我在Debian Squeeze机器上使用了Strongswan VPN服务器。 传入的VPN客户端获得192.168.99.0/24子网的IP。 由于我使用这个VPN主要是在使用非encryption的WLAN时进行encryption,所以我正在使用iptables做一个源NAT到互联网。 (因为服务器有一个静态的ipv4地址,所以我优先selectNAT。 目前我正在使用下面的iptables命令 # used for StrongSWAN iptables -t nat -I POSTROUTING -s 192.168.99.0/24 -o eth0 -j SNAT –to-source <public IP adress of server> 我的问题是:使用此规则时,从此192.168.99.0/24子网传入的每个stream量现在都将被接受并进行NAT。 我想更具体一点,只有通过此VPN隧道进入服务器的stream量才被此规则接受。 在使用两个networking设备的传统路由器设置中,我将检查传入设备是否可以实现这一点。 Strongswan中是否有相当的东西(例如虚拟networking设备)? 如何过滤通过隧道到达服务器的数据包,以便只有这些数据包被NAT?
我对NAT的简单理解就是这样的: 两台客户端PC 192.168.1.2和192.168.1.3与src port = 12345build立连接。网关接收到这些请求,并且需要使用NAT,因此其中一台保持为12345,另一台保持为12346 IP 1.1.1.1。 192.168.1.2:12345 1.1.1.1:12345 <-> 2.2.2.2:80 —–> 192.168.1.1 —–> 192.168.1.3:12345 1.1.1.1:12346 <-> 3.3.3.3:443 当数据包返回到1.1.1.1时,它必须映射到正确的内部IP和端口。 这将需要某种映射表。 我想知道,这张桌子通常会持续多久? x分钟/小时? 直到它看到一个连接closures? 例如,如果我有一个不规则地发送数据的协议,是否存在映射已经消失的风险,而另一方则认为连接是closures的(没有Ack)? 在Linux中,有没有办法看到这个表?
我有一个使用NAT运行在防火墙后面的debian web服务器(nginx)。 Web服务器正在托pipe几个需要SSL和自己的IP地址的站点。 我希望SSL站点只监听其特定IP地址,共享站点只监听共享IP。 现在我正在监听所有域的通配符*,我假设这意味着它正在侦听单个局域网地址,并且根据主机名而不是IP地址提供站点内容。 我想纠正这一点。 什么是正确的行动? 是为每个IP地址创build一个1:1 NAT,并将LAN IP添加到networking接口来侦听,然后将LAN IP分配给特定的域? 或者,还有更好的方法? 有什么方法可以传递公共知识产权,并据此采取行动? 谢谢。
我想设置一些NAT策略,以便某些机器只能出站访问http / https。 他们不应该能够进行端口扫描或从他们的机器的其他任何东西。 目前我的NAT规则是: -A PREROUTING -d 1.2.3.4 -j DNAT –to-destination 10.10.1.10 -A POSTROUTING -s 10.10.1.10 -j SNAT –to-source 1.2.3.4 我有这个共同的规则: -A POSTROUTING -o eth0 -j MASQUERADE 1.2.3.4是公共IP,10.10.1.10是内部IP。 这允许直接通过所有入站和出站访问NAT。 我尝试了以下的POSTROUTING规则而不是上面的规则: -A POSTROUTING -s 10.10.1.10 -p tcp –dport 80 -j SNAT –to-source 1.2.3.4:80 但是,这似乎并不奏效。 添加规则后,我仍然可以从工作站使用RDP。 回顾一下,我的目标是让某些工作站只能通过http / https访问Internet。 所有其他出站stream量应该被阻止。 所有的交通应该被允许。 我希望networking中的所有其他工作站都使用现有的NAT策略,以允许所有出站stream量进行NAT。 更新根据@ Zoredache的回复,我现在有以下的出场规则。 -A POSTROUTING […]
我有一个在169.254范围内具有静态IP的机器。 。 不能改变。 我需要从另一个networking访问这个。 我的想法是使用路由器,并有广域网端口为192.168。 。 设备和LAN端口是192.168。 。 设备。 我已经尝试configurationLAN地址为169.254.1.1的路由器,但不喜欢这个IP地址。 我还能做些什么来完成这个NAT?
假设2个用户在NAT后面有两个不同的ISP。 MSN Messenger如何在一个NAT后面工作? 谢谢
这是这个问题的后续。 我遇到了不支持发夹的路由器的问题。 有关详情,请参阅上面的链接。 现在我想build立一个本地DNS服务器,在我们的局域网中的主机可以用来解决公共主机名(通常的webbrowsing …)。 另外我想修改某些区域。 在我们的局域网中,我们有一些服务器为我们的公共DNS区域中没有的资源提供服务。 我们总是必须相应地configuration我们的本地LMHost文件。 例如,我们有一个在本地Web服务器上运行一个新function的分段安装,我们不能直接使用IP访问它,因为网站运行在一个命名的虚拟主机容器中,我们必须configurationLMHost文件来指向某个域到本地IP地址。 而现在我们也有头发钉住的问题。 所以我的问题是:我可以使用什么软件? 将绑定做的工作? 我只需要在区域中插入一些条目。 尽可能简单。 我们有本地的Linux / Ubuntu服务器。
我目前正试图build立一个安全的networking服务器和内部openvpn服务器的networking。 networking服务器运行的是Windows 2008,VPNnetworking正在运行来自OpenVPN的访问服务器。 我遇到的问题是我希望能够从NAT外部访问这两个服务器。 我想要做这样的事情: Outside | | NAT | ———————————— | | | test.org vpn.test.org dns.test.org 并在不同的机器上托pipetest.org和vpn.test.org。 我希望能够从433港口和外部进入。 我不知道如何去做这个,所以任何帮助将不胜感激。
有一个网站阻止了ISP的子网(因为攻击来自该networking)。 ISP给它的用户只有NAT的IP地址,所以客户端在他们的路由器上创build了10.xxx的IP地址。 我要求ISP停止这样做(给客户端IP地址),或者使用IPv6或者打电话给攻击者重新安装桌面,因为这可能是病毒感染的。 ISP回答说:这是使用NAT的安全防范措施。 有人可以解释NAT如何使networking更安全? AFAIK NAT不是为了安全而devise的。
我正在接pipe以前的IT人员的IT职责。 我们有一个来自Comcast的50mb电缆调制解调器连接以及5个静态IP地址: XXX.XXX.XXX.180 XXX.XXX.XXX.181 XXX.XXX.XXX.182 XXX.XXX.XXX.183 XXX.XXX.XXX.184 我们正在更换我们的防火墙机器。 目前防火墙是唯一连接到电缆调制解调器的东西。 然而,电缆调制解调器上有多个以太网端口,类似于路由器。 我组装了一台新的防火墙机器,并开始testing和configuration它。 这意味着我也需要将它插入电缆调制解调器(记住它有多个以太网端口)。 所以,现在多台计算机插入电缆调制解调器,电缆调制解调器如何知道在哪里路由stream量? 如果互联网上的一些请求是由XXX.XXX.XXX.181发送给我们的电缆调制解调器,那么电缆调制解调器如何知道哪个连接的计算机应该发送stream量? 看看有线调制解调器的networking接口,关于路由或NAT的IP地址,似乎没有什么特别的设置。 那是因为当只有一台计算机连接到调制解调器时,默认情况下所有stream量都被发送到它? 现在我要(暂时)将多台计算机插入电缆调制解调器,是否需要在调制解调器本身指定路由或NAT规则? 接下来我要和康卡斯特谈这个问题,但是我想我会先在这里问一下,这样我才能更好地掌握这种types的东西是如何发挥作用的。