我正在使用lxc来承载一些服务。 我希望把这些服务之一暴露给外部世界。 我已经在我的主机上使用iptables设置了三个NAT规则,一个是eth0,一个是br0(容器/客户端的网桥),另一个是来自主机本身stream量的OUTPUT规则。 有了这些规则,我可以使用主机IP(10.234.13.185)与我select的端口(4050)到达客人/容器(192.168.3.54:61616)。 这从外界,主机和其他客人的作品。 但是,我不能从服务的客人(192.168.3.54)得到它的工作。 我注意到,stream量进入端口4050的主机,正常情况下在端口61616客人结束。但是,如果来自客人stream量仍然命中主机端口4050,但不会路由到61616,但坚持4050代替。 我做了一个ngrep和我看到的其他客户端(使用telnet): $ host:ngrep -p 4050:10.234.13.185:4050 – > $ client_ip [AR] $ host:ngrep -p 61616:$ client_ip – > 192.168.3.54 [S] * 2,192.168.3.54:61616 – > $ client_ip [AR] $ guest:ngrep -p 61616:192.168.3.54:61616 – > $ client_ip [AR] $ guest:ngrep -p 4050:没什么 但是,当我重复,但从客人本身telnet我看到: $ host:ngrep -p 4050:192.168.3.54:**** – > 10.234.13.185:4050 [S](反复) […]
我试图将我的networking连接到IPSec VPN,为此,我的连接需要来自给定的域。 networking如下: Internal network eth1:10.0.0.1/14 eth0:1.2.3.4 ———————————– MY GW —————–+ | | 192.168.178.4 4.5.6.7 | SERVER ——————- VPN GW —————–+ 我需要从172.30.224.0/28的VPNnetworking中看到,所以在我的网关上,我添加了以下iptables规则: iptables -t nat -A POSTROUTING -d 192.168.178.4 -j SNAT –to-source 172.30.224.1 然后,从我的内部networking,当我ping 192.168.178.4我得到eth1上的请求和eth0上的响应: # tcpdump -n -i eth1 host 192.168.178.4 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening […]
给出以下testing设置: server1 – 1网卡连接到内部networking(10.0.0.2/24)+网关10.0.0.1 服务器2 – 2网卡(1.连接到内部networking(10.0.0.1/24)/ 2.连接到互联网与静态IP地址+默认网关设置) 两台服务器可以互相ping通,server2可以ping通互联网上的地址。 我使用“路由”选项在server2上安装了“远程访问”angular色。 在RRASpipe理器中启用NAT,并select网卡2作为互联网访问卡。 – > server1现在可以通过server2上的NAT在互联网上ping地址。 但只要我运行DirectAccessconfigurationpipe理器,server2上的启用DirectAccess + VPN将停止工作。 RRASpipe理器中的configuration仍然存在。 任何想法为什么? 目标是build立一个内部networking,每个服务器可以通过NAT访问互联网,一台服务器充当VPN / DirectAccess服务器+ NAT路由器。
我想通过我的VPS路由我的个人电脑stream量,并根据需要设置我的OpenVPN为fas,但是现在我遇到了无法设置iptables的问题,因为我的服务器内核禁用了NAT支持。 我会用的命令是 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0:0 -j MASQUERADE 现在有没有办法实现没有NAT iptables规则的行为?
