我不是公司networking的系统pipe理员,但是我有两台Linux工作站(主机A和B),可以同时访问这两个工作站。 两个主机可以看到对方的罚款(SSH,平等从一个到另一个)。 但是,只有主机A可以访问我们的公司防火墙并访问互联网等。 主机B不能。 问题:如何让主机B通过主机A路由出去和接收的networkingstream量(不仅仅是HTTP),而不涉及系统pipe理员? 现在,我不知道是否需要为主机B使用NAT,和/或使主机A成为代理服务器,和/或使主机A成为路由器。 在主机B上,我尝试发出一个route add -host <HostA> gw <HostA's Gateway>命令,但是它不起作用:我无法从主机B ping www.google.com。请原谅我对此主题的无知路由/联网。
我正在使用Ubuntu 12.04 LTS服务器版本,并且正在修改/etc/udev/rules.d/70-persistent-net.rules来定义我自己的以太网接口到MAC地址的映射; 该文件最初由/lib/udev/rules.d/75-persistent-net-generator.rules中的规则在系统安装时生成(或者在第一次启动时,我实际上不知道,这里没关系)。 我怎样才能确定我的编辑版本永远不会被任何东西覆盖? 根据某些网站的build议,删除持久性networking生成器并不是正确的事情,只能通过文件本身的注释来实现:它会被udev软件包的任何更新所覆盖。 我正在寻找更正式的方法来禁用它。 只要确保/etc/udev/rules.d/70-persistent-net.rules确实存在就足够了吗? 也许还有其他事件可能引发其再生? (例如,添加或删除以太网接口到系统?)
我一直在解决一个严重的广域网速度问题。 我固定它,但为了别人的利益: 通过WireShark,日志logging和简化configuration,我把它缩小到了从DNAT到内部networking上的服务器的一个奇怪的行为。 网关(一个CentOS盒)和服务器都运行在同一台VMware ESXi 5主机上(事实certificate这很重要)。 当我试图从DNAT后面的HTTP服务器上下载一个文件时,使用一个直接连接到网关WAN侧的testing客户端(绕过这里通常使用的实际的Internet连接) : 通常的TCP连接build立(SYN,SYN ACK,ACK)正常进行; 网关正确地重新映射服务器的IP。 客户端使用HTTP GET发送单个TCP段,并且这也正确地被DNATted到目标服务器。 服务器通过网关发送一个1460字节的带有200响应和部分文件的TCP段。 线路上的帧的大小是1514字节 – 有效载荷是1500。 这部分应该通过网关,但没有。 服务器通过网关发送第二个1460字节的TCP段,继续文件。 同样,链路有效载荷是1500字节。 这个细分市场也没有穿过网关,也从来没有考虑过。 网关向服务器发送一个ICMP Type 3 Code 4(目标不可达 – 分片需要)数据包,引用事件3中发送的数据包.ICMP数据包指示下一个中继站MTU为1500. 这看起来是无意义的 ,因为networking是干净的1500字节,并且3和4中的链路负载已经在规定的1500字节限制内 。 服务器可以理解,忽略了这个回应。 (原来,ICMP被一个过分热心的防火墙所淹没,但是这个问题已经解决了。) 经过相当长的时间(并且在一些configuration中,来自服务器的重复ACK)之后,服务器决定单独从事件3重新发送段。 除了IP标识字段和校验和之外,帧与事件3中的帧是相同的。它们长度相同 ,新的帧仍然设置了不分片标志。 但是,这一次,网关将网段快速传递给客户端,而不是发送一个ICMP拒绝。 客户确认这一点,转移仍在继续,虽然慢得令人难以置信 ,因为随后的分段经历了大致相同的被拒绝,超时,重新发送和接通的模式。 如果客户端移动到局域网以便直接访问服务器,则客户端和服务器正常协同工作。 这个奇怪的行为根据目标服务器的看似不相关的细节而不可预知地变化。 例如,在Server 2003 R2上,如果启用Windows防火墙(即使允许HTTP和所有ICMP),7MBtesting文件将花费7小时以上传输,而问题根本不会出现,而矛盾的是拒绝将永远不会如果Windows防火墙被禁用,首先由网关发送 。 另一方面,在Server 2008 R2上,禁用Windows防火墙并没有任何效果,但是在传输过程中仍会受到影响,比启用防火墙的Server 2003 R2快得多。 (我想这是因为2008 R2使用更智能的超时启发式和TCP快速重传。) 更奇怪的是,如果WireShark安装在目标服务器上,问题就会消失。 因此,为了诊断这个问题,我必须在单独的虚拟机上安装WireShark来观察LAN端的networkingstream量(由于其他原因,可能是一个更好的主意)。 ESXi主机是版本5.0 […]
使用Ubuntu服务器(12.04)通过命令行,我可以访问局域网(如ping本地机器),而不是互联网(例如“ping google.com”或“sudo apt-get update”)。 我应该如何解决这个问题? 我会开始说我可以访问互联网(使用sudo apt-get),但经过一些“configuration工作”,我现在只能访问局域网。 它曾经工作,当我有一个DHCP连接。 在我切换到静态IP后,我注意到了这个问题。 我已经切换回DHCP,但没有运气。 / etc / network / interfaces目前看起来像这样: auto lo iface lo inet loopback auto eth0 iface eth0 inet dhcp auto wlan0 iface wlan0 inet dhcp wpa-ssid myrouterssid wpa-psk myrouterpassword ifconfig -a报告: eth0 Link encap:Ethernet HWaddr 00:1e:7a:d9:1b:07 inet addr:192.168.0.101 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::21e:68ff:fed9:1b07/64 Scope:Link UP BROADCAST […]
