前的情况 我们原来的ebtables / iptables规则,我们将在纸上留下一步一步的configuration指南,看起来像这样 ebtables -A FORWARD -p ipv4 -i lo -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j ACCEPT ebtables -A FORWARD -p ipv4 -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j DROP ebtables -A […]
我有一个单板电脑,我想连接到我的局域网/互联网连接。 SBC没有以太网端口,只有一个目前无法工作的embedded式无线芯片。 但它确实有USB,我认为应该可以通过以太网通过USB连接到我的工作站,然后做一些桥接/转发。 我正在使用Beagle Bone Black Wireless和(现在的)Arch Linux ARM am33x作为“客户端”。 工作站是Fedora 23.通过USB的以太网正在工作,我可以SSH进入SBC。 但是,我没有设法从SBC到我的本地networking或互联网。 我已经尝试过的一些列表: 展品a: 这使我可以SSH进入客户端。 客户端上的configuration/命令: modprobe g_ether netctlconfiguration: Description='USB ethernet connection' Interface=usb0 Connection=ethernet IP=static Address=('192.168.7.2/24') DNS=('8.8.8.8') #Gateway=('192.168.1.1') ## For IPv6 autoconfiguration IP6=stateless 工作站上的configuration: ifconfig enp0s29u1u2 192.168.7.1 图表b: 我厌倦了这个连接两个接口( enp0s29u1u2是eth over USB接口, enp6s0面对我的本地networking和互联网); 下面的代码在工作站上执行。 我发现这里: 在Linux上的两个networking之间的路由? echo 1 >> /proc/sys/net/ipv4/ip_forward iptables -A INPUT -i […]