我们的局域网连接到我们连接到互联网的办公室网关机器(192.168.1.1)。 我已经为此设置了NAT /伪装,没有任何问题。 我们也使用OpenVPN连接到我们的数据中心(OpenVPN服务器在数据中心)。 我没有直接configuration所有的内部客户端,而是使我们的网关服务器成为OpenVPN服务器(10.91.3.1)的客户端(10.91.3.102) 我们在VPN上的networking速度是荒谬的,我不知道在哪里丢失什么。 它正在工作 ,但我猜数据包正在丢失。 互联网模式/路由器 – 192.168.0.1 网关eth1 – 192.168.0.2(到Internet)eth2 – 192.168.1.1(到LAN)tun0 – 10.91.3.102(到VPN) 局域网192.168.1.0/24 在网关机器上… *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o tun0 -j SNAT –to-source 10.91.3.102 -A POSTROUTING -o eth1 -j SNAT –to-source 192.168.0.2 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT […]
我有一个服务器与我自己的公共/ 28 IPv4networking。 在这个服务器上,我有一些vServer,用KVM / libvirt完成。 这些vServer与一个虚拟networking连接,NAT到互联网。 每个vServer都有一个私有地址(192.168.xy / 24),并不是每个vServer都应该获得一个公有IP地址。 主机将公共IP路由到其特定的vServer,这对于传入的连接非常有用。 我的问题:从vServer的传出连接,他们从主机获取发件人IP,而不是他们的公共。 有什么办法可以在libvirt中为vServer设置一个公共的发送者IP? 我已经search了ServerFault,但没有find任何东西。 但我不得不承认,我可能不知道这个最好的search条件。
我们如何获得私有子网中的Apache实例? 组态 具有1个NAT实例的公有子网 有1个App实例的私有子网 细节 1.伪装是通过NAT打开的 iptables -t nat -A POSTROUTING -j MASQUERADE 2. PREROUTING通过启用 iptables -t nat -A PREROUTING -p tcp –port 80 -j DNAT –to-destination 10.0.10.102:80 3.在/proc/sys/net/ipv4/ip_forward启用端口转发 4. NAT和应用程序的安全组(将永远不会保留在生产,但纯粹是为了显示所有的端口是开放的) Inbound All Traffic 0.0.0.0/0 Outbound All Traffic 0.0.0.0/0 5.networkingACL Inbound All Ports 0.0.0.0/0 Outbound All Ports 0.0.0.0/0 6.为外部请求进行工作 ping google.com wget google.com 7. Apache正在监听私有子网中的App实例。 […]
我有一个恶意软件分析环境,将拦截使用InetSim任意域和互联网服务的stream量。 我有一个沙箱,其DNS服务器设置为InetSim实例,InetSim将使用自己的IP地址回答任何DNS查询。 这种设置适用于调用域名的恶意软件,但是如果它试图直接连接硬编码的IP地址,我的恶意软件环境就会错过它。 我试图使用iptables将任何出站stream量redirect回到同一子网上的InetSim实例,但数据包似乎在网关机器上的某处丢失。 networking上有三台机器 网关(Ubuntu 14.04LTS,运行VirtualBox,主机专用接口vboxnet0 192.168.54.1) InetSim(VirtualBox VM,Remnux(Debian)Linux发行版,eth0上的VBox主机专用接口,位于192.168.54.2) 沙盒(VirtualBox VM,WinXPSP2,VBox主机专用接口192.168.54.102) 我通常遵循netfilter NAT文档中概述的指南,而我的iptables规则是这样的。 基本上规则是, 出站stream量(不适用于192.168.54.0/24子网)发送到网关192.168.54.1 PREROUTING将目标地址更改为192.168.54.2处的InetSim实例 POSTROUTING将源地址更改为192.168.54.1处的网关 iptable规则 $ sudo iptables -v -t nat -L Chain PREROUTING (policy ACCEPT 17465 packets, 1818K bytes) pkts bytes target prot opt in out source destination 24 1763 LOG all — vboxnet0 any anywhere !192.168.54.0/24 LOG level debug […]
这是我第一次解决这个networking“问题”来解决docker工,我需要一些input。 这是我的情况: 运行NginX的Ubuntu 14.04,作为防火墙和Docker容器运行PHP后端应用程序。 对于INPUT和OUTPUT以及FORWARD,Ufw默认策略设置为DROP。 sysctl规则: net.ipv4.conf.all.forwarding = 0 我的需要: 一个运行在守护进程模式下的容器,其端口8888 / tcp接受来自外部的连接,但仅来自ip 8.8.8.8,并且端口4444 / tcp从localhost 我的问题: Ufw被设置为仅接受来自IP 8.8.8.8的端口8888 / tcp上的传入连接。 因此,基本上: sudo ufw allow in from 8.8.8.8 to any port 8888 proto tcp 然后,我运行容器: docker run -p 8888:8888/tcp -p 127.0.0.1:4444:4444/tcp [other options ] 之后,从没有ip = 8.8.8.8的机器上运行nmap -p 8888 45.45.45.45 ,我希望得到port filtered 。 但…. Host […]
