我正在尝试在Amazon AWS中configurationNAT。 所以我有两个私有IP的EC2: 10.0.0.49和10.0.0.48 。 ( 10.0.0.0/24networking)节点在一个VPC中。 我可以从10.0.0.48 ping 10.0.0.49。 弹性IP 52.88.240.171指向10.0.0.49。 据我所知,我不能直接指向Elastic IP到节点。 因此,我正在尝试这种手动https://serverfault.com/a/568478/192282 在10.0.0.49: sudo sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0 sudo iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE sudo iptables -L -n -v -x -t nat Chain PREROUTING (policy ACCEPT 6 packets, 457 bytes) pkts bytes target prot opt […]
我有一个Amazon AMI 2015.09实例作为我的后端服务器的NAT服务器。 我已经在同一个盒子上configuration了OpenVPN客户端,NAT服务器能够通过VPN与所有的东西进行通话,所有的资源都可以正常使用。 但是这个NAT背后的所有后端服务器不再能够访问互联网。 一旦我拿掉了NAT服务器上的OpenVPN客户端,它后面的实例就能够再次联机。 我可以在AWS上专门查看NAT实例吗? 我不知道我可以提供什么,当我知道VPN连接function之间的客户端和服务器,所以我假设它可能是路由/ iptables规则在NAT转发不按预期。 NAT服务器确实从后面的实例看到stream量( tcpdump -n not port 22 ),但是我不太清楚它是如何处理这个stream量的。 任何有关为什么发生这种情况的build议,以及如何解决这个问题将是非常好的。 编辑:因为这是一个function的NAT服务器,在ec2实例禁用src / dst检查。 EDIT2: OpenVPN客户端输出closures: [root@ip-10-0-0-39 ~]# ip route list table all default via 10.0.0.1 dev eth0 10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.39 169.254.169.254 dev eth0 broadcast 10.0.0.0 dev eth0 table local proto kernel scope […]
我不能去槽。 我需要从内部networking访问具有公共IP的服务器。 我有几个VLAN的专用networking,然后我使用的是WatchGuard m400防火墙。 我想要达到的服务器只有公共IP。 我可以从我的私人networking,但没有别的。 我已经操作了需要的端口(在我的情况下是20,21,22,80),试图添加SNAT,但是我认为,SNAT正在处理相反的情况(从公共networking访问私人服务器)。 任何提示? 最好的祝福
我在AWS上build立了一个MYSQL RDS,在一个NAT后面的私有VPC上。 使用Workbench,我可以成功地从远程客户端连接到RDS,没有任何问题 – 所有的RDS,NAT和安全组等都设置正确。 我已经尝试了各种SSH隧道的例子,我发现,不使用工作台连接 – 但没有任何工作。 所以假设我用ssh -i nat.pem [email protected]到NAT,RDS在rds.endpoint.aws.com后面 – 我如何设置一个SSH隧道以便我可以mysql -h通过NAT进入RDS端点?
我有一台主机运行Proxmox VE。 我设置了3个虚拟网桥vmbr[0-2]来处理我的networking需求: vmbr0直接在具有公有IP的虚拟机的主接口上运行, vmbr1允许vmbr1虚拟机,而vmbr2是仅主机networking。 假设我的主要公开IP是12.34.56.78。 为了使NAT工作,我build立了以下iptables规则集: -A PREROUTING -d 12.34.56.78 -i vmbr0 -p tcp -m multiport –dports 80,443 -j DNAT –to-destination 192.168.1.101 # and other rules like this one for different ports to different local IPs -A POSTROUTING -s 192.168.10.0/24 -o vmbr0 -j SNAT –to-source 12.34.56.78 现在让我们说,我有一个虚拟机在vmbr1与IP 192.168.1.102。 本机无法使用公共IP 12.34.56.78访问192.168.1.101的networking服务器。 我最初以为上面的POSTROUTING指令足以让发夹式NAT工作。 阅读规范回送转发公共IP地址从本地networking – 发夹NAT和多个其他答案在同一个变种,我试过了: […]
我从旧的Debian 7服务器的所有互联网stream量重新路由到我的新服务器 DEST_IP=123.123.123.123 for p in 25 110 143 587 993 995 80 443; do iptables -t nat -A PREROUTING -i eth0 -p tcp –dport $p -j DNAT –to $DEST_IP:$p iptables -t nat -A POSTROUTING -p tcp -d $DEST_IP –dport $p -j MASQUERADE done 由于我想尽快closures旧服务器,我想知道哪些域仍在使用旧服务器。 如何logging所有转发的软件包以检测仍在使用旧服务器的服务? 我试过了 iptables -t nat -A PREROUTING -j LOG –log-prefix […]
我们需要与客户configurationSite-to-Site VPN。 我们的本地子网:192.168.16.0 / 24 VPNconfiguration: 远程子网:192.168.44.0 / 24 本地子网:192.168.93.200 / 29 正如你所看到的VPN本地子网不是我们的本地子网。 客户正在口述VPNconfiguration,所以我们不能改变它。 我们不想改变我们的子网,因为它只会给我们6个可用的IP通过VPN连接到远程子网。 我们希望能够从我们所有的计算机访问远程子网。 正如我所看到的,我们需要在VPN上设置某种NAT,但我没有发现在路由器上做这个事情的可能性。 我们使用TP-LINK TL-ER6120 有什么路由器可以在VPN上做这种NAT吗?
我到处读到在nat表中进行stream量过滤是危险的,因为只有在状态为“NEW”的连接(稍后的数据包绕过表)时才会查询nat表。 这是否意味着nat表计数器只会为每个连接的第一个数据包增加? 如果我需要可靠的交通信息,那么我应该使用表格RAW的链式PREROUTING吗?
有没有办法做一个简单的任务,NAT从一个公共IP和特定端口到另一个公共IP和另一个端口,原因是第二个IP被我们客户的ISP阻止,并且第一个IP(在Mikrotik上)是不被阻止。 我听说过一个名为rinetd的linux工具,它可以很容易地做到这一点,但不幸的是Mikrotik没有这个包。 提前致谢!
我知道已经有很多类似的问题,但是我已经读完了我能find的所有东西,而且在解决我的具体问题时仍然遇到了麻烦。 问题:我无法将数据传输到外部FTP服务器,但只能从位于DMZ内的服务器上运行的FTP客户端传输数据。 从FTP客户端传输工作正常从我的局域网内的任何机器。 我的环境简要概述: 我有一个Sonicwall SOHO路由器/防火墙,configuration/连接了以下接口: X0:局域网 X1:WAN(单个,来自ISP的静态IP) X2:DMZ(作为Web服务器的一台服务器,FTP服务器连接到此接口) 我对NAT策略很有信心 – 人们可以很好地连接到我的FTP服务器,并且可以从我的DMZ内部连接到其他FTP服务器 – 只有一台特定的服务器存在这个问题。 在将我的防火墙从Cisco SA520升级到Dell Sonicwall SOHO之前,连接用于正常工作。 我还会注意到,虽然我可以连接到其他FTP服务器,但这些服务器以被动模式连接,因此可能是主动模式连接的问题。 目前,问题服务器只接受来自我的IP的主动模式。 我目前的想法是,这是我的一个防火墙问题,但我不明白为什么。 我的防火墙规则很简单: LAN > WAN Allow all DMZ > WAN Allow all WAN > LAN Deny all WAN > DMZ Allow Server Services (HTTP, HTTPS, FTP (All) (TCP 20, 21, 49152 – 65535)) WAN > […]