我试图build立一个Ubuntu服务器,首先我想它作为NAT /路由器/防火墙。 我的问题是:如何使连接到局域网的计算机可以访问互联网? eth0 Link encap:Ethernet HWaddr 00:1c:23:87:d3:be inet addr:213.101.213.177 Bcast:213.101.213.191 Mask:255.255.255.192 inet6 addr: fe80::21c:23ff:fe87:d3be/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:16037 errors:0 dropped:0 overruns:0 frame:0 TX packets:13626 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2268865 (2.2 MB) TX bytes:1258854 (1.2 MB) Interrupt:26 Base address:0x6000 eth1 Link encap:Ethernet HWaddr 00:1b:21:4f:e4:0b inet addr:10.0.0.1 Bcast:10.0.0.255 […]
我们有FreeBSD路由器上的公有IP地址。 我们还有很多服务在我们局域网内部运行,我们的一些服务需要通过公共IP地址在我们的家庭networking之外访问。 直到现在,我把它转发特定的端口到特定的本地IP地址。 示例(对于terminal服务器i,将端口2305转发到端口3389上的本地ip服务器,当有人呼叫“MYpublicIPadres:2305”上的远程桌面连接可以访问我的terminal服务器时,它工作正常。 我想要做的是: 一些如何确保特定客户端(机器或networking)访问该服务。 有没有办法让我只允许特定用户(通过MAC地址或其他)访问我的服务。 我已经做了VPN服务器 – 客户端连接,但是这种方法并不能提供给我很多。 我也可以通过特定的IP地址来限制访问,但是我的大多数客户端没有静态公共IP地址,每次来自不同IP地址的DSL连接。 如果使用FreeBSD无法做到这一点,我是否可以select像IPCOP或类似于FreeBSD的东西。 编辑:VPN问题 正如你已经提到,我应该去VPN解决scheme是我面临的问题 我正在使用Windows操作系统内部的示例VPN客户端构build,并允许客户端可以从任何计算机机器设置VPN(故事背后:我有我们的networking之外的部门,我想确保只有特定的服务访问可以从部门。) 当客户端拨打VPN连接时,会失去与其他世界的连接,许多客户想要访问我的服务和其他互联网资源。
我如何在内部IP空间上使用iptables将IP伪装(PAT / Overload)与目标NAT重叠? 我想要的是一个私有networking,即10.0.0.0/24 ,其中一些公共IP被映射到其内部的各种地址。 但是,如果有一个来自10.0.0.0/24的连接,不pipe是否有DNAT公共IP,它将被重载到特定的公共IP。
这是一个简单的好奇心的问题:在我的局域网中,我通过DSL路由器中的NAT条目使一些主机可以从Internet访问。 这一切工作正常。 我永远不能做的是从本地networking内使用WAN地址连接到我的主机。 例如,testingNAT表是否正常工作。 防爆。 本地networking192.168.1.0/24,主机192.168.1.10,我的WAN固定IP地址213.102.40.55,NAT端口WAN 22转换为192.168.1.10端口22。 而我不能做ssh 213.102.40.55当我使用相同的NAT'ed路由器到互联网。 这是由于NAT协议或我有什么其他的连接types?
我有一台运行带有一个物理网卡的VMWare ESXi的服务器。 该服务器正在运行3个虚拟机(S1,S2和S3),这些虚拟机都运行Windows Server 2008 R2。 我想在这台服务器上设置NAT路由,以便只有其中一台服务器有外部IP,并且所有传入的请求都转到单个虚拟机(比如说S1)。该虚拟机只会路由请求并作为防火墙。 例如,它将把所有http请求路由到S2 – 端口转发,换句话说。 我也希望所有3台机器能够互相交谈(共享文件,访问networking服务,低声说话)。 我确信,答案在于Windows Server 2008中常规和远程访问服务(RRAS)中的某个地方。但到目前为止,我的文盲并没有提出可行的方法。 我可以在S1上为NATconfigurationRRAS,并使其看起来可以工作,但是我不能让任何其他机器(S2和S3)能够与S1通信。 我读过很多 文章 , 试图 解释如何设置 。 但到目前为止,没有人工作。 更糟糕的是,他们都给出了稍微不同的build议。 有谁知道关于这个问题的权威文章。 或者可以给出关于如何configurationRRAS来执行我想要的操作的特定指令集? 谢谢。
