我使用Linux Centos 6.3作为NAT的Internet网关。 我想允许特定主机访问Internet,但是我不想使用它的IP地址,因为它可能从DHCP服务器获得新的IP地址。 相反,我想使用一个特定的MAC地址的规则。 我用了以下,但它不起作用: iptables -t nat -A POSTROUTING -o $INTERNETDEVICE -j MASQUERADE iptables -A INPUT -i $INTERNETDEVICE -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -d 10.1.1.0/24 -j ACCEPT iptables -A FORWARD -m mac –mac-source {my mac address} -j ACCEPT INTERNETDEVICE是互联网的PPP设备 如果不是我input的第四条规则 iptables -A FORWARD -s 10.1.1.39 -j ACCEPT 它完美的作品。 但是使用mac地址,它不起作用。 […]
我有几个像这样的端口转发规则 iptables -t nat -A PREROUTING -p tcp –dport 46000 -j DNAT –to-destination 172.16.8.2:46000 iptables -A FORWARD -p tcp -d 172.16.8.2 –dport 46000 -j ACCEPT 我想知道是否有办法在一行而不是两行中添加新的转发规则,所以我不必input两次相同的数据。 我的意思是这样的规则: 在nat PREROUTING转发数据包到目的地并将其标记 在FORWARDfilter中,允许所有使用规则1标记的数据包 可能吗?
我有一个pfSense防火墙,我需要连接到远程站点(形成我的客户端)。 我遇到了几个问题,并没有看到任何方式的stream量。 这是我的设置: LAN是192.168.0.0/16 我有一个WAN接口作为默认网关。 我有一个WAN2接口,我想使用隧道到远程站点。 远程站点要求我使用172.27.10.0/24本地IP进行连接, 172.27.10.0/24将无法路由我的stream量。 他们的IP范围(远程)是10.100.0.0/16 。 这就是我已经做的 build立IPSec隧道。 这工作,我可以连接。 我在IP Addresses为172.27.10.0/24的LAN接口上创build了一个types为IP Alias的虚拟IP(防火墙 – >虚拟IP)。 我在系统 – >路由中添加路由,所以10.100.0.0/16经过WAN2 。 同样为172.27.10.0/24 ,我添加了一个路由,该stream量通过WAN2 。 在防火墙 – > NAT,Outbount上,我为广域网2创build了一个规则,源192.168.0.0/16 ,目的地10.100.0.0/16和转换地址我创build的IP别名( 172.27.10.0 )。 使用所有这些设置,我无法连接到任何远程地址。 更重要的是,我没有看到连接的隧道,所以我猜测它没有得到它所需要的stream量。 我也没有在防火墙日志中看到任何有用的信息。 我做对了吗? (或稍微靠右?)。
我们是一家SaaS提供商,在我们的数据中心和客户的站点之间build立一个IPSec VPN,以便他们可以直接从他们的局域网访问他们的托pipe数据库服务器。 我们的“参考devise”并没有将我们的内部LAN范围暴露给客户,而是仅仅是NAT所需的服务器,在VPN内的另一个“DMZ”私有地址之后,而客户也是这样做的,以防止他们的内部范围暴露给我们。 例如,在“参考”devise中, Customer Server –> Cust VPN NAT ====== VPN ======= My VPN NAT –> My server 192.168.27.4 –> 10.10.10.4 =================> 10.20.0.5 –> 192.168.3.16 只要我们可以同意在私有范围(10.10。和10.20。)之间使用非冲突的NAT,就可以正常工作。 我们只接受来自客户的入站连接,并且在上面的例子中将仅看到来自10.10.10.4的stream量。 今天,一位客户表示,他们只能使用公有IP作为两端的NAT,以避免发生范围冲突。 他们是一个拥有数千个备用公有IP的大型全球性公司,所以对他们来说没有任何问题。 我们是一家科罗拉多州的小型SaaS提供商,他们必须向我们的提供商certificate每个公共IP请求的正确性。 Customer Server –> Cust VPN NAT ====== VPN ======= New Public IP –> My server 192.168.27.4 –> 1.2.3.4 =================> 5.6.7.8 –> 192.168.3.16 我们没有问题帮助客户,通过这个过程,并获得公共IP,但.. 这是一个常见的设置? […]
我有一堆公共IPv6地址和一些只运行IPv4的服务。 我可以使用NAT64来连接这些服务吗? 有没有像代理或另一种解决scheme?
