我正试图围绕我的新的守卫M400设置。 以下是我需要弄清楚的以及迄今为止所做的工作。 我的ISP提供给我一个P2P IP,我插入到我的界面(107.地址)。 他们也有我在一个不同的子网上的IP块(完全不同的范围,50.范围),所以保持在你的脑海。 我也有一个私人的(192.),我想使用。 我有一个简单的192接口0设置与P2P IP(外部)和内部设置(信任)。 我在防火墙后面有几个交换机: 切换一个(名称:CORE1)是一个48端口,它将有许多VLAN。 如果明显要成为防火墙(中继线)端口,那么端口1。 端口2将是另一台交换机(名称:CORE2,VLAN = 4)的上行链路,用于单独的摄像机networking。 一些其他的端口将被私人的火葬箱所在的办公室(可信networking)VLAN = 5 48端口(CORE1)上的其余端口将被插入到需要分配给它们的公共IP的服务器中,并且当与外部通信时,它们需要显示其公共IP,而不是我的火箱的IP(通常情况下显示P2P地址) 我想我得到了这个工作(有点),但创build一个可选的界面,分配我的块的第一个IP地址,然后我把另一个块设置到我的笔记本电脑,它的工作神奇。 问题是这种方法,我需要有多个连接从火箱到交换机,我不认为会工作。 我试过在盒子上设置VLAN,但是我想创build一个独立的界面,我不确定我想要做什么? 我已经包含了一个我制作的临时graphics来帮助你形象化: 现在,我的火箱上的接口如下所示: 所以你可以看到三个接口。 我刚刚做了“VLANUplink”只是为了testing,所以这是垃圾。 我真的想尽可能地压缩所有这些。 我尝试使用VLAN属性,因为某些原因我想为VLAN设置一个特殊的接口,这就是为什么你看到“vlanuplink”接口。 再次,这是垃圾。 对于那些把我引荐到网上的文章,我整晚读了很多文章,因为我没有足够的“名气”,所以我不能张贴。 但请相信我。 我在这里find了这个很棒的文章: 由于我不能发布链接,去谷歌键入“使用后面的xtm公共IP地址”这是第一个PDF。 我想我会被认为是“场景1”,但如果我错了,请纠正我。 请参考我画的比较我的临时networking图。 我想要防火墙后面的所有东西,但防火墙后面什么都不能相互通信,这就是为什么vlanning在那里。
我能够使用下面的snat规则使NAT工作: iptables -t nat -A POSTROUTING -o em2 -j SNAT –to 192.168.2.2 我的问题是:当我发出命令时为什么不显示这个规则: iptables -L 甚至 iptables -L -v
*我有以下情况:* Bob希望直接与Alice交互(encryption交互,没有中介服务器将转发他的数据包)。 两者都在NAT后面。 Alice有一个公共ipv6地址和一个ipv4地址(在非对称NAT之后)。 Bob有ipv4端口转发的ipv4地址,但是Alice没有端口转发她的ipv4stream量。 Bob知道Alice的ipv6地址和她当前的ipv4地址,Alice知道Bob的公共ipv4地址。 Bob想直接与Alice发起networking通信,但Alice的私有ipv4地址在NAT后面不可访问。 Bob必须尝试从他的ipv4地址到达Alice的ipv6地址。 鲍勃怎样才能到爱丽丝? 是6to4的解决scheme? *背景资料:* Alice和Bob都在运行点对点的应用程序(我正在开发)。 这个点对点应用程序在启动时试图打开Alice和Bob的ipv4端口。 uPnP(通用即插即用)端口开放库在Bob的路由器上使用其ipv4因特网工作,但不在具有双ipv4 / ipv6因特网的Alice路由器上工作。 这就是为什么鲍勃有他的ipv4端口打开时,他运行的应用程序,但爱丽丝没有。 假设STUN和TURN不可用–Bob想要启动与Alice的直接连接,而不使用中间服务器(STUN或其他)来促进连接。 Bob会怎么做呢(假设Alice和Bob都在NAT后面,而且他们的NAT都不是对称的NAT)? *大清晰* 鲍勃不是从字面上从ipv6地址发送ipv6数据包。 爱丽丝的互联网既有ipv4也有ipv6(爱丽丝可以到达ipv6启用/就绪的网站,比如谷歌,她可以到达只提供ipv4的网站)。 因此,如果Alice向Googleinput“我的ip是什么”,她会得到一个ipv6地址(尝试它)。 但如果她去http://checkip.amazonaws.com (也尝试这个 – 它不是ipv6启用),她只会得到她的ipv4地址。 我想知道Bob是否有可能用ipv4数据包(ipv6 over ipv4或6to4)将ipv6数据包打包发送给Alice,作为NAT穿越的一种手段。 *“无中间人”是什么意思? * 我的意思是没有TURN转发或任何其他forms的转发,其中中间服务器接收到发往Alice的数据包的副本,并将该副本转发给Alice。 *如果Alice有一个ipv4地址,而Bob和Alice知道彼此的ipv4地址,为什么Bob不把他的ipv4地址的数据包发送到Alice的ipv4地址? * 鲍勃有端口转发,爱丽丝没有端口转发。 即使Alice正在等待私人端口30000上的连接,当Bob从他的ipv4地址的公共端口30000发送一个数据包到Alice的公共端口30000她的ipv4地址时,Alice的NAT也不会让Bob的数据包通过。
https://www.cloudshark.org/captures/6f185eb12e97 172.30.5.1带有桥接networking的Linux虚拟机,运行在另一台服务器上,虚拟机只有RFC1918地址 144.76.103.194具有一个接口的Linux主机,连接到互联网和RFC1918广播域,充当VM的NAT网关 86.59.21.20 Linux HTTP Server 端口29909上的TCP数据stream遇到RTS从144.76.103.194延迟,已经重新传输,从86.59.21.20到达。 帧#581 – 发起序列522729重新发送 帧#615-序列522729已被重发 帧#1727 – 原始序列522729到达,延迟~600毫秒 帧#1728 – NAT主机将RST发送回HTTP服务器 直接从NAT主机启动的连接正常工作。
