我有一个客户,不pipe他在家还是在路上,都希望能够使用相同的configuration。 我有通过向导build立的端口,并从外部IP工作正常,但我似乎无法弄清楚如何让他打他的局域网的WANIP:端口,并仍然路由到本地设备在此SonicWALL上。 如果有人能指出我正确的方向来build立这个设置,而不会打破任何其他的东西,将不胜感激。 谢谢!
我正在尝试更改ICMP回复数据包的目标IP地址。 ICMP应答从我的IPSEC隧道进入路由器(我不完全确定它为什么在tcpdump中显示两次): 14:28:09.562030 IP 35.182.188.86 > 54.76.131.136: ICMP echo request, id 28997, seq 1259, length 64 14:28:09.641595 IP 54.76.131.136 > 35.182.188.86: ICMP echo reply, id 28997, seq 1259, length 64 14:28:09.641645 IP 54.76.131.136 > 35.182.188.86: ICMP echo reply, id 28997, seq 1259, length 64 我尝试在PREROUTING表上将目标ip更改为本地ip(172.31.20.219): sudo iptables -t nat -A PREROUTING –source 54.76.131.136 –destination 35.182.188.86 […]
我有一个AWS EC2 Ubuntu实例,NGINX服务器configuration为侦听端口80上的IP地址50.0.0.1(示例)。 我在index.php有一个login页面。 我想configurationnginx的蛮力检测和预防(主动阻塞)这个页面。 但是,如果一个客户端节点隐藏在我的体系结构: 体系结构中 ,那么根据我的简单脚本(在5次尝试失败后阻止IP地址),它将阻止IP 1.2.3.4(参考体系结构 ),以便其他合法用户与攻击者共享IP 1.2.3.4也会被阻止。 有什么办法可以阻止攻击者的请求,而不是其他合法的请求? 一些解决scheme想到的是: 阻止IP-SourcePort组合而不是仅阻止IP,但是攻击者可以为每个请求随机化源端口。 实现STUN服务器或TURN服务器 什么是最好的解决scheme来实现这一目标?
我在CentOS 7上configuration一个iptables NAT时遇到了一些问题。当前在NAT后面的客户端可以到达外部IP而不是外部networking。 我遵循这个教程来设置我的NAT,知道它在Gentoo和Arch上运行良好: http://www.revsys.com/writings/quicktips/nat.html 模式化我的问题: eth0(external)= 192.168.1.1/24 eth1(internal)= 192.168.2.1/24 当我从192.168.2.2 ping: ping 192.168.1.1:好的 ping 192.168.1.2:NOK ping 8.8.8.8:NOK 请注意,我也build立了一个从192.168.1.1:80到192.168.2.2:80的端口转发规则。 这样做很好,根据Wireshark我的数据包被成功转发到192.168.2.2。 然后192.168.2.2回复但数据包被丢弃,所以我看到多个TCP重新传输。 没有任何“主机行政禁止”消息。 当我尝试从外部连接到192.168.2.2:80时,这里是滴水信息: 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops at tcp_rcv_state_process+1b0 (0xffffffff815e5030) 1 drops at ip_error+68 (0xffffffff815c47d8) 1 drops […]
我正在使用Cisco 2621和NAT将IP地址映射到群集中的计算机。 从昨天开始,我注意到一个IP地址被映射到同一台机器上的三个端口,导致数据包丢失严重(ping报告丢失60%)。 但是,所有其他IP地址都响应良好,并且从群集内ping相同的计算机时,我没有遇到数据包丢失。 这一直持续到今天,当我重置路由(删除并重新添加所有三个NAT条目)。 现在ping似乎报告没有丢包。 我几个月没有修改我的路由器configuration。 有谁知道可能发生了什么? 我想在将来再防止这种情况发生。 谢谢,哈里
我在思科ASA 5510的configuration过程中需要帮助。我已经设置了4个通过大型LAN互连的思科ASA。 每个Cisco ASA都连接3个或4个LAN。 IP路由部分由OSPF负责。 我的问题在另一个层面上。 与连接到ASA的LAN之一连接的计算机与外界通信没有问题。 外部世界是ASA之后的任何东西。 我的问题是,我完全无法让他们与连接到同一个ASA的另一个局域网通信。 为了改变这一点,我无法将来自给定ASA的一个接口的stream量发送到相同ASA的另一个接口。 我的configuration如下: ! hostname Fuji ! interface Ethernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 10.0.0.2 255.255.255.0 no shutdown ! interface Ethernet0/1 speed 100 duplex full nameif cs4 no shutdown security-level 100 ip address 10.1.4.1 255.255.255.0 ! interface Ethernet0/2 speed 100 duplex full […]
当我在大规模NAT(LSN,运营商级NAT)后面的客户端PC上打开Google Maps时,并发连接数限制为15。 在LSN(CGN)背后,你有什么解决scheme来实现更多的连接吗?
