我已将我的android / web应用程序托pipe在VPC的专用子网(10.0.1.0)中的EC2实例上。 这个实例上安装了apache-tomcat,但是没有公有IP。 我的VPC的公有子网(10.0.0.0)中也有一个NAT实例,公有IP分配给服务器。 iptablesconfiguration看起来像这样: [ec2-user@ip-10-0-0-21 ~]$ sudo iptables -t nat -L –line-numbers Chain PREROUTING (policy ACCEPT) num target prot opt source destination 1 DNAT tcp — anywhere anywhere tcp dpt:webcache to:10.0.1.11:8080 2 DNAT tcp — anywhere anywhere tcp dpt:http to:10.0.1.11:8080 3 DNAT tcp — anywhere anywhere tcp dpt:http to:10.0.1.11:8080 4 DNAT tcp — […]
我有一个Ubuntu 14.04服务器作为互联网网关/路由器工作。 当我在互联网上对一个已知好的地址进行连续的ping时,我得到了很好的延迟的稳定答复。 但有时当我尝试从我的电脑开始浏览网页时,ping会超时几秒钟,然后重新启动,就像打嗝一样。 我可以看到持续的ping超时,报告目标主机不可达,报告高延迟高达14k毫秒,然后恢复正常。 它就像每当我尝试浏览一个网页(一直在使用amazon.com进行testing),它的负载过重,networking和路由器在失败的时候,它赶上了。 大约90%的时间我都可以复制这种行为。 我的ubuntu路由器是虚拟化的,否则一切都通过有线千兆连接进行连接。 我已经尝试从Windows 8.1电脑和Ubuntu 14.04服务器的ping具有相同的结果。 我有一种感觉,我在路由表中有错误的configuration,但我没有设置任何特殊的静态路由或任何东西。 只有网关正在做的是80,443和25的NAT和端口转发。我还没有尝试任何其他types的stream量,不知道我还能testing什么。 有没有其他人遇到这样的问题,或者可以build议我可以检查的其他东西?
我有3个实例,一个在VPC私有子网,一个NAT实例,另一个在VPC之外,作为Web服务器。 私有子网中的实例充当应用服务器,开发团队的代码正在运行。 一切都运行良好,直到现在,我在NAT实例中编辑IP表,以允许SSH连接到VPC实例和所有。 现在开发团队希望通过端口8080上的Web服务器的EIP来访问VPC实例中的应用程序。我无法实现这一点。 当我编辑类似于上述方式的IP表时,它将终止以前的规则,从而不允许通过PuTTY连接到VPC实例。 同样编辑IP表也不起作用,因为URL不能在浏览器中工作。 安全小组如下: Web服务器:入站 – 80,8080,22出站 – 所有stream量 NAT实例入站 – 80,8080,10234(对于SSH),22出站 – 所有stream量 应用程序服务器(IN VPC)入站 – 80,8080,22出站 – 所有stream量 如何使Web服务器的EIP变成一个URL,以便VPC实例上的应用程序可以在8080上访问?
我有2个域名,prod和dev。 开发者有一个单方面的信任(dev信任prod,但是prod不信任dev)。 我的主机(笔记本电脑,win7 sp1)是prod域的成员,可以通过VPN连接产品数据中心和内部资源。 在VPN上,我的主机也连接到开发域的资源。 我的主机有2个vms,它们是开发域的成员:vmware工作站播放器12上的sharepoint服务器和sql server。我尝试了桥接和NATnetworking连接,但都不允许我的guest虚拟机连接到开发DC导致允许SharePoint服务器能够与SQL服务器交谈(无法生成SSPI上下文)的麻烦。 我不知道如果我在VMWarenetworking设置上做错了什么,或者是否有阻止我的连接的networking规则,我想知道是否有人曾经处理过这种情况,或者如果有人能够提供给我关于configuration的一些build议,或者我可以确定什么阻止了与开发人员DC连接的故障排除。 我可能需要与我们的服务提供商就VPN连接进行交谈,但是他们总是需要我能够解释在他们做任何事情之前什么都不工作。
最近我意识到,ICMP不包含任何端口,所以我试图从我无线连接的笔记本电脑ping公共IP(当然它的工作!)。 在典型configuration中,本地networking使用指定的“专用”IP地址子网(RFC 1918)之一。 该networking上的路由器在该地址空间中具有私有地址。 路由器还通过互联网服务提供商分配的“公共”地址连接到互联网。 当stream量从本地networkingstream向Internet时,每个数据包中的源地址将从私有地址转换为公有地址。 路由器跟踪每个活动连接的基本数据(特别是目标地址和端口)。 我的路由器是否有特殊的ICMP数据包空间? ICMP标题 它只有4个字段:“types”,“代码”,“校验和”和“数据”。 只增加额外数据似乎是一个可行的解决方 请在回答时提供资料,因为找不到它们。 感谢您的时间:)
我正尝试使用XDCR设置两个Couchbase集群,一个在AWS,另一个在我们客户的企业networking中。 通常,对于每个群集,我都会使用其专用IP来设置每个节点。 但是,为了得到XDCR,我需要用公有IP在目的地打开节点。 问题是,企业networking集群中的节点不能拥有单独的公共IP地址。 我想知道的是: 目标集群中的所有节点是否需要公有IP? XDCR是否可以工作,如果我只让参考节点公开(通过NAT转发),但其余的节点是私有的? 例如,如果我将节点设置为10.8.1.20,并且源群集使用公共IP 203.xxx连接到该节点(通过NAT),则XDCR复制是否可以工作? 有什么代理,我可以通过设置XDCR到该群集? 该代理服务器可以位于DMZ上,并将复制请求转发到目标群集。
