我有以下设置 服务器(192.168.21.11,172.17.4.6),通过OpenVPN路由10.10.10.0/24 客户端(192.168.21.9) 路由器(192.168.21.1)[m0n0wall]具有10.10.10.0/24至192.168.21.11的静态路由 在服务器上,启用NAT转发: /sbin/iptables -t nat -A POSTROUTING -d 10.10.10.0/24 -o tun0 -j MASQUERADE # cat /proc/sys/net/ipv4/ip_forward 1 # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 我能够做从客户端到服务器的traceroute # traceroute 10.10.10.10 traceroute […]
如何通过iptables或其他方式将UDP单播数据包转换为广播地址?
我有一个Debian Squeeze服务器(作为虚拟服务器的路由器和主机)与两个网卡 – eth0的互联网,eth1的本地networking。 我安装了KVM,所以我创build了br0(eth0,vnet0)和br1(eth1,vnet1)。 现在我需要在这个服务器上设置本地networking访问,但它不工作:(我该怎么做才能从本地networking访问互联网(br1上的stream量)?除了局域网上的互联网访问,一切正常。 iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 如果我不使用网桥,这种configuration工作(与eth0不是br0)。
我有以下接口:eth0,eth0:0和eth1。 eth0:0是虚拟的,它也面向WAN(interent)。 eth0为192.168.0.0/24,eth1为10.0.0.0/24。 如何启用NAT,并将eth0:0作为192.168.0.0/24和10.0.0.0/24networking的网关。
两个人在同一个NAT盒子后面使用不同的PC。 他们经常访问同一个网站,托pipe在其他地方。 间歇性地,其中一人看到该网站需要几分钟才能加载。 另一个仍然可以正常访问网站。 这会持续到PC重新启动,然后速度恢复正常。 这种缓慢可能会影响两种设备中的任何一种,但是(迄今为止)从来没有将这两种设备放在一起。 在Web服务器上运行tcpdump可以确认,由于某种原因,linux没有发送SYN / ACK数据包来响应SYN,直到之后有七个SYN。 第八个SYN数据包不包含TCP时间戳。 来自同一个NAT盒子(来自另一台PC)的其他连接立即得到响应,并且TCP时间戳存在,但远远早于问题PC上的时间戳。 我猜这是相关的。 这PAWS在工作吗? 如果是这样,是否有解决方法? 如果不是,可能是什么? 这里是例子。 首先,连接速度很慢。 14:08:07.030430 IP 79.97.132.108.56423 > DSQ4003-45.tagadab.com.www: Flags [S], seq 1211796088, win 65535, options [mss 1460,nop,wscale 3,nop,nop,TS val 755098862 ecr 0,sackOK,eol], length 0 14:08:07.940504 IP 79.97.132.108.56423 > DSQ4003-45.tagadab.com.www: Flags [S], seq 1211796088, win 65535, options [mss 1460,nop,wscale 3,nop,nop,TS val 755098871 […]
我有一个非常大的存储池位于NAT后面的服务器上。 鉴于ipv6在我的情况下是不可能的,我还有什么select可以达到这个池? 如果我用一个公共IP租用一个VPS,我可以用它到达机器吗? 怎么样? 有没有办法避免使用VPS的带宽进行数据传输? 干杯:)
我有一些configuration为桥接模式的Xen主机,其虚拟机使用公共或私有IP: 主机#1 dom0:3.3.3.71 dom1:10.0.2.10 dom2:3.3.3.85 dom3:10.0.2.11 主机#2 dom0:3.3.3.72 dom1:3.3.3.86 dom2:10.0.2.12 dom3:10.0.2.13 主机#3 dom0:3.3.3.73 dom1:10.0.2.14 dom2:10.0.2.15 dom3:3.3.3.87 具有公共IP(3.3.3。*)的虚拟机可以从Internet访问。 具有私有IP的虚拟机可以在彼此之间到达,这是一个理想的行为。 但是,由于本地子网中没有10.0.2.1网关,因此无法访问Internet。 我怎样才能解决这个问题? 一种解决scheme是将一个具有10.0.2.1接口的服务器configuration为NAT。 然而,我不想要任何SPOF,我希望每个主机使用分配给dom0的公共IP地址来做自己的NAT。 我相信这只是在dom0中configurationiptables的问题。 如果这是正确的,怎么样?
