我们用运行Ubuntu 16.04的服务器replace了老化的防火墙。 它几乎没有什么比使用约900条规则运行iptables(filter&nat combined)。 它更换的老化服务器工作正常,没有任何问题。 每隔一段时间(可以是一个小时或每30秒一次),新防火墙和LAN上的任何其他主机之间的延迟从0.1-0.2ms跳跃到10,40,100甚至3000ms几秒钟有时甚至持续几分钟)。 我注意到它在与DMZ主机的ssh连接上有一个简单的延迟(不应该有任何延迟),然后用简单的连续,高速率(-i 0.1)pingtesting对各种主机进行testing。 我在10gbps接口和1gbps接口之一上进行了testing。 服务器远不及networking的限制(〜10Kpps,100-400mbps的上下综合)。 CPU空闲99% 在从互联网连接到防火墙进行debugging的较长“中断”之一中,我注意到其他任何接口都没有问题,并且没有延迟问题。 为了从等式中移除交换机,我将1gbps接口移到了我们堆栈外的另一台交换机上,并将另一台服务器添加到新交换机上进行testing。 这个问题依然存在,我对多台机器运行一个固定的ping,每隔一段时间都会有2-3秒的时间,包括一个在“立即”交换机上的时间。 dmesg什么也没有显示,ifconfig显示没有错误,/ proc / interrupts显示所有的内核参与处理nic(s)(虽然我确信这么低的吞吐量,即使是1个内核也足够了) 任何build议或想法如何debugging这种情况下,将不胜感激。 谢谢! 编辑:添加ethtool输出: eno1的设置: Supported ports: [ TP ] Supported link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full Supported pause frame use: Symmetric Supports auto-negotiation: Yes Advertised link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full Advertised pause frame use: […]
Ubuntu Xenial上的Bind9有一个非常奇怪的情况。 服务器正在侦听端口53(使用windows portqry进行testing,试图将其作为本地DNS服务器使用),但是它的请求超时: > dig @192.168.1.6 YYY +search ; <<>> DiG 9.11.0-P3 <<>> @192.168.1.6 YYY +search ; (1 server found) ;; global options: +cmd ;; connection timed out; no servers could be reached search域在windwos上正确设置(ISC DHCP可以确保这一点)。 但是,正如我所说, portqry探测端口53说,它正在倾听。 > portqry -n 192.168.1.6 -o 53 Querying target system called: 192.168.1.6 Attempting to resolve IP address to […]
ifconfig标志ALLMULTI和ALLMULTI之间的精确区别是什么? 另外如何更改Ubuntu下的默认标志?
我有通过订阅pipe理器注册到rhn的RHEL6系统。 我正在尝试安装rhel-6-server-optional-rpms存储库中的package-java-1.6.0-sun-devel,根据这个Redhat文档 。 我的系统是在代理后面,所以我需要input命令:“订阅pipe理员回购 – 清单 – 代理= myproxy.com:666”,但这给了一个错误:“没有这样的选项 – 代理”。 订阅pipe理器的手册页包括–proxy作为常见的选项,我用它来注册这台机器。 你们可以说出了什么问题吗? /var/log/rhsm/rhsm.log报告超时连接。 感谢所有的帮助! 编辑1.一些错别字
我想在Ubuntu Server 14.04上运行两个OpenVPN客户端实例。 我有两个独立工作的.conf文件(都设置为不同的接口 – tun0和Tun1)。 我希望同时运行两个应用程序,并将来自一个应用程序的stream量路由到一个VPN(私人互联网访问),并将所有其他stream量导入另一个VPN(我在另一台机器上设置的OpenVPN服务器)。 我一直在做一些研究,但还没有find一种方法来完成这项工作。 如果这有帮助,我已经包含了我的当前路由表和一个服务器.confs。 OpenVPN在启动时自动启动它们。 私人互联网访问.conf Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 10.160.1.5 128.0.0.0 UG 0 0 0 tun0 default 155.92.105.254 0.0.0.0 UG 0 0 0 eth0 10.160.1.1 10.160.1.5 255.255.255.255 UGH 0 0 0 tun0 10.160.1.5 * 255.255.255.255 UH 0 0 0 tun0 […]