在Fortigate 50B上设置端口转发存在严重的问题。 该设备基本上是作为出厂默认设置运行的,wan1接口连接到我的光纤互联网调制解调器,而我的lan连接到Fortigate的内部交换机。 出厂默认防火墙策略允许从内部接口到wan1的stream量被保留,我可以正常访问interet。 然后,我添加了一个虚拟IP和防火墙策略,允许从互联网访问我的本地服务器(IP 192.168.9.51)Web服务器(标准端口80)。 我所做的设置如下。 编辑虚拟IP映射 Name : Server VIP External interface : wan1 Type : Static NAT Extermal IP Address/Range : 0.0.0.0 Mapped IP Address/Range : 192.168.9.51 Port Forwarding : not checked 防火墙策略 Source interface/Zone : wan1 Source address : all Destination interface/Zone : internal Destination address : Server VIP Schedule : […]
在我的networking中,有一台机器必须向超出防火墙的服务器发出http请求。 这台机器的IP地址(从防火墙之外看)可以从大约5个地址池中select。 每个ip每天可以执行最大数量的请求,之后到第二天才能再次使用; 两个请求之间的时间间隔不重要,只要没有达到每日限制 。 我想configuration防火墙的路由表,以便从客户机,我可以做出http请求,而不用担心它们之间的时间间隔。 我唯一的担心应该是总的每日限制(即ips *最多每个ip请求的数量)。 我尝试了这样的: iptables -m hashlimit -m tcp -A POSTROUTING –syn –hashlimit-name x –hashlimit <MAX REQUESTS>/day -p tcp -s <CLIENT IP> -d <SERVER IP> –dports 80 –to-source <ONE OF THE IPs TO CHOOSE FROM> 并重复五个ips的所有命令(最终的规则,进一步的连接尝试)。 但是用这个configuration我不能以突发的方式做请求。 例如,如果MAX_REQUESTS是9000,我不能在前两分钟内发出9000个请求,因为哈希限制模块处理平均值,并且一旦数据包计数超过指定的平均值就停止匹配规则。 因此,使用这个configuration我可以每9.6秒使用一次这个ip(= 86400/9000):不是我想要的。 所以我要求提供关于可能的iptables规则(或其他)的build议,这将允许我以突发方式执行请求,并保持在每日限制内。 谢谢你的时间 西尔维奥 编辑:我曾尝试使用 – –hashlimit-burst N ,但是这个参数只插入容忍的前N个数据包,即增加N个数据包,可以匹配的规则,无论平均,之后正常的条件适用。 再次,不是我想要的。 更新 […]
我们已经超出了使用单个服务器来监控我们的networking,所以我们正在寻找添加另一个监控服务器。 不幸的是,当我们最初configuration被监视的主机时,我们是短视的。 我们将networking上的主机configuration为只允许从一个IP进行监控。 为所有主机添加另一个IP防火墙规则在逻辑上是不可能的。 我不会进入为什么,但足以说服务器有业主混合,不能随意更新。 所以最初我们想到的是在两台服务器前面有一个OpenBSD机器,在PF上做PF。 对于额外的复杂性,尤其是单点故障,我们并不感到兴奋。 那么,我们可以做一些神奇的事情,让两台服务器使用相同的内部IP地址,而无需添加其他主机? 另外,如果这些主机中的任何一个出现故障,系统需要继续工作。 因此,在两台主机之一上执行NAT并通过第一台路由第二台服务器是不够的。 我们基本上需要在共享IP之前的故障转移源NAT …而不需要增加两个额外的盒子。