我有一个PIX 501与5静态IP地址。 我的isp只给了我5个。 我想弄清楚如何添加新块,然后如何打开/打开其中至less一个内部机器。 到目前为止,我命名了一个新的接口“intf2”,IP范围是71.11.11.58 – 62(网关应该71.11.11.57) imgsvr是我想要(71.11.11.59)其中一个新IP地址的机器。 邮件(.123)是映射到当前现有的5个IP块(96.11.11.121 gate / 96.11.11.122-127)并正常工作的机器的一个示例。 Building configuration… : Saved : PIX Version 6.3(4) interface ethernet0 auto interface ethernet0 vlan1 logical interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif vlan1 intf2 security1 enable password xxxxxxxxx encrypted passwd xxxxxxxxx encrypted hostname xxxxxxxPIX domain-name xxxxxxxxxxx no fixup […]
我正在尝试使用IOS 15configurationCisco 2901路由器,以正确执行LAN和Internet连接之间的NAT / PAT转换。 我已经为本地接口configuration了DHCP池,可以正常工作(即使使用额外的交换机,无线接入点…)。 同样,WAN接口configuration为通过DHCP从ISP获取自己的IP。 我可以在LAN计算机上工作,并且可以直接从路由器访问Internet(例如,使用telnet和路由器的ping命令)。 问题是,NAT无法正常工作,并且LAN接口(GigabitEthernet0 / 1)的连接没有到达WAN接口(GigabitEthernet0 / 0)。 我在这个问题上跟踪了几个指导 ,但似乎不pipe我做什么,NAT似乎都不起作用。 我已经尝试了源列表中的interface GigabitEthernet0/0 overload NAT和指南中描述的NAT池源列表(是当前的ISP分配的IP)。 附件是完整的configuration,希望有人发现我错过的问题。 Current configuration : 2007 bytes ! ! Last configuration change at 19:59:30 UTC Wed Jul 6 2011 ! version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname […]
我正在build立一个TLS / SSLencryption(FTPS, 而不是 SFTP)的FTP服务器。 服务器将被放置在DMZ中。 这意味着它有一个接口:一个用于连接来自公司的networking和另一个(在边界路由器上静态NAT到Internet有效的IP地址)用于来自因特网的连接。 一个小的ASCII艺术来说明设置: |<—————————– DMZ ———————>| Inet <———> | border router | <——-> FTPS server <——-> Internal network 1.2.3.4 | 1.2.3.4 <NAT> 10.0.1.1 | 10.0.1.1 10.0.2.2 主动模式运作良好。 但是对于被动模式,FTP服务器必须将其IP地址发送给客户端。 首先问题是服务器不知道它的外部地址(1.2.3.4),只有DMZ-external (10.0.1.1)。 FTP服务器软件允许设置这个地址(在纯ftpd中的ForceIpAddress),但是在这种情况下,来自内部networking的用户将无法使用这个FTP(因为它会将它们发送到1.2.3.4而不是10.0.2.2) 那么问题是,如果根据客户端IP地址或接口有selectIP发送的方法,请求来了? 请注意,如果客户端从Internet连接,他应该获得互联网有效的IP地址(1.2.3.4)在服务器的内部(10.0.1.1)。 我使用纯粹的ftpd,但可以改变为其他任何东西。 我在不同的端口上使用了两台FTP服务器,并使用iptablesredirect了请求,但这不是最好的方式。 一些FTP客户端(例如WinSCP)也允许强制服务器的地址,但不是全部。 任何选项来解决这种情况?