我们的pfSense WAN端口有一个/ 29范围的光纤租用线 61.179.145.40/29 所以我们的pfSense盒子的广域网是61.179.145.42 ,网关是61.179.145.41 。 我们的ISP也发送了61.179.144.128/25 ,下一跳是61.179.145.42 (我们的pfSense框)。 我们的pfSense盒子的局域网是10.0.0.1/19 。 从我们的pfSense盒子的局域网,我们去到一个有6x Ubiquiti Rocket附件的受pipe理的Edgeswitch。 每个火箭的IP为10.0.0.0/19 ,无线客户端(也是Ubiquiti的)的IP为10.0.0.0/19 。 然后,我们可以为每个客户端IP地址设置1:1的NAT。 例如,客户端1: 我们在pfSense中设置1:1的NAT规则,将61.179.144.160分配到10.0.0.16 。 当我们在10.0.0.16上去whatismyip.com时,它工作正常。 不过,我不喜欢这个设置。 我宁愿直接将我们的路由范围的子网范围直接分配给客户。 因此,当客户将他们的设备插入我们的terminal时,他们input他们的外部IP,子网和网关(在pfSense上的接口上定义的接口,甚至是我们提供给他们连接的路由器)。 我们通过在有线环境中使用VLAN来简单地禁用pfSense上的NAT来pipe理这种情况。 希望这是有道理的。
我以前的DSL调制解调器有一个名为“ DMZ主机 ”(在其他平台似乎被命名为默认主机)的function。 当您selectnetworking中的计算机作为DMZ主机时,它会将每个非手动转发的端口转发到该计算机,并通过DHCP将该调制解调器的外部IP分配给该计算机(dmz主机)。 所以,实际上,它将复制外部IP并将其提供给内部计算机。 由于各种原因,这是很方便的,特别是挑剔的程序(随机端口)或游戏。 但是现在我已经改用了光纤,调制解调器没有这个function。 我打算创build一个用于路由目的的Linux机器。 有没有办法用iptables重新创build相同的function? 涉及其他平台/软件的提示非常受欢迎。 为了更好的清晰起见,我附上了一个图表(从这个问题的图片编辑: 从LAN内部访问DNAT'tednetworking服务器 )在这里: 提前感谢! 我一直在试图find有关设置这个信息,但我一直无法。 也许我使用了错误的search条件。
在具有不同内核版本的许多服务器上效果相同。 有多个Iptables DNAT规则: iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 12345 -j DNAT –to-destination 10.20.30.40:5678 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 23456 -j DNAT –to-destination 10.11.12.13:5789 …. iptables -t nat -A PREROUTING -i eth0 -p udp –dport 34567 -j LOG –log-prefix 'natudp: ' iptables -t nat -A PREROUTING […]
我正在使用一个2851,在GE0 / 1我有一个BT OpenReach VDSL调制解调器和GE0 / 0去交换机和我的networking的其余部分。 所需的configuration非常简单,主要工作,我希望路由器处理调制解调器的PPPoE,操作一个典型的NATconfiguration(有一些端口转发)和DNS / DHCP。 简单的权利? 我遇到的问题是,虽然我的networking上的客户端可以到达互联网没有问题,当试图从路由器本身到达互联网时,似乎并没有把数据包放在沿线的正确方向。 .. 事实(注意,路由器的IP是192.168.1.254): 路由器正在发行没有问题的DHCP租约 从我的networking上的个人电脑,我可以ping'192.168.1.254' 从我的networking上的PC上,我可以ping“8.8.8.8”。 从我的networking上的个人电脑,如果我把我的DNS服务器设置为'8.8.8.8',我可以解决'google.com'。 从我的networking上的个人电脑,如果我把我的DNS服务器设置为'192.168.1.254',我不能解决'google.com'。 从路由器,我可以ping我的本地networking上的客户端 从路由器,我不能 ping“8.8.8.8”使用命令: 平8.8.8.8 在路由器上,我可以使用以下命令ping“8.8.8.8”: ping 8.8.8.8 source 192.168.1.254 从路由器,如果我删除了NATconfiguration,我可以ping“8.8.8.8”,我也可以parsing“google.com” 所以,虽然路由器完全有能力接触到互联网,并且可以在我的本地networking上为客户端正常工作,但是我的configuration却不尽如人意,并且阻碍了路由器到达Internet的默认位置状态“(缺乏更好的术语)。 对我来说有趣的事情之一是,这个(几乎相同的)configuration在旧的2611XM上运行良好,尽pipe运行了IOS的不同版本和function集合。 这是configuration: ! version 15.1 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname 2800-router ! boot-start-marker boot-end-marker ! ! […]
TL; DR – 我正在寻找通过代理服务器发送所有外部stream量的方式,但不通过代理服务器发送所有内部stream量。 我怎样才能做到这一点? 我的最终目标是将来自phantomjs节点的所有外部stream量转发到互联网上的一组代理服务器,并将所有去往我的服务器(10.X.1.X)的stream量保留在外部代理服务器上。 这是我的理解,我需要使用透明代理。 我试图用HAProxy和IPFire没有成功。 我的下一个尝试是使用IPTables。 我在虚拟机上使用CentOS 6.8上的IPTables v1.4.7。 IP地址是10.2.1.234。 我已经成功地build立了IPTables,用以下IPTables规则将所有stream量循环到互联网上的5台代理服务器: Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination 1 DNAT tcp — 0.0.0.0/0 0.0.0.0/0 statistic mode nth every 5 tcp dpt:80 to:104.36.80.240:80 2 DNAT tcp — 0.0.0.0/0 0.0.0.0/0 statistic mode nth every 4 tcp dpt:80 to:104.36.81.104:80 3 […]