我正在尝试设置高度可用的AWS Magento部署。 这里有一个参考部署: http : //docs.aws.amazon.com/quickstart/latest/magento/architecture.html 基于这一点,我想build立自己的,我喜欢他的想法,只有NAT实例在公共子网。 RDS实例和Web服务器都在私有子网的NAT后面。 我发现这与我迄今为止的大部分理解都有所不同,那就是networking服务器必须位于公共子网中才能够从互联网访问。 我缺less的是如何configuration在公有子网中运行的NAT实例,以便将端口80/443端口转发到专用子网中的NAT后面相应的networking服务器。 我不相信这可以通过单独的NAT实例上的安全组来完成。
今天当我testing运行一个tracert命令(windows + Wireshark)时,我看到一个出站ICMP_ECHO_REQUEST数据包,其sourceIP为“192.168.1.55” – 我的本地IP地址。 紧接着一个ICMP_TTL_EXCEEDED数据包从互联网野生主机发送回复给我,我的EchoRequest数据包中途死亡。 应答包在有效载荷部分“引用”我的“原始数据包”的前28个字节,在这里我可以看到sourceIP保留“192.168.1.55” – 我的本地ipAddress 。 一个问题立刻从我脑海中跳出来:“NAT没有在IP-Header中重写”本地“sourceIP,还是用”payload“重写了它? AFAIK在TCP或UDP数据包的情况下,NAT将在数据包的IP报头中用外部“IP:PORT”代替本地“ip:port”。 所以我想知道: 1 – NAT是否在数据包的有效载荷部分中replace它们? (或者只使用types为TTL_Exceeded的ICMP数据包来做这件事?) 2 – 如果1不是真的,这是一种安全威胁吗?
背景(跳过问题) IPv4需要NAT来保护地址。 NAT的防火墙属性也有利于安全。 除非在最后X秒内发送出局数据包的local-address:port -> remote-address:port remote-address:port -> local-address:port ,否则IPv4 NAT防火墙规则是“阻塞传入数据包的remote-address:port -> local-address:port ”。 对于一个对等的UDP应用程序,这需要一个介绍服务器来进行NAT打孔。 要使Client连接到Server (都位于防火墙NAT, FW ),我们需要执行以下步骤: periodic keep-alive Introducer <——> Client FW FW Server —————————————— request introduction ——-> Introducer Client FW FW Server ———————>X request connection —————————————— notify introduction [Client address:port] Introducer ——-> Client FW FW Server —————————————— Client FW FW Server […]
我认为我说的是正确的: 操作系统通常使用IANA临时端口范围49152至65535。 应用程序生成一个随机的临时端口来build立从客户端到服务器的连接。 NAT转换IP地址,通常是私有的。 那么,临时端口如何与NAT一起工作? 据我的理解(我敢肯定,我错过了一些东西),不应该有一种可能性(在较大的networking上更高),例如,如果两个临时端口可能在networking或服务器上发生冲突或者更多的客户端碰巧生成并使用相同的随机临时端口通过NAT连接?
我有我的应用程序托pipe在AWS上,我使用负载平衡器,所以我必须EC2实例了。 我现在需要连接到一些外部服务,但是这个服务允许从单个IP连接。 我正在考虑为我的应用程序设置NAT网关,但我不知道是否可以为我的应用程序的所有可用区(我的应用程序configuration为3 AZ)设置一个。 你有任何想法如何使所有AZ /子网上的所有EC2实例的出站请求具有单个IP地址?
我目前有我的思科ASA 5505防火墙configuration为从外部接口转发端口80到我的dmz接口上的主机。 我还需要允许我的内部接口上的客户端通过在其浏览器中input公共ip / dnslogging来访问dmz中的主机。 按照这里的说明,我可以做到这一点 ,导致以下configuration: static (dmz,outside) tcp interface www 192.168.1.5 www netmask 255.255.255.255 static (dmz,inside) tcp 74.125.45.100 www 192.168.1.5 www netmask 255.255.255.255 (其中74.125.45.100是我的公网IP, 192.168.1.5是dmz主机的IP) 这个工作很好,除了我的networking有一个dynamic的公共IP,并且这个configuration因此会在我的公共IP改变时立即中断。 有没有办法做到我想用dynamicIP? 注意:添加内部DNSlogging不会解决我的问题,因为我有多个dmz主机映射到公共IP上的不同端口。