最近,加州大学欧文分校的住宅networking部门改变了他们的安全政策 ,包括以下要求: 家庭路由器的重新configuration 家庭路由器将需要具有DHCPfunction和networking地址转换(NAT)禁用。 现在,我只涉及到networking协议,但是我认为不可能知道networking上的设备是使用NAT的路由器还是只是build立大量连接的客户端,而且DHCP完全是OS不可知的。 所以我想知道:除了社会问题*,执行这个政策在技术上是否可行? (当然,大学住宅networking的预算) 我不知道他们是怎么做到的,尤其是在一个networking中,他们需要处理更复杂的用户,他们可能正在改变他们的MAC地址或修改他们的浏览器的用户代理string(对于嗅出?)。 另一方面,就像我之前说过的,我只是涉猎networking协议,所以也许有一些明显的我错过了。 *大概在这个政策改变之后,他们现在可以说“好吧,你没有遵循政策,find被感染的计算机并修复它是你的工作”。 **据我所知,他们其实不是。 理论上上周就开始实行了。
我试图configuration一个Linux服务器作为网关/路由器,但我无法得到它的工作,我设法find的所有信息是NAT相关的。 我有一个公共的IP网关和后面的设备,所以我想要网关简单地路由数据包到互联网 – 再次:没有NAT! 我已经设法成功地访问互联网的网关(这只是一个configurationIP和GW的问题),它后面的计算机可以与它通信。 [编辑:更多信息] 这实际上是一个IPv6块( 2800:40:403::0/48 )(但是我发现大多数实用程序和指令都可以很容易地从IPv4调整到IPv6)。 服务器也有端口: wan: 2800:40:403::1/48 lan: 2800:40:403::3/48 其中一台电脑通过交换机连接到它。 2800:40:403::7/48 服务器上的wan界面可以ping通www.google.com,不会有任何问题。 服务器和客户端上的lan接口可以相互ping通,没有问题(以及SSH等)。 我已经尝试将服务器设置为客户端的默认网关,没有运气: client # route -A inet6 add default gw 2800:40:403::3 dev eth1 server # cat /proc/sys/net/ipv6/conf/all/forwarding 1 我不想要任何过滤/防火墙/等,只是简单的路由。 谢谢。
我想丢弃某个数据包到达一个ip_address之后,它已经到达了POSTROUTING链。 但是,对于iptables,“nat”表不能用于过滤,因此以下不起作用: iptables -t nat -A POSTROUTING -d ip_address -j DROP 那么有什么办法呢? 如果iptables不能这样做,有没有其他的select? 请指教。 谢谢。
我们使用API将拒绝请求的服务,除非源IP先前已被列入白名单。 他们只给我们3个插槽,这是一个问题,因为我们有超过3台机器需要使用API。 解决此问题最常用的技术是什么? 注意:我没有试图针对第三方API的条款和条件做任何事情。 我们正在使用ResellerClub ,我联系他们要求更多的插槽,但他们回答: 我请求你把你的服务器路由到一些IP地址。 因此,这个问题。 思考: 我认为我们可以通过运行一种代理作为一个中间人来解决问题。 我们没有向第三方发送API请求,而是向第三方发送请求,这样所有的请求似乎都来自于他们眼中的一个IP。 有没有共同的软件做这种事情? 这样做似乎比下面的想法更简单,但我错了吗? 正在使用“一个NAT实例”,我应该看看? 例如http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html 。 看起来很复杂 – 有没有更简单的解决scheme? (运行额外的networking复杂性的额外实例是一个耻辱)。 由于我们使用Docker, Weave是否可以相关? 我们可以附加一个静态IP到VPC网关吗? 我看到使用AWS Storage Gateway( 源代码 )是可能的 – 虽然不知道常规的vpc igw吗? 我们的体系结构:我们使用AWS,并将我们的实例放在ELB后面运行的VPC中。 我们经常在不知道IP地址的情况下提出新的实例。 我们在所有机器上运行相同的软件。 机器运行CoreOS,我们的应用程序在Docker容器中运行。
我有非常复杂和长的iptables脚本。 通过手动插入/replace或删除,不可能在现有的iptablesconfiguration上进行操作。 我有一个脚本,只需刷新所有规则和自定义链,然后重新从零开始加载所有内容。 这种方法在一定程度上运作良好。 我有很多敏感的stream量,比如封装在IP数据包中的E1线路等等。 我不能放弃所有规则并重新插入,因为这太慢了。 如果没有超过50ms的规则,许多东西就会中断。 除此之外,一些高吞吐量的stream量会进入部分恢复的防火墙,最后导致非常不好的conntrack条目,这需要手动干预来恢复function。 解决办法是在当前的末尾添加新的规则,然后删除旧的规则,这在理论上可以导致连续的规则集。 问题是,具有自定义链,ipset等的脚本变得非常复杂和容易出错。 问题是 – 你知道任何现有的解决scheme(在iptables之上的额外层),处理我在这里提到的问题? 提前致谢。
我们有一些利益相关方认为,我们工作站使用的公共IP应该有全球可用的DNSlogging,没有DNSlogging会破坏一些互联网服务。 过去我听说过这种需求,但在这个时代,我是否还需要为我们的工作站IP地址空间提供dnslogging?
我有几个在AWS上运行Windows Server 2012的实例。 服务器只是共享networking访问驱动器,因此没有公共IP,并且不在使用NAT的子网中,也没有Internet访问。 这已经是大约2年的情况了。 最近有一些关于这些服务器在2年内没有下载和安装Windows更新的事实,而且这些服务器可能存在安全漏洞。 好消息是,即使他们以某种方式受到损害,他们也不能在我们的networking之外发送数据。 是否值得(从安全pov)添加到子网的NAT只是为了让这些服务器得到更新?
我正在build立一个具有内部IP地址和外部IP地址的Web服务器。 eg Browsers on the network request mysite.example.com and get 192.168.200 Browsers outside the network request mysite.example.com and get 74.125.127.103 我想购买并安装SSL证书。 我怎样才能设置这样的内部和外部的stream量是用证书来保证的? 我需要多个证书吗? 证书对于两个IP地址有效吗?
我使用Ubuntu服务器作为我的用户在NATnetworking上的路由器。 我想强制所有用户使用networking上的本地DNS服务器设置。 即使他们在客户端机器上使用公共DNS服务器,也应将DNS端口redirect(DNAT)到本地DNS服务器。 这是我所想到的: iptables -t nat -A PREROUTING -i eth5 -p udp –dport 53 -j DNAT –to 192.168.1.1:53 iptables -A FORWARD -d 192.168.1.1 -i eth5 -p udp –dport 53 -j ACCEPT 面向NATnetworking的接口是eth5 。 上述规则不适合我。 有没有更好的解决scheme? 编辑1:我的目标是实施Opndnsfilter,以防止networking上的Bittorrentstream量。 目前该filter运行良好,用户使用DHCP获得本地dns服务器。 但我担心,他们可能会发现一个工作,例如,手动指定IP地址和DNS服务器IP地址。 编辑2:以下代码实现番茄固件上的function: if (nvram_match("dns_intcpt", "1")) { ipt_write("-A PREROUTING -p udp -s %s/%s ! -d %s/%s –dport 53 […]
有人可以请帮我出以下情况:我有一台机器,主机3个XL容器,并像他们的路由器。 LXC容器在连接到主机的接口上设置私有IP地址。 我想为容器提供Internet访问权限,我想configuration主机系统,以便仅转换在lxc容器接口上configuration为静态的地址。 我应该尝试configuration主机,以便将每个3个私有地址转换为连接到Internet的主机接口的公共地址?