我使用tun设置了openvpn。 我可以在客户端和服务器之间ping通。 但是我不能从客户端ping到8.8.4.4(作为一个testing)。 我已经添加了nat: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 但事情似乎没有从tun0接口路由到eth0。 tun0 tcpdump显示数据包进入(在这种情况下ping为8.8.4.4作为testing): 12:21:55.956564 IP 10.8.0.10 > google-public-dns-b.google.com: ICMP echo request, id 512, seq 17153, length 40 但eth0上的tcpdump不会显示除我的sshstream量以外的任何内容。 我有一个ping从vpn客户端循环,我看到在tun0我的tcpdump ,但我没有看到我的tcpdump eth0上的任何“谷歌”。 有什么想法吗? 我可以从openvpn主机运行这个ping。 除了MASQUERADE动作,iptables是空的,默认是接受。
我们有一台服务器接收一些数据,充当TCP客户端,以某种方式处理数据,并将处理后的数据作为TCP服务器提供给客户端。 它还将这些数据存储在磁盘上,并可以从文件而不是实时stream中提供。 问题是这个服务必须在24×7模式下可用,不允许中断。 现在有两台服务器,一台充当热备份 – 客户端保持与两台服务器的连接,如果主服务器发生故障,他们只需切换到备份。 虽然这个解决scheme已经运行了大约15年,但是这样做有点不方便,并且在客户端上放置了很多故障转移逻辑。 最近人们开始讨论如何使用集群来确保这个服务的可用性,但是无论我多么努力地search,我都找不到任何集群解决scheme来允许透明的TCP连接故障切换,所以没有人会注意到服务器发生了什么事情。 有一些研究论文,但我无法find任何工作的实现。 这是我认为它应该如何工作: 两台服务器都通过TCP接收数据。 理想情况下,它应该看起来像一个单一的连接到“外部”的世界,以节省带宽,更重要的是,确保两台服务器接收相同的数据stream。 当一个客户端连接到集群IP时,它在单个连接中接收处理的数据,但是两个服务器都应该看到这个连接并提供数据,只是其中一个stream实际到达客户端,备份到达/ dev / null,这样说。 当服务器发生故障(一段时间不传输任何数据,例如5秒钟)时,客户端应该继续在同一连接内接收相同的数据stream。 它需要发生得非常快,所以整个stream延迟不会超过大约10秒。 可靠性在这里是最重要的。 快速故障转移是下一个。 开源的Linux解决scheme是首选,但如果存在商业和/或非Linux近乎完美的解决scheme,我也想知道它们。 强加很多限制或需要修改服务器应用软件的解决scheme也是完全可以接受的。
这个问题可能是个人意见的问题,但我想收集你的想法,在Web服务器上启用SELinux是多么的重要。 在你看来,增加的安全性是必须的还是很好的? 性能命中值得吗? 这是值得的麻烦? 你build议一个替代(例如:mod_security)? 我期待着听到大家的想法!
在一个有多个用户的服务器上,我正在考虑保留端口范围,以便只有一个用户访问特定的端口范围IE user1: 2000-2005 user2: 2006,3003 user3: 1025 这样做时,该用户产生的应用程序只能访问分配给该用户的端口。 所有其他端口将无法绑定。 有没有办法在Linux(Ubuntu)服务器上做到这一点?