我已经build立了一个OpenVPNnetworking,并且从我可以从远程客户端访问内部/ LAN机器的意义上说,它工作正常。 但是,我的问题是,来自远程计算机的所有stream量都显示在LAN计算机上,就好像它来自OpenVPN服务器计算机,而不是来自客户端计算机。 为了更好地解释,考虑我的networking拓扑: 机器R连接到机器A上的OpenVPN服务器,并分配了IP地址10.200.200.5。 然后机器R向机器B上运行的Apache发出请求。请求到达正确,我得到响应。 问题是机器B看到来自192.168.0.10(机器A的IP)的请求,而不是10.200.200.5。 我想要后者。 我当前的设置 机器A 这是相关的iptables规则的一个片段: *nat :PREROUTING ACCEPT [18:1080] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] // snip # accept incoming VPN connections -A INPUT -p udp -m udp –dport 1194 […]
我有一台Debian Wheezy机器,我试图用桥接networking来设置KVM。 不幸的是,这座桥似乎没有正确的转发stream量。 我的设置如下: 物理机器有一个eth0连接到IP地址为192.168.0.1的路由器。 这个eth0是网桥接口br0的成员,它被静态configuration为IP地址192.168.0.101。 虚拟机的networking接口是物理主机上的vnet0和虚拟机中的eth0 。 在虚拟机中,接口静态configuration为IP地址192.168.0.110。 从物理主机,我可以ping虚拟机和路由器: # ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data. 64 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.331 ms # ping 192.168.0.110 PING 192.168.0.110 (192.168.0.110) 56(84) bytes of data. 64 bytes from 192.168.0.110: icmp_req=1 ttl=64 time=0.417 ms 在虚拟机上,我可以ping物理机器: # ping 192.168.0.101: PING 192.168.0.101 (192.168.0.101) 56(84) bytes […]
我正在使用支持VXLANconfiguration的Ubuntu 14.04。 目前我可以添加一个VXLAN接口,例如: vagrant@ubuntu:~$ sudo ip link add vxlan1 type vxlan id 1 group 239.1.1.2 vagrant@ubuntu:~$ sudo ip addr add 10.0.1.2/24 dev vxlan1 vagrant@ubuntu:~$ sudo ip link set vxlan1 up 但是,我被告知要通过Linux桥configurationvxlan,以便: vagrant@ubuntu:~$ sudo ip link add vxlan1 type vxlan id 1 group 239.1.1.2 dev br0 vagrant@ubuntu:~$ sudo ip link set vxlan1 up br0还有其他的tap接口。 以下是桥梁信息: vagrant@i4-controller:~/workspace/devstack$ […]
我们最近经历了一次安全审计,并且在几个有效的和其他有意义的发现中,有一个说明tcpwrapper没有被禁用。 我从来没有使用过tcpwrapper,所以我没有很多的configuration经验。 话虽如此,我一直觉得它不是简单地禁用或启用像一个守护进程。 相反,会创build规则来定义使用它的服务以及哪些服务器不允许访问服务。 默认情况下,如果没有定义,则tcpwrappers被有效地禁用。 我错了吗?
我正在尝试设置encryption的samba访问。 为了达到这个目的,我在smb.conf的[global]范围中添加了2行: server signing = mandatory smb encrypt = mandatory 但不幸的是,我现在无法在任何地方安装Samba股票。 我尝试过使用KDE下的Dolphin,并使用mount -t cifs,甚至尝试了smbclient命令行。 我收到以下错误: 海豚: Unknown error condition in stat: Software caused connection abort 安装: mount error(13): Permission denied smbclient的: Error returning browse list: NT_STATUS_CONNECTION_DISCONNECTED 如何正确执行encryption并将其挂载到Linux机器上? Windows也会很好,但是我读过这种encryption方法,目前还不支持。 我在客户端上安装了samba 4.1,在服务器上安装了3.6(OpenSUSE / Debian),但是也尝试了在SUSE 4.1 <> 4.1上的环路连接,结果相同。