所以我inheritance了思科ASA 5505,我没有任何经验的东西! 有两个WAN接口的networking接口,当然还有LAN接口。 现在在NAT规则中,有两条规则: Match Criteria: Original Packet Action Translated Packet: SourceInt DesInt Source Destination Service Source Destination Service 3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original 4 inside Outside-ISP2 obj_Any2 any any Outside-ISP2 original original 如果我删除了这些NAT中的任何一个,那么在所述接口上没有人可以访问局域网之外的任何东西,我从中删除了NAT规则。 这条规则是干什么的?
我有一个虚拟的HyperVnetworking,由一些虚拟开发和testing服务器以及一个全function域,DNS,DHCP服务器使用; 我想让许多虚拟服务器与我们的主要物理networking分开(广播风暴,良好的实践等),但是仍然允许他们访问通过物理networking上的网关可用的互联网。 物理networking使用子网192.168.7.1/24,该虚拟networking使用10.10.7.1/24。 我希望我可以给我的虚拟域控制器第二个“外部”的超vnetworking适配器,并以某种方式与networking的其余部分共享互联网连接(假装它是网关) – 我假设将NAT其他服务器的请求就像路由器一样。 我不知道如何做到这一点。 我试过ICS但没有运气。 任何人都可以build议我怎么能做到这一点? 能够从虚拟机访问物理networking上的服务器和文件共享的奖励点:)
[为长长的序曲道歉; 一半的问题。] 我有一个工作的OpenVPN设置,VPN服务器将路由返回到一个客户端(以下称为“路由器”),然后可以将自己的子网暴露给运行服务器的计算机以及运行VPN客户端的其他计算机。 这是通过使路由器使用iptables的SNAT目标来实现的。 例如,假设VPN服务器和其他不起眼的客户端位于10.0.77.0/24networking上,那么VPN会创build一个覆盖192.168.252.0/24的tun0接口,而私有子网为192.168.33.0/24。 OpenVPN服务器configuration(除其他外) client-to-client route 192.168.33.0 255.255.255.0 push "route 192.168.33.0 255.255.255.0" 当Linux“路由器”机器,192.168.33.10让我们说,连接到VPN它得到了一个路由,所以它的表看起来像 192.168.33.0 * 255.255.255.0 U 0 0 0 eth1 192.168.252.0 192.168.252.5 255.255.255.0 UG 0 0 0 tun0 192.168.252.5 * 255.255.255.255 UH 0 0 0 tun0 然后将其configuration为运行 sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -s 192.168.252.0/24 -j SNAT –to-source 192.168.33.10 它也可以添加一些iptables规则来创build一个防火墙,但是以上就足以让运行OpenVPN服务器(或另一个客户端)的机器连接到,比如192.168.33.11:数据包通过tun0发送到路由器,路由器使用SNAT将源IP设置为自己的192.168.33.10,然后将数据包转发给其兄弟机器192.168.33.11。 […]
我有一个mikrotik RB750(6.22)作为我的局域网的网关。 这里是基本configuration: Ether1-WAN1 (1.1.1.10/24) IPs are hidden for privacy Ether2-WAN2 (2.2.2.20/24) Ether5-LAN (192.168.1.1/24) IP路由: AS 0.0.0.0/0 1.1.1.1 reachable on Ether1-WAN1 Distance 10 S 0.0.0.0/0 2.2.2.2 reachable on Ether2-WAN2 Distance 10 有一些端口redirect工作正常。 我的局域网在WAN1上使用互联网(默认select)如何configuration单个IP地址(服务器)到NAT到2.2.2.20,以便使用WAN2。 我希望两个互联网链接都在运行,而不是在故障转移模式。 我创build了一个srcnat来解决2.2.2.20。 在whatismyip.com我看到我的IP更改为2.2.2.20但是当我跟踪到任何互联网的IP,我看到它走出了1.1.1.1 提前致谢
我有一个服务器托pipe的服务器使用思科ASA来做NAT。 我遇到的问题是,使用公共IP的内部服务器会将其公有IP作为源IP。 这基本上打破了一个应用程序,将尝试绑定到外部IP由于某种原因。 提供商不会透露在ASA上的configuration,我问是否有人可以解释这是什么东西,我可以问供应商做什么 – 在这一点上,他们说这一切都为他们工作… 谢谢!
我正在帮助一家不会购买实际路由器或防火墙的小型企业,并正在使用AT&T提供的Arris NVG599。 我有两个端口转发规则需要设置,33891> 3389为Comp1和33892> 2289为Comp2。 我做了两个服务对象,并将33891> 3389分配给Comp1,但是当我尝试将33892> 3389分配给Comp2时,出现错误: 我们试图做的是允许两个remtoe用户通过RDP到端口33891和33892上的WAN IP将RDP插入他们的计算机。 针孔冲突检测到XXX 针孔冲突检测到XXX 有谁知道这是不是可以解决的问题? AT&T的支持基本上说是高于自己的头,我需要支付100美元的“360”支持。 我感觉到调制解调器不允许将同一端口映射到两个不同的设备。
如何将Windows Server 2008设置为只有一个nic的NAT路由器? 我只能访问有一个nic的服务器,我不能添加nic到服务器。
我想要使用相同的IP地址托pipe几个网站。 我的ISP给了我一个静态IP地址,但是我有三个不同的networking服务器(所有运行不同的站点)挂在一个廉价的交换机后面,所有都最终落后于这一个IP地址(我是一个Apache,两个是Windows的,所以我不能真正巩固他们)。 我可以使用基于端口和传入IP地址的交换机进行端口转发,但不能使用主机名。 这不是一个长期的解决scheme,因为唯一的方法来区分我试图通过端口的networking服务器。 这很丑陋。 我也有一个两个网卡,我希望作为一个更强大的防火墙/路由器使用Linux的盒子。 我的问题是 – 什么是最好的方式把我的Linux机器(运行Xubuntu)到一个路由器,将能够路由的主机名称,而不仅仅是IP地址? 我想离开Xubuntu的盒子,所以没有专门的路由器Linux发行版请。 我看了Shorewall,但是我找不到一个方法让它根据主机名而不是IP地址来路由数据包。 IPTables的路要走吗? 如果是这样,有人可以指向我的教程或如何做到这一点? 我GOOGLE了,我很震惊,这不是一个更频繁的情况!
客户端networking地址转换(NAT)防火墙后面的各种工作站正在将TCP数据包的时间戳信息发送到我们的服务器。 来自多个工作站的数据包在NAT设备后面按顺序发送时间戳。 当他们到达我们的服务器时(在某些情况下在同一个端口上),服务器不能将这些数据包与其他到达同一端口和同一客户端IP(NAT设备)的数据包区分开来。 服务器将带有无序时间戳的数据包解释为属于已经完成的连接,然后忽略数据包 – 但在这种情况下不应该是这样。 这些是来自NAT设备后面工作站的合法数据包。 丢弃具有旧时间戳值的数据包是TCP的一个devise特性,称为PAWS( http://www.ietf.org/rfc/rfc1323.txt,Protect Against Wrapped Sequences) – 服务器只是假定数据包是旧的,已经处理了连接。 要解决这个问题,我们禁用了服务器上的时间戳设置。 但是 – 这种情况的最佳做法是什么? 所有的服务器是否应该禁用时间戳? 还是应该所有的NAT设备删除或重写时间戳值? 要么?
我已经将Ubuntu机器configuration为路由器。 下面给出了NATconfiguration的步骤: #iptables -F #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #iptables-save > /etc/network/iptables 然后在rc.local中保存这个文件的位置 #vi /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. […]