首先,我是通过linux诊断networking问题的新手。 我有我们的局域网服务器间歇性的问题。 他们似乎失去了与networking的所有连接,如果禁用适配器,则重新启用适配器,服务器将恢复联机状态。 值得注意的是,这些服务器都是虚拟化的,并运行Windows 2012 Standard。 现在我在我的路由器(vyatta日志)下面的消息。 源中的IP地址可能有所不同,但是networking中的所有服务器都是这样。 所有stream量都通过来自172.16.0.0networking的eth0进行NAT转换。 eth0是外部的,eth1是内部的。 martian source 172.16.0.5 from 172.16.0.254, on dev eth0 ll header: ff:ff:ff:ff:ff:ff:00:50:56:00:00:05:08:06 现在我从上面知道: 来源IP:172.16.0.5 – 服务器我已经closures了! (重复closures),不能ping通。 来自IP:172.16.0.254 – 路由器eth1地址 头。 所以如果我正确地理解这一点。 ff:ff:ff:ff:ff segment = 255.255.255.255 (broadcast in hex) 00:50:56:00:00:05 = The offending mac address. Which is the mac address of eth1 08:06 = Arp traffic. […]
我有configuration了IIS6的Windows2003服务器,直到现在它工作正常,但因为我启用了NAT为我的用户通过此服务器访问互联网,网站变得不可用。 请注意,我在服务器上有两个NIC,一个是WAN,另一个是LAN。 两个IP都在防火墙后面。 如果我停止NAT,则该网站可在外部使用。 我试图在这个论坛上search答案,但没有find合适的答案,或者没有正确理解。 如果有人能帮我解决这个问题,我将不胜感激。
路由问题在这里。 在双ISP的情况下,有两种方法可以使用外部IP,并将它们置于更高安全级别的Web服务器上? 我遇到的问题是在ISP2的返回path。 我相信这是因为Cisco ASA的默认路由是ISP1。 所以,如果一个请求在ISP2上来的话,它会成功的触发网页服务器,但是当这个数据包被返回的时候,这个请求者不会期望的IP地址在ISP1链路上被取消和重载。 ISP方面: ISP1 = 1.1.1.1/30 ISP2 = 2.2.2.1/30 在我身边: interface e0/1 (ISP1) has IP 1.1.1.2 interface e0/2 (ISP2) has IP 2.2.2.2 static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255 static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255 show route 10.0.0.0/24, directly connected dmz 1.1.1.0/30,directly connected ISP1 2.2.2.0/30,directly connected […]
我已经在运行Keepalived和HAproxy的DMZ中有一对思科ASA [0]和一对Linux机箱,作为另一对Windows服务器(也在DMZ中)的负载平衡故障转移对。 我确信Keepalived工作正常。 我可以成功从DMZ中的另一台主机ping虚拟地址(10.0.1.8); 当我在主站(10.0.1.6)上停止Keepalived时,在备份(10.0.1.7)接pipe虚拟地址之前,几个ping失败。 当我在主设备上重新启动Keepalived时,发生类似的一些故障。 当主服务器或辅助服务器处于活动状态时,此其他主机可以通过HAProxy查看两台Windows服务器上托pipe的网页。 虚拟IP地址有一个到外部地址的静态NAT映射(比如1.2.3.8)。 当我尝试从防火墙外部进行类似的testing时,ping到1.2.3.8只在主服务器处于活动状态时才起作用 – 当我停止主服务器上的Keepalived服务时,防火墙外的ping失败,而DMZ内的Ping成功。 我可以看到,当停止并重新启动Keepalived主虚拟IP地址时,虚拟IP地址的MAC地址条目发生了变化,所以ASA似乎知道主虚拟主机和备用主机何时处于活动状态。 但是,当辅助操作系统处于活动状态时,似乎拒绝入站stream量的NAT。 我最好的猜测是,ASA试图阻止这个地址被欺骗,但在这种情况下,我真的很喜欢ASA来允许它。 我不知道如何做到这一点(或从哪里开始,真的)。 有什么build议么? [0] – 它实际上是一对故障转移configuration,但我认为这不是相关的。
我正在尝试设置一个基本的NAT服务器。 我希望来自外部世界的所有stream量到NAT服务器被redirect到另一台机器,在那里我运行一个lipcap服务来parsing这个stream量。 我在rc.conf的natd_flags部分尝试了-redirect_port和-redirect_address,但没有任何作用…任何想法?
比方说,有人希望通过另一个国家的一些个人电脑来路由他们所有的交通stream量(以阻止一些网站)。 但是,这台电脑是一台普通的Windows 7 PC,在一台装有NAT的路由器后面,这使configuration有些复杂。 为了通过稳定的主机名访问它,路由器上启用了DDNS和DMZ,并且创build了一个传入连接以允许VPN客户端连接。 现在可以build立VPN连接,但只能访问这台特定的PC。 要访问互联网,需要将所有的数据包从VPN路由到LAN接口。 在Windows XP中,我设法通过使用netsh routing ip nat来configurationNAT,它运行良好。 但是在Windows 7中,他们删除了这个function。 有什么方法可以启用它或一些替代解决scheme? 也许route命令可以帮忙吗?