我目前的网站架构有两个在Rackspace Cloud中使用公有IP的Ubuntu服务器。 其中之一是networking和MySQL服务器。 另一个只用于耗时计算。 他们都有Iptables,允许所有出站stream量和入站HTTP,HTTPS,SSH和build立的连接。 我使用密码连接到ssh服务器,但是这个连接受到Fail2ban的保护。 我使用无人参与的升级来保持服务器的更新。 我正在转向亚马逊AWS,并考虑将我当前的体系结构更改为使用具有公共和私有子网的VPC 。 但是,我有一些疑问: 我会使用一个默认(小)NAT实例。 我认为它需要保持更新,是否自动更新? 我还有另外三个实例:公有子网中的Web服务器和私有子网中的MySQL服务器和计算服务器。 我如何使用ssh访问每个这些实例? 这个架构比现在更安全吗?
我有一个LTSP子网(192.168.0.0/24),并希望禁用除一个客户端以外的每个客户端的NAT 目的是拒绝(按需)从学生客户端访问互联网,但始终允许来自独特的教师客户端。 老师使用的客户端的IP总是一样的:192.168.0.253 LTSP子网连接到eth1,而internet来自eth0(该网卡连接到位于LAN 10.0.0.0/8和WAN学校骨干网172.16.0.0/12之间的路由器)。 我的发行版(debian-edu)已经包含了一个名为enable-nat的/etc/init.d脚本,我将用它来达到目的。 基本上它使用两个function: 当服务START : do_start() { /sbin/iptables -t nat -A POSTROUTING -s $NETWORK_TO_NAT -o $OUTSIDE_IF -j MASQUERADE } 当服务停止 : do_stop() { /sbin/iptables -F -t nat } 想知道如何使用这个脚本来实现我所希望的。 提前致谢
我试图创build两个networking(使用debian服务器): 第一个旨在以正常的方式传递数据包(到我的ISP)。 第二个目的是通过我在启动时build立的L2TP / IPSec VPN连接来传递数据包。 我目前的拓扑是: eth0连接到我的ISP路由器:(192.168.1.0/24) eth1 (10.0.0.1)连接到我的lan(10.0.0.0/16) eth1:1 (10.1.0.1)连接到我的lan(10.1.0.0/16) ppp0是我的L2TP / IPSec连接 如果一个客户端使用10.0.0.1作为路由器,他通过eth0,如果客户端使用10.1.0.1作为路由器,他通过ppp0。 所以,为了达到这个目的,我创build了这2个IPTables规则: iptables -A POSTROUTING -t nat -o eth0 -s 10.0.0.0/16 -j MASQUERADE iptables -A POSTROUTING -t nat -o ppp0 -s 10.1.0.0/16 -j MASQUERADE 第一个networking(10.0.0.0/16)运行良好,nat假面舞会效果很好。 但是对于第二个(10.1.0.0/16),它根本不工作。 我确定ppp0正在工作,因为如果我更改服务器上的默认路由以使用ppp0地址, traceroute google.com显示我正在通过VPN。 我的问题是:为什么它不是与NAT的工作?
我有一个networking,目前按照下面的图片设置。 我们使用雷格斯的共享互联网,并通过在机场极端路由器上使用DHCP和NAT为我们的办公室创build了一个子networking。 现在机场极端抱怨有双重NAT – 但它似乎仍然工作正常。 我手动设置每个客户端的networking适配器上的DNS服务器,一切正常。 我所要做的就是设置它,使路由器的DHCP自动分配DNS服务器到客户端机器,而不必为每个客户端手动input它们。 问题是,当我将路由器上的DNS服务器设置为192.168.1.2和192.168.1.1 – 这不起作用,网页无法加载。 我有点卡在这里,手动inputDNS服务器将certificate是一个更长的过程。 我怎样才能让DNS服务器自动分配? 我已经被build议,最好是使用Windows服务器作为DHCP服务器,但不幸的是,如果我想使用NAT的路由器,强制DHCP。 将Windows Server作为具有NAT的路由器并将Airport作为一座桥梁对我来说更好吗?