我无法parsing主机名,除了使用dig / nslookup。 在/etc/hosts声明主机工作正常。 DNSmasq或绑定正在运行。 以下是运行dig google.com时tcpdump port 53的输出: 21:02:49.269083 IP txxxxxx1.corp.mxxxxxxs.com.39872 > dxxxxxx3.corp.mxxxxxs.com.domain: 7362+ A? google.com. (28) 21:02:49.269614 IP dxxxxxx3.corp.mxxxxxxs.com.domain > txxxxxx1.corp.mxxxxxxs.com.39872: 7362 5/0/0 A ord08s07-in-f19.1e100.net,[|domain] 21:02:49.270506 IP txxxxxx1.corp.mxxxxxxs.com.33316 > dxxxxxx3.corp.mxxxxxxs.com.domain: 30910+ PTR? 83.225.125.74.in-addr.arpa. (44) 21:02:49.303321 IP dxxxxxx3.corp.mxxxxxxs.com.domain > txxxxxx1.corp.mxxxxxxs.com.33316: 30910*- 1/0/0 (83) 结果在运行ping google.com : 21:03:05.027197 IP txxxxxx1.corp.mxxxxxxs.com.59151 > dxxxxxx3.corp.mxxxxxxs.com.domain: 56092+ A? google.com. […]
Tomcat离开我的CLOSE_WAIT套接字最终饱和最大连接数。 我已经尝试了很多方法在我的客户端和服务器代码来摆脱这些无济于事,包括closures连接,调用System.gc()等。 现在我正试图find一种方法来简单地在操作系统中快速排除这些问题。 我有conntrack工作,但不知道如何使用它来杀死这些连接。 我也设置了/ proc / sys / net / ipv4 / netfilter / ip_conntrack_tcp_timeout_close_wait为1,这当然太低了,但连接仍然存在。 有没有办法杀死这些僵尸套接字? 运行Ubuntu。
我对Linux中基于策略的路由的理解是有三个主要组件,路由表,路由和规则。 我遵循了许多指南,在他们每一个这似乎是正确的,所以我创build一个路由表,我添加一个路由,然后我添加一个合格的stream量使用此表的规则。 这对我来说似乎是合乎逻辑的,有一个规则列表,如果stream量符合规则,它会查找路由表,并告诉它如何到达目的地,但这似乎不适用于我,我现在来在设置路由表之后,在其他一些文章中,主题然后将相同的路由添加到主路由表,我不知道为什么这是必需的,除非我理解它是如何工作的是错误的,或者它不工作。 这是Linux高级路由和stream量控制HOWTO的一个很好的例子,它有以下摘录(万一链路消失): 一个创build两个额外的路由表,比如T1和T2。 这些被添加到/ etc / iproute2 / rt_tables中。 然后你在这些表中设置路由如下: ip route add $P1_NET dev $IF1 src $IP1 table T1 ip route add default via $P1 table T1 ip route add $P2_NET dev $IF2 src $IP2 table T2 ip route add default via $P2 table T2 没有什么特别的,只要build立一个到网关的路由并通过这个网关build立一个默认路由,就像在单个上游提供者的情况下那样,但是把路由放在每个提供者的一个单独的表中。 请注意,networking路由就足够了,因为它告诉您如何在上面指定的networking中find包含网关的任何主机。 接下来你设置主路由表。 通过连接到该邻居的接口将事物路由到直接邻居是一个好主意。 请注意`src'参数,它们确保select正确的传出IP地址。 ip route […]
我正在考虑通过OpenVPN隧道使用dynamic路由[OSPF或RIP]。 现在我有几个连接全网的办公室,但这不是可扩展的解决scheme,因为我们添加更多的位置。 如果我计划使用的两个VPNterminal中有一个closures,我想避免出现大量内部stream量受到影响的情况。 你有类似的configuration工作在生产? 如果是这样 – 你使用什么路由守护进程 – quagga ? 别的东西? 你有没有遇到任何问题? 谢谢!
我在CentOS 6.6机器上运行Bind 9.10.2版本。 运行dig命令时,我得到“ net.c:577: sendmsg() failed: Operation not permitted"通知。 挖实用程序是给我一个答案,但在顶部,它显示此通知。 $dig nkn.in +short **net.c:577: sendmsg() failed: Operation not permitted** 164.100.129.98 System Information :- cat /etc/*-release CentOS release 6.6 (Final) LSB_VERSION=base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch CentOS release 6.6 (Final) CentOS release 6.6 (Final) 有人可以帮我,为什么我得到这个通知? IPv6防火墙规则集: – *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :LOGGING – [0:0] […]
我有一个两个网卡,像这样configuration: eth0 Link encap:Ethernet HWaddr 00:19:d1:31:08:e8 inet addr:192.168.5.104 Bcast:192.168.5.255 Mask:255.255.255.0 inet6 addr: fe80::219:d1ff:fe31:8e8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4564126 errors:590 dropped:0 overruns:0 frame:329 TX packets:9707383 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1151788275 (1.0 GiB) TX bytes:189318786 (180.5 MiB) Interrupt:20 Memory:e0300000-e0320000 eth1 Link encap:Ethernet HWaddr 00:e0:4c:51:0d:55 inet addr:85.255.103.4 Bcast:85.255.103.255 Mask:255.255.255.0 inet6 addr: […]