Amazon Web Services中有一个VPC,子网为172.31.0.0/16。 我在这个子网中创build了一个EC2实例,并给它一个公共弹性IP。 这个VPC上有一个互联网网关。 所以,我的路由表如下所示: 172.31.0.0/16 local 0.0.0.0/0 igw-b4ac67d0 为了解决一些我不能控制的外部服务的IP访问问题,我在这个VPC上添加了一个NAT网关,这样所有到单个外部地址ABCD的stream量都将通过NAT网关进行路由。 也就是说,我希望路由表看起来像这样: # GOAL 172.31.0.0/16 local ABCD/32 nat-451b3be9 0.0.0.0/0 igw-b4ac67d0 但是,尽可能地尝试一下,当我点击“保存”时,AWS界面会切换顺序,以便始终以最终状态结束 # What AWS gives me 172.31.0.0/16 local 0.0.0.0/0 igw-b4ac67d0 ABCD/32 nat-451b3be9 这个路由表看起来很愚蠢:NAT网关永远不会被使用,我的stream量到ABCD仍然来自EC2实例的弹性IP。 我如何获得路由表GOAL? 注意:外部服务将允许我添加一个允许访问的IP地址。 如果我只有一个EC2实例,我可以简单地给他们提供EC2实例的弹性IP地址。 但是,我想添加更多的EC2实例设置相同的方式。 因此,NAT网关。 另外,我不能简单地放弃因特网网关,只使用NAT网关,因为我需要EC2实例上的服务,以便外部访问。
我必须为路由器编写bash脚本来控制给定用户在给定域名上的带宽限制。 为此,我使用iptables将从受限域传入的数据包标记为专用networking中的用户IP地址。 与每对夫妇user_ip / domain_ip我有一个关键,我可以标记数据包。 我将这些规则添加到mangle表中,如下所示: $iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j MARK –set-mark $id $iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j RETURN 我的NAT设置在NAT表(eth0是我的互联网接口,我使用Tap0的Lan接口)是 $iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 我的Lan用户的数据包应该与mangle表中的规则相匹配,但是没有被捕获。 例如:( PREROUTING CHAIN中的table mangle)例如,用于在Lannetworking中为用户192.168.0.2标记来自slashdot.org的数据包。 Chain PREROUTING (policy ACCEPT 14858 packets, […]
第一个问题在这里,所以请容易: 我有一个debian Linux 5.0服务器与两个公共接口。 我想通过一个接口从应用程序的一个实例路由出站stream量,通过第二个接口路由第二个实例的出站stream量。 有一些挑战: 应用程序的两个实例都使用相同的协议 应用程序的两个实例都可以访问整个互联网(不能基于destnetworking路由) 我无法更改应用程序的代码 我不认为一种典型的负载均衡所有stream量的方法是行之有效的,因为在出站stream量中访问的目标服务器相对较less,所有的stream量确实需要在这些相对较less的服务器上相当均匀地分配。 我可以运行两个虚拟化的服务器,并绑定到不同的接口,但我正在寻找一个更简单的解决scheme,也许使用iproute或iptables? 任何想法对我? 在此先感谢 – 我很乐意回答任何问题。
我有一堆embedded式设备,需要使用自定义操作系统进行刷新。 在每个设备上,引导装载程序(U-Boot)的固定IP为192.168.100.2,在引导时寻找位于192.168.100.1的TFTP服务器来安装操作系统固件。 这就是设备如何从现货上销售。 使用TFTP服务器将设备逐个连接到PC将永久性地对100多个设备进行编程。 我需要使用一些networking向导来将具有相同IP 192.168.100.2的多台设备连接到IP地址为192.168.100.1的TFTP PC。 任何想法将不胜感激。
我试图设置一个Linux的盒子作为路由器,我有点困惑以下规则将如何影响数据包。 例如在路由表中,我可以有 default via 10.10.1.1 dev eth0 src 192.168.1.1 将数据包的源IP地址改为192.168.1.1 而在iptables中,我可以拥有 -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth0 -j SNAT –to 192.168.1.1 这似乎也要求下一跳返回数据包应该去192.168.1.1 那有什么区别?