我有一个问题,允许我的两个子网之间的stream量。 这是我build造的结构。 X0接口有我们的Windows服务器,它处理DHCP / DNS等X1有广域网连接。 Sonicwall正在处理X2 DHCP。 X3接口连接到48端口交换机上不同的vlan。 Sonicwall也在这个networking上处理DHCP。 所以这就是我想要做的。 X2上的networking是用于我们的客户无线的; 我不希望它能够访问任何其他networking,只是互联网,所以我所有的阻止在防火墙。 那里没有问题。 X3networking将用于可编程控制器,并且需要能够访问我们的计算机所在的X0networking。 这是我的问题所在。 我不能分别在接口X0和X3上的192.168.2.xxx和192.168.1.xxx之间。 我在防火墙中设置了这些规则。 Lan主要子网是X0上的192.168.2.0 。 所以,如果我没有弄错,这将允许通过防火墙两者之间的stream量。 现在这是我有点困惑。 我是否需要使用NAT从X0获取stream量到X3 (反之亦然)或静态路由,还是两者兼而有之? 目前我有两个,但我怀疑他们做的正确(也在截图中)。 我已经尝试在两者之间平安运气,没有运气。 任何build议,或者如果你看到我的设置有什么问题,非常感谢。 如果您需要更多信息,请告诉我。 谢谢大家! 编辑:所以我发现我既不NAT或静态路由,在防火墙的设置是不够的。 我现在可以从192.168.1.xxxnetworkingping,但是我无法访问192.168.2.xxxnetworking上的服务器。 当我尝试访问我得到“重新连接到Z:发生错误Z:到server Microsoft Windowsnetworking:本地设备名已被使用,此连接尚未还原。
我想知道是否有可能互联网之间的DHCP服务器和networking“分配”? 所以基本上是这样的: ————– ————- ————- | DHCP Server | | DHCP | | Clients | | |—–Internet—–| Relay Agent |——| 192.168.0.* | | | | 192.168.0.1 | | | ————– ————- ————- 我看到的行为是DHCP服务器提供192.168.0。* IPs并将它们发回到192.168.0.1,它不能达到。 我试图伪装中继代理发送的数据包,但似乎没有工作。 从我读到的,这是正常的行为,因为DHCP服务器使用GIADDR作为其OFFER的目的地址,而不是从中继代理接收的数据包的实际源IP。 所以,考虑到我的DHCP服务器需要如上所述“在互联网的另一端”,我怎么能得到这个工作? 有没有设置为dhcpd做到这一点,或正在创build一个包含DHCP服务器和中继代理的VPN的唯一方法? 谢谢!
我正在设置以下内容: —[IVR 1] | (internet)—-[CentOS box]—+—[IVR 2] | —[IVR 3] CentOS盒子的内部接口是192.168.110.1,IVR是192.168.110.101-103。 我想要做的是将一串外部UDP端口映射到每个IVR – 例如,端口10000-14999映射到IVR 1,15000-19999映射到IVR 2等。我遇到的问题是即端口必须直接映射 – 即从互联网到端口10000的内容将被发送到IVR上的端口10000,IVR 1中的端口10000发送的内容将从networking上的端口10000发送出去,面向CentOS盒子的界面。 iptables的NAT的东西都带有警告,它会尽量不重新映射端口,但可能不得不。 现在,我的选项如下所示: 单独映射端口(15,000 iptables行,每个端口一个) ipables -t nat -A PREROUTING -i eth0 -p udp –dport 10000 -j DNAT –to 192.168.110.101:10000 在UDP conntrack超时的情况下build立一个内核 这两者都非常有吸引力。 我错过了什么?
我有以下设置: Box A eth0 – 192.168.1.101 eth1 – 10.10.2.1 Box B eth0 – 10.10.2.2 方框A通过eth0访问互联网。 我希望Box B可以在192.168.1.0/24networking上看到,所以我可以直接从另一个Box上SSH,但Box A也必须可用。 我想在Box A上创build一个到eth0的虚拟ip,然后把所有的stream量转发到Box B ifconfig eth0:0 192.168.1.102 iptables -t nat -A PREROUTING -i eth0:0 -j DNAT –to-destination 10.10.2.2 但似乎并不奏效。 此外,IP转发启用和框B有互联网接入 iptables -t nat -A POSTROUTING -j MASQUERADE
我已经在连接到局域网中的其他实例的aws服务器上实施了软件VPN服务器。 我可以用ssh [email protected] ssh进入服务器,没有问题。 我遵循这个指南 我的目标是允许我使用vpn从我的笔记本电脑访问LAN上的远程aws服务器,使用ssh [email protected]或http://hostname.domainname.com 。 SSH现在正在工作,但我不知道如何获得一个网页。 我想通过VPN的网页的原因是,该网站是一个pipe理后端,我想限制访问来自IP地址的用户。 我添加了net.ipv4.ip_forward = 1到sysctl和 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -m state –state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT route add -net 10.0.0.0/8 gw 10.0.1.10 ifconfig -a vpn_tun0 Link encap:Ethernet […]