我有一个有两个接口的RHEL服务器'foo': eth0:inet addr:172.16.15.75 Bcast:172.16.15.95 Mask:255.255.255.224 eth1:inet addr:172.16.15.242 Bcast:172.16.15.247 Mask:255.255.255.248 root@foo # netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 172.16.15.240 0.0.0.0 255.255.255.248 U 0 0 0 eth1 172.16.15.64 0.0.0.0 255.255.255.224 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 […]
对于一个给定的互联网服务器列表(例子): S001 – 45.67.89.12 S002 – 67.78.90.34 S… S999 – 98.76.65.54 我想从每个服务器到任何其他服务器,使用服务器的公共IP来传送到任何TCP服务,但连接必须使用IPSec(PSK或自己的PKI,非IPSec请求应该被阻止)进行encryption和validation。 我不想为每个主机手动维护主机列表和单个IPSecconfiguration,而是想自动执行此过程。 如果这需要使用IPSec的IP地址的明确列表,我的首选解决scheme将是反向DNS查找。 例如,如果连接尝试到67.78.90.34完成,它应该首先parsing反向名称。 如果它匹配* .srvhosts.example.com,则必须使用IPSec。 存在任何基于Linux的软件解决scheme来实现这一点? 另一个解决scheme – 如果可能的话 – 可以在全球范围内为每个连接启用IPsec,并且黑名单告诉系统哪些主机不应该使用IPSec(debian update mirror,dns,ntp,…)。
我提到了我的linux系统的一个奇怪的行为: 重新启动系统后,我可以通过SSH连接到服务器,服务器响应PING。 但是服务器本身不能ping任何其他服务器。 # ping google.de ^C # 我也试过ping 8.8.8.8 # ping 8.8.8.8 ^C # 我也检查了IPTables-Firewall: # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 这是iptables-save的输出: # Generated by iptables-save v1.4.21 on Sat […]
在具有不同内核版本的许多服务器上效果相同。 有多个Iptables DNAT规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 12345 -j DNAT –to-destination 10.20.30.40:5678 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 23456 -j DNAT –to-destination 10.11.12.13:5789 …. iptables -t nat -A PREROUTING -i eth0 -p udp –dport 34567 -j LOG –log-prefix 'natudp: ' iptables -t nat -A PREROUTING […]
是否可以在Linux(CentOS 7.2)上增加TCP窗口比例因子? 我有一个从伦敦到芝加哥的长途networking(100 Mbps),我从一台伦敦机器(Windows Server 2012r2)到我的芝加哥CentOS机器,在TCP上获得了16 Mbps的吞吐量。 我想玩的比例因子,看看我的吞吐量是否改变。 我的延迟是88毫秒往返。 我问,因为用UDP我得到了超过90 Mbps,所以我认为如果可能的话,这可能是我的TCP吞吐量的两倍。 我知道TCP是面向连接的,需要一个ACK等等,而且我实际上可能会对我的吞吐量产生负面影响。 我所做的是对制造商的智慧进行二次猜测,并试图自己控制自己,而不是让自动调谐来自动调谐。 Wireshark显示我从Windows到Linux的sftp确实使用了TCP窗口缩放,所以我知道它在我的path中受支持。 否则,我会查看TCP多path( http://www.multipath-tcp.org/ )为我的LFN。 谢谢。
我已经咨询了多个教程来实现两个互联网连接的负载平衡。 但是,所有stream量继续通过具有最低度量标准的默认路由进行路由,我无法弄清楚原因 iptables -t nat -F iptables -t mangle -F iptables -F iptables -X ip rule delete from all fwmark 0x1 ip rule delete from all fwmark 0x2 ip rule flush ip rule add lookup main priority 32766 iptables -A PREROUTING -t mangle -j CONNMARK –restore-mark iptables -A PREROUTING -t mangle -m mark –mark 0x0 […]
我有一个桥梁正在用作docker的桥接口,并通过ipv6接口桥接到我们的VPN。 当我手动设置这个桥,一切工作正常,我可以连接到vpn(从我的笔记本电脑),并ping bbbb::2000以及所有的docker容器(如bbbb::242:ac11:4 )就好了。 然而,将它作为一个configuration文件,会导致启动过程花费几分钟的时间,消息cloud-init-nonet waiting [10|60|120]s for network device ,一直Waiting up to [60|120] more seconds for network configuration… cloud-init-nonet waiting [10|60|120]s for network device出现,随后(最终) Waiting up to [60|120] more seconds for network configuration… 一旦它终于引导,桥梁确实工作,但长时间的重新启动周期关系到我。 所以我的问题(除其他外)是:我的configuration文件有什么问题,启动需要这么长的时间? 我最初的想法是,可能在那里有bridge_ports tap0导致它无法启动,直到tap0启动,但删除bridge_ports可以防止桥接接口工作(并保持长时间启动),所以它一定是别的东西。 /etc/network/interfaces.d/br0.cfg # docker bridge network auto br0 iface br0 inet6 static bridge_ports tap0 bridge_stp off up echo […]
我有Linux的作为一个路由器/防火墙,并有2个互联网提供商连接到。 我想使用它进行故障转移的负载共享。 我在很多年前做过这样的事情,而且非常简单 – 只需要为2个连接添加2个路由表,然后使用2个默认的路由和所需的权重: ip route add default scope global nexthop via 1.2.3.4 dev dev100 weight 10 然后linux会随机添加路由到caching,分割链接之间的连接。 但是现在我发现它不再适用于linux 3.16,并且没有路由caching,所有我的旧脚本都不能工作,我无法build立连接。 我的configuration是: ————- – ip route list table prov1 default via 217.147.175.129 dev eth1 46.164.150.48/29 dev eth2 scope link src 46.164.150.51 127.0.0.0/8 dev lo scope link 172.16.0.0/16 dev br0 scope link src 172.16.1.1 217.147.175.128/25 dev […]
我已经在hyper-V中configuration了CentOS-6.0 VM。 configuration多个IP并绑定到相同的networking适配器。 下面是创build的接口。 ifcfg-eth0 – 10.225.180.96 ifcfg-eth0:1 – 10.225.180.97 ifcfg-eth0:2 … … ifcfg-eth0:9 现在,我无法ping通或telnet到这些私有IP的内部任何端口(10.225.180.96,10.225.180.97 …)。 看到下面的图片。没有configurationiptable规则。 不知道或没有日志。 问题是什么… Telnet不响应
我们正在尝试自动部署rhel 7的kvm vms。我们需要设置udev规则,并且我们发现接口名称可以是不同的,这就打破了udev规则。 想知道是否有一个我们可以通过virt-cat读取的文件来指导接口名称。 如果没有其他方式来预测名称。