我捅了一下,这个问题的元素在这里回答,但我仍然不知道该怎么做。 这是我的情况。 我有一个SUSE Linux机器,我想成为面向Internet的SFTP服务器。 我有一个单独的MN-700路由器,用于处理DHCP和NAT的Qwest DSL服务(即在Qwest调制解调器/路由器上closuresDHCP,以太网电缆连接到单独的无线路由器,将本地IP地址送到所有设备上我的本地networking,有线和无线。其中一个设备是Linux服务器。) Qwest显然阻止了DSL调制解调器上的许多面向互联网的端口,这些端口通过Qwest的DHCP获得面向互联网的IP地址。 我认为解决scheme是从Qwest获得静态IP,然后将DSL调制解调器(和路由器?)中的端口22转发到Linux服务器的本地IP地址,closuresLinux服务器上的DHCP并为其分配静态本地IP地址在路由器用于DHCP的范围之外,所以端口转发规则总是起作用。 现在据我所知,连接到abcd:22(其中abcd是我从Qwest购买的静态IP)将转发到192.168.2.p:22(其中192.168.2.p是Linux服务器的本地IP地址)和瞧SFTP的作品。 (a)这一切看起来是否正确 – 我错过了什么? (b)QWest提供一个静态IP地址($ 5 /月)和一个8个IP地址($ 15 /月)的块。 在我看来,只有一个地址是我需要的。 如果我想要运行另一台SFTP服务器或Web服务器或DSL调制解调器后面的东西,我需要更多,但是在这种情况下,单个静态IP将转发到一个本地静态IP,它将会正常工作。 对? 感谢帮助。 QWests对此的指导方针并不是很有帮助。 他们说: 单个静态IP不能为您的内部networking上的设备分配网关地址或分配公共IP地址。 如果您租用单个静态IP地址,则只能将相同的公共IP分配给高速Internet调制解调器的WAN端。 如果您需要为高速互联网调制解调器后面的设备分配公共IP地址,则需要购买一组IP地址。
我可能需要在hub-spokedevise中添加(启动)10个IPSec隧道,而为了在中央数据库服务器中收集数据,通信是单向的(spoke => hub)。 每个事务都很小,可能是10Kb的XML数据,每个小时发起可能是10-20个事务。 另外我应该注意到,我无法控制辐条networking, 所有的辐条都有一个静态的,可公开分配的IP地址; 所有的辐条实际上只是NAT防火墙的主机,需要将数据发送到中央数据库。 中央数据库位于NAT防火墙的后面,用于讨论,位于192.168.0.0/24子网上。 我最初的想法是IPSec隧道开销过大,因为我不得不考虑每个分支的networking拓扑(我不能控制),只要路由不提到维持所有这些IPSec隧道所需的硬件(尤其是如果它扩大到数百)。 然而,我被“敦促”走上IPSec隧道,因为它们是最“安全”的,但在我看来,我觉得IPSec对于大型可信networking,甚至大部分可信任的LAN到LAN通信在分支机构之间,特别是对networking拓扑结构有完全控制权的地方,但是对于一个非常狭窄的目的来说并不是那么多,而且(我认为)可以通过SSH隧道或SFTP批处理作业(或者可能是按需/移动VPN?)。 如果我必须去IPSec,我该如何处理路由? 我的意思是,如果我的中央数据库位于192.168.0.0/24子网上,并且发生了碰巧有相同的(或者另一个隧道在其他地方),我将如何能够解决这个问题? 每个“发送”主机上的静态路由可能工作,但是如果该主机需要访问其他地方的同一个子网呢? 如果不是IPSec,你会推荐什么来保护交易从同行到中央主机?
我正在寻找build议,build立一个基于Windows 2008R2的NATfunction的路由器。 我目前的networking由几个子网(保留+真实IP地址)组成,例如10.20.30.0/24,10.20.40.0/24和123.123.123.0/24。 我想要做的是连接所有的子网,以便他们可以互相通信,同时提供NAT到这些保留的IP地址(10.xxx)上网冲浪。 另一方面,那些真正的IP地址(123.123.123.x)应该在没有NAT的情况下上网。 我该怎么办?
我是IOS的新手。 在过去,我使用的消费者路由器似乎很聪明,可以自动将请求发送到通过公用名称寻址的内部主机回到内部networking。 我认为这被称为发夹。 我需要这样做,以便办公室的笔记本电脑可以通过其公用名称从办公室外部和内部访问我们的办公室networking上的服务器。 这个东西让我难住,但我确定这是一个networking专家的小菜一碟。 注意:我们没有内部DNS(我们只有4台机器)。
我需要在一系列的端口上进行翻译。 如果我做: iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 2000:3000 -j DNAT –to 192.168.1.41:4000-5000 它不工作,因为它应该。 如果我连接到WANIP:2001它试图连接到192.168.1.41:4000,而不是192.168.1.41:4001。 有没有办法做到这一点,而不创build1000 iptables规则?