我运行一个小型的networking,其中一个Linuxnetworking/邮件服务器也提供了一个窗口集合的NAT的NAT。 其中一台Windows机器显然行事不端(ZeroAccess僵尸networking,尽pipe使用Norton PowerEraser无法find任何问题,并且在数周内只能在/ var / syslog中find3个出站端口16465数据包)。 出于某种原因,设置防火墙规则来丢弃所有传出的16465数据包也不能解决问题,但这是一个无关紧要的问题。 这个问题导致邮件服务器被列入黑名单,例如spamhaus.org。 由于我无法find感染的Windows主机,所以我想到了使用IP别名通过不同的IP地址发送NATstream量的想法。 外部接口: eth0: 216.82.212.230 eth0:1 72.48.103.182 内部接口: eth1: 172.18.90.1 在我的防火墙规则中,我改变了 iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to 216.82.212.230 至 iptables -t nat -A POSTROUTING -s 172.18.90.0/24 -o eth0 -j SNAT –to 72.48.103.182 问题是现在一切似乎都是72.48.103.182,包括来自邮件服务器的stream量。 如果我从防火墙主机ssh ssh到另一台外部机器,连接被确定为来自72.48.103.182。 这对我来说没有意义,因为我特别指定了应该是NAT的源IP。 本来我没有“-s 172.18.90.0/24”,尝试上面的行,得到完全一样的结果。 对发生什么事情有任何想法? 我不是想象中的iptables专家,但是在发布到serverfault之前已经努力尝试研究这个。 ======================= root@www:etc# ip ro […]
我想使用iptables使CentOS成为端口转发NAT机器。 这是我第一次尝试这个,我想我可能需要一点帮助。 这是我试图实现的configuration。 我试图通过端口80上的CentOS机器进行远程桌面连接,并且让CentOS连接到端口80上的服务器。 192.168.0.120是通过连接到端口80上的192.168.0.100(CentOS)连接到192.168.30.37端口80的客户端。 CentOS的ens160是192.168.0.100/24 CentOS的ens192是192.168.30.254/24 CentOS的ens224是192.168.40.254/24 我到目前为止所尝试的是: 禁用SELINUX 在/etc/sysctl.conf中启用IPv4转发 /etc/sysctl.conf net.ipv4.ip_forward = 1 / etc / systemconfig / iptables是 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [12:944] -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp […]
我要问的可能是微不足道的,但我真的需要明白,因为我的老师让我困惑! 那就是问题所在。 我有2个私人networking 第一个是C类networking,地址是192.168.1.0/24(我会称之为C1 ) 第二个是我分为两个子网的A类networking:10.1.0.0/16( A1 )和10.2.0.0/16(A2) 现在我在A1和A2之间有一个路由器,在A2和C1之间有一个路由器。 我configuration了路由,使数据包可以从A1到A2,从A2到C1。 然后老师告诉我: “A1和A2之间的路由器正常,但是A2和C1不能通信,因为它们是不同的networking!你需要在那个路由器上设置NAT。 这里是一个问题: 为什么我必须在这里使用NAT? 我不明白为什么两个私人networking之间需要NAT! 谢谢你的帮助
我们有16个来自ISP的IP地址,并且正在build立一个SonicWall防火墙。 我想让SonicWall为局域网做NAT,但是对于使用16个地址中的一些地址的服务器来说, 它只作为防火墙(没有NAT)。 我如何设置? 如果我将WAN的子网设置为包含16个IP,则SonicWall将不会将stream量路由到LAN接口。 我应该将广域网子网设置为仅包含我们专门用于NAT的那些子网,然后将其他networking保留在局域网上? 相关问题:如何为SonicWALL LAN接口设置多个IP地址? 澄清:服务器不是NAT'd; 他们直接使用他们的公共IP地址。
我正在寻找一个可以在Windows上运行的VPN软件(Mac / Linux将会是一个奖金),它类似于Hamachi等其他软件包,可以在NAT或防火墙后自动运行。 此外,它需要作为服务运行,所以用户不必login。如果需要,我可以运行自己的服务器。 Hamachi,Remobo和GBridge都很棒,但是它们只限于你可以免费使用的机器数量,或者不允许作为后台服务运行。 我看到有一些开源的可能性 – OpenVPN,n2n,但我不知道他们是否会做windows / service / nat-firewall。 LeafNetworks看起来可能会有所斩获,我将尝试一下,但是我担心现在看起来是免费的,但是在某个时候,它可能会成为薪酬。