我有一个运行的服务器2012 R2安装,我需要部署一个IKEv2 VPN上。 这是我在办公室访问文件的方式。 当前的设置涉及位于所述服务器前面的NAT路由器(只是一个标准的ISP分布式路由器)。 它分配给服务器一个静态的局域网IP,但是我已经configuration了服务器来获得这个IP。 在此服务器上安装Active Directory。 我拥有该领域,并且在该部门中一切正常。 我没有两张网卡,所以我根据某人的build议安装了Microsoft环回适配器。 然而,当涉及到IKEv2时,困难就出现了。 我已经创build了一个自定义证书模板,为其提供了所需的密钥使用和扩展密钥使用,并且也使得我可以手动configurationCN。 现在,只要CN匹配我在客户端指定的地址,它就可以在服务器上工作(它可以连接到自己)。 但是,当我在同一内部networking中的另一台计算机上连接时,情况并非如此。 IKE找不到有效的机器证书。 请联系您的networking安全pipe理员有关在适当的证书存储中安装有效的证书。 我看着它,并确定一个问题可能是回送适配器,因为它似乎没有得到一个正确的地址(它被分配169.xx.xx.xx,我已经看到是“任意”故障保护结果)。 此外,双酚A已经产生了一些有关的错误: 警告:IPv4 DHCP中继代理应至lessconfiguration一个DHCP服务器。 警告:要用于IKEv2或SSTP的证书的主题名称必须与RRAS服务器的名称或RRAS服务器的外部接口的IP地址匹配configuration 这两个是最关心的。 我想知道我能做些什么来让这个该死的VPN正常工作。 最后,我应该能够做的是A)将其用作所有networkingstream量的“代理”,并且B)通过域访问我的文件。 而且,在我发布之前,让我只是说我知道你不应该使用你的域控制器作为你的NAS / RRAS代理。 不过,没关系。
我试图通过IPtables将单个端口redirect到本地服务器。 目前我有以下规则: iptables -t nat -A PREROUTING -p tcp -m tcp –dport 55555 -j DNAT –to-destination 10.188.44.125:3306 iptables -t nat -A POSTROUTING -j MASQUERADE 当我有这些规则时,我的rsync进程的SSH失败。 我假设这里有一些冲突,但我不知道是什么。 有什么build议么? 谢谢! 更新:这里是我准备好允许通过SSH连接的rsync的规则。 我的input政策设置为放弃。 其他政策将被接受。 iptables -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT iptables -A […]
在2015年12月,亚马逊推出了他们的VPC NAT网关服务 ,这个服务基本上是创build自己的托pipe替代scheme(与NAT实例相比 , 它看起来非常好 )。 我正要部署自己的NAT实例,并决定使用NAT网关来替我省下configuration和维护自己的NAT服务的麻烦。 该服务的工作原理如同广告一样,直到我注意到一个奇怪的行为,我一直是一个愉快的chappy。 我使用NAT网关后面的EC2实例来testing一堆网站,每个EC2实例运行最多4个并行的Firefox +seleniumtesting。 我注意到以前在其他地方运行良好的testing在这个环境下一直没有成功。 因此,我创build了两个t2.large实例,一个具有公共弹性IP并直接访问Internet; 另一个带有私有IP,位于NAT网关后面。 以下是针对某些网站运行apache基准testing的结果: EIP ab -kn 1000 -c 20 https://www.pinterest.com/ (…) Time taken for tests: 17.331 seconds ab -kn 1000 -c 20 http://speedtest.ftp.otenet.gr/files/test100k.db (…) Time taken for tests: 9.610 seconds ab -kn 1000 -c 20 http://www.bbc.com/ (…) Time taken for tests: 5.890 seconds NAT […]
我试图在我的Kubernetes前设置一个LVS负载均衡器:Calico用作容器networking,因此每个容器在其主机中都有自己的networking接口。 外部IP,路由和路由规则是使用keepalived的pipe理器。 由我的主机提供商分配的每个子网都有自己的路由器。 服务器有两个物理接口连接到Internet。 外部IP在第二个接口上可用。 configuration是这样的:第一个接口有一个全局IP地址和一个默认路由。 第二个接口有一个私有IP。 它也有我的托pipe服务提供商的所有额外的IP。 由于所有来自附加IP的数据包都必须通过特定的默认网关进行路由,因此我添加了路由表和规则。 到目前为止,一切都按预期工作。 为了使Kubernetes服务在IP中可用,我在一些节点上添加了LVS。 我的问题是这样的:从互联网包到达我的Kubernetes豆荚,但他们的答案不回到互联网。 数据包消失在我的Kubernetes节点的某处。 来自我的pod的应答数据包使用pod IP作为源,并且必须由NAT重写。 当看看iptables的规则,我没有看到LVS的。 他们在哪? LVS NAT规则何时执行? 他们绑定到一个接口? 转发path和接口在NAT应答分组完成前是否已经决定?