我在虚拟机上遇到了iptables问题。 我在我的rootserver上安装了proxmox 3.1-21。 我有大约6个IP连接到我的rootserver,所以我创build了新的“CT”。 问题是我需要将端口redirect到目标端口,命令是这样的: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 10001 -j REDIRECT –to-port 9001 问题是,我的ct现在返回我这个错误: iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded 我该如何解决这个问题? 我已经浏览了几个网站。 我还在proxmox论坛的某个地方发现了同样的问题,没有人回答。
我的iptables坚持。 我有一个IP服务器后面的DNS服务器和一个NAT'ed OpenVPNpipe道。 使用tcpdump我看到DNS数据包命中外部路由器,但它需要4或5 DNS查询尝试之前,DNS请求实际上沿着pipe道传递到DNS服务器。 服务器是新鲜更新,问题仍然存在。 什么可能导致这个“粘性路由”,我该如何摆脱它? iptables-save命令: # Generated by iptables-save v1.4.21 on Wed Oct 15 18:53:53 2014 *security :INPUT ACCEPT [6661499:1780706800] :FORWARD ACCEPT [1395363:1087119696] :OUTPUT ACCEPT [9054598:4470085569] COMMIT # Completed on Wed Oct 15 18:53:53 2014 # Generated by iptables-save v1.4.21 on Wed Oct 15 18:53:53 2014 *raw :PREROUTING ACCEPT [8279921:2932266784] :OUTPUT ACCEPT […]
我试图通过使用笔记本的WiFinetworking将我的一台电脑连接到互联网。 这是我的networking: (Wifi) <=============> (Notebook) <===============> (Desktop) (192.168.1.x) (10.12.0.x) (192.168.1.85 (10.12.0.2) & 10.12.0.1) 所以,我在我的上网本上启用了ipv4_forward,并且这个NAT规则: iptables -t nat -A POSTROUTING -s 10.12.0.0/24 -j MASQUERADE 这是我笔记本上的路由表: Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 wlan0 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 […]
试图帮助某些人在几分钟后TCP连接被神秘地丢弃的情况下没有明显的原因(即使非空闲连接也会发生这种情况)。 运行Linux的客户端和服务器都在这种情况之外。 有充分理由怀疑之间的一些故障路由器正在做(有一些NAT涉及)。 如何find哪个路由器正在断开连接? 像tcptraceroute任何工具,但会保持TCP连接打开,并继续探测,直到它被丢弃? (在这一点上,我们知道谁是罪魁祸首)
是否有可能在Linux上有一个允许到达内部NAT上的特定虚拟机的IP的白名单? 例如(公共IP(proxmox) – >我的虚拟机的白名单IP(192.168.0.1)),如果stream量不在白名单只是路由到192.168.0.2? 问题是某个服务遭受攻击,所以我希望用户在网站上注册才能连接到真正的交易。 (如果有人尝试,他们将连接到192.168.0.2上的虚拟服务器,它将捕获所有的攻击,并在连接之前向需要注册的用户显示消息) (如果有人需要可视化,使其更容易,因为也许我的故事写作技能不是很好,这是一个链接: http : //i.imgur.com/BCCkhmm.png ) 另外的问题:对于任何IP,总是允许具有特定签名的数据包(例如QUERY数据包)在某种程度上是可能的,甚至是没有列入白名单的(redirectstream量列入白名单的数据stream)?
我有一个NAT交换服务器后面的networking。 移动设备configuration为使用其实际地址(整个办公室隐藏的单个IP)访问交换机 当移动设备进入办公室networking时,他们无法连接。 Safeoffice是nat设备背后的路由器。 我添加了一条从内部networking192.168.1.0/24到44.44.44.44/32下一跳192.168.1.50的路由 试图从内部ping 44.44.44.44失败。 很显然,50服务器将不会响应44.44.44.44请求。 有没有解决这个问题,而不会改变移动设备上的任何Ing?