我得到英特尔X520并连接到PCI-E x16。 该卡被ethtool识别为10 Gbit: # ethtool eth5 Settings for eth5: Supported ports: [ FIBRE ] Supported link modes: 1000baseT/Full 10000baseT/Full Supports auto-negotiation: Yes Advertised link modes: 10000baseT/Full Advertised auto-negotiation: Yes Speed: 10000Mb/s Duplex: Full Port: FIBRE PHYAD: 0 Transceiver: external Auto-negotiation: on Supports Wake-on: d Wake-on: d Current message level: 0x00000007 (7) Link detected: yes […]
最近几周,我们已经在一台机器上或者另外一台机器上出现了这个内核恐慌,大约每四天一次。 这些机器都运行Ubuntu 10.04 LTS与Erlang R13B03; 该机器具有双核四线程超线程Xeon E5520 CPU。 崩溃堆栈看起来像附加的图片(我们有我们的共同提供者从崩溃的控制台发送给我们): linux版本是: Linux AF001783 2.6.32-28-generic#55-Ubuntu SMP Mon Jan 10 23:42:43 UTC 2011 x86_64 GNU / Linux 奇怪的是,这些主机已经运行了一年没有这个问题,并且负载configuration文件与以前没有太大的不同。 而且这不只是一个单一的主机,在这种情况下,我怀疑坏的硬件。
情况是这样的: 我有一个Debian服务器,作为一个Web /邮件服务器以及一个小型办公室的Internet网关。 所有可用的外部服务都在OpenVZ虚拟环境中运行。 我有一个要求,提供外部访问与办公室内的员工共享的目录(devise师)。 这个目录必须可以通过SMB访问,所以我设置了OpenVPN来通过互联网提供对Samba的安全访问。 为了提高安全性,我不希望OpenVPN远程用户(将来可能会有更多的用户)能够完全访问公司networking,所以我打算在一个虚拟环境中设置一个Samba守护进程,只监听OpenVPN虚拟接口以及单独的Samba守护进程,仅在内部networking接口上侦听。 守护进程将服务于位于VE根目录树内的相同目录(并且可以访问物理机器的操作系统)。 主要问题是:从内部networking和外部同时访问文件时(这可能是因为此设置用于Adobe InDesign / InCopy协作),不会出现冲突(文件locking问题等)吗? 如果是这样的话,那么在这种情况下更好的设置是什么? 我想到的另一种select是通过端口转发在OpenVPN接口上访问内部Samba后台进程。 同样,我不希望OpenVPN客户端能够实际访问公司networking,我只想让Samba共享在互联网上工作(计划的工作stream程需要这样做)。 如果有人有类似的设置的经验,如果你分享你的见解,我将非常感激。 编辑 – 澄清:我使用OpenVPN的桥接VPN(一个tap接口),据我所知,这是Samba的正确select(它甚至可以在路由VPN上工作吗?是否需要精心devise的转发/路由设置?)但是,我不想将VPN与物理服务器的接口连接起来,原因有三:避免干扰公司networking,同时使接口向上和向下; 避免授予外部客户访问整个内部networking; 作为策略规则,避免在物理机器上运行公共服务。 目前,我打算使用选项1: 选项1:在VE上为外部客户端运行OpenVPN和Samba,在主服务器上为员工(不需要VPN)运行第二个Samba实例。 然而,我担心两个Samba服务相同的文件和冲突(因此原来的问题表述)的实例。 选项2将只在VE上运行OpenVPN,并将Samba端口转发到物理机(或OpenVZ术语中的硬件节点)。 选项3将不会为这项服务的虚拟企业服务而烦恼(因为它本质上是非公开的),只需在硬件节点上用Tap(桥接)接口运行OpenVPN,但实际上并没有用物理接口桥接它,然后使单个Samba实例监听内部networking接口和Tap接口(用于VPN客户端),而不是侦听外部接口。 所以,最新的问题是:选项3会比前两项安全吗? 如果没有,我会执行它,因为它似乎是最简单和最强大的。 对不起,我不能用更less的话来expression:)感谢阅读和答案。
如果我从/创build一个新的文件系统/目录,并将Linux权限设置为770,我希望组能够读写该目录中的文件。 SELinux阻止我这样做,直到我将该目录上的SELinuxtypes更改为public_content_rw_t。 如果这只是该组中的用户将共享文件的目录,这是一个可接受的SELinuxtypes,还是应该使用另一个? 为了这些目的,编写一个定制的策略似乎是矫枉过正的。 谢谢
我需要改变我的Debian 6.0(服务器)默认设置为tty开关的快捷方式。 通过defautl它是ALT + Fx,但我只是想切换到Fx。 我想这涉及修改Xorg,但我不能得到哪个文件来修改。 我没有发现任何其他话题,但也许我的关键字是错误的。 无论如何,感谢阅读,希望有人可以帮助我!
我想要做的是在故障转移机器上创build一台机器磁盘的镜像,这样,如果主机发生故障,我只需重新启动故障转移,select一个不同的根分区,然后准备就绪。 我这样设置: 主要机器和故障转移机器。 两台机器都有一个定义的RAID分区。 故障转移机器通过nbd-server为其RAID部分提供服务。 主机通过nbd-client安装故障转移的RAID分区。 在主机上,两个RAID分区通过mdadm合并到一个RAID设备中,远程分区的–write-mostly标志被设置。 我写了一些脚本来自动启动所有的东西,在故障转移中configurationgrub,以便它有正确的选项,允许你从小的镜像分区或故障转移分区启动。 我testing了它,它工作。 我遇到的问题是,大约每周一次,主机似乎完全冻结。 您不能ssh进入它,控制台将不会响应,并在重新启动机器后,日志条目只是在某个时间停止,没有在日志中指示错误。 我断开了NBD分区,只用RAIDarrays中的本地磁盘运行了所有内容,运行了一个月,没有任何问题。 NBD不稳定? 可能RAID决定断开本地分区并在networking出现故障的同时运行nbd分区? 这只是错误的方式去呢? 谢谢。