我们公司有多个运行在NAT防火墙后面的Windows服务器。 我们想为这些机器提供远程桌面访问给我们的用户。 其中一个解决scheme是通过端口转发。 我们可以设置RDP在特定的端口上运行,并从防火墙转发该端口。 但是,这在防火墙上打开了很多端口,我们不想使用这个策略。 我正在考虑是否有类似于ssh网关的解决scheme。 ( 有没有基于名称的虚拟主机SSH反向代理? ) 有没有其他解决scheme。 谢谢
我有一个奇怪的问题,我坐在我的工作场所的服务器(这是一个NAT后面,如果这是重要的)。 问题是,在某些时候,它变得无法达到,然后再次回来,通常在几秒钟内,有时持续1分钟。 它不会重新启动,它不会崩溃。 它变得无法访问。 在此期间,我无法进入,也无法访问在机器上运行的任何应用程序(它正在运行几个Rails应用程序,所以它们也变得无法访问)。 我检查了dmesg,看到了这些行 – [ 4.958074] ADDRCONF(NETDEV_UP): eth0: link is not ready [ 5.040476] ADDRCONF(NETDEV_UP): eth1: link is not ready [ 5.175624] igb: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX/TX [ 5.177207] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready 几行后,我看到有关networking接口类似的东西 – [1195777.544167] igb: eth0 NIC Link is Down [1195780.962943] […]
如果我有一些在NAT后面的Windows XP机器,所有的服务仍然可以正常工作,如文件共享,打印等。 该设置将像192.168.20.0/24 NAT到192.168.1.100(我真的猜到PAT),其中2003域控制器,文件共享,打印机等将在192.168.1.0/24networking。 我知道桥接,但我很好奇,如果这将工作正常。
代理服务器是在NAT之前,在互联网的早期,它们是通过一个公共IP在线获得整个networking的stream行方式。 NAT最初需要复杂的软件和/或硬件来使其工作,并且可以理解的是一些组织仍然使用代理服务器来提供访问。 然而,在过去的十年中,NAT变得非常stream行,几乎可以在市场上的每一台路由器上使用。 硬件是如此的快速和便宜,除非你正在试图使用一个50美元的家庭路由器运行,说5000人的办公室,你不会有问题。 防火墙也足够智能,可以进行复杂的身份validation,轻松地允许不同的用户在一天中的不同时间访问不同的服务(即使是最基本的家庭路由器也常常具有内置的function)。 实际上,NAT可能比代理服务器更易于build立和pipe理。 在我的工作中,我仍然经常使用代理服务器来处理客户端访问互联网,以及随之而来的身份validation,帐户服务运行等问题。这包括一些非常大的公司(所以我猜十多年前安装了他们的networking,并保持这种状态)以及相对较新的仅有几年的组织。 所以我的问题是,为什么到目前为止仍然有这么多地方使用代理服务器?
快速总结:转发的端口从外部工作,但是从内部networking使用外部IP,连接被拒绝。 这是一个简化的情况,使解释更容易: 我有一台计算机在端口12345上运行服务。该计算机有一个内部IP 192.168.1.100,并直接连接到内部IP为192.168.1.1和外部(公共,静态)IP为1.2.3.4的调制解调器/路由器。 (路由器是TP-LINK TD-w8960N)我已经在端口12345设置端口转发(虚拟服务器)到192.168.1.100的端口12345。 如果我从同一台计算机运行telnet 192.168.1.100 12345一切正常。 但运行telnet 1.2.3.4 12345说连接被拒绝。 如果我在另一台计算机(在同一个内部networking上,连接到路由器)上执行此操作,则会发生同样的情况。 这看起来像端口转发不起作用。 然而… 如果我在外部IP和服务端口上运行在线端口检查服务,则表示端口已打开,我可以看到远程服务器连接并立即closures连接。 并使用另一台电脑连接到互联网使用移动连接,我也可以使用telnet 1.2.3.4 12345和我得到一个工作连接。 所以端口转发似乎正在工作,但是从内部networking使用外部IP不会。 我不知道是什么原因造成的,因为另一个非常像这样的设置(不同的路由器)适用于我。 我可以通过内部和外部IP访问networking内部服务器上运行的服务。 注意:我知道我可以使用networking内部的IP来访问这个服务。 但是,如果我有一台笔记本电脑,必须能够从内部和外部做到这一点,它会在软件configuration中不断地切换1.2.3.4和192.168.1.100之间的烦人。 路由器输出: > iptables -t nat -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destination ACCEPT all — 0.0.0.0/0 224.0.0.0/3 DNAT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.101 DNAT udp […]
我有一个供应商build立了一个站点到站点的VPN。 假设隧道端点是192.1.1.101,在供应商一方是192.1.2.0/24(这个端口是连接到10.xxx的局域网)。 这工作正常,我有一个SonicWall,我有一个VPN策略设置,所以从我身边到192.1.2.x的stream量通过他们的VPN并到达正确的主机。 问题是我有一个(旧的,不可修改的)应用程序试图连接到他们的networking10.0.0.10。 如果我可以通过VPN,如192.1.2.10,那么它会到达正确的目的地。 供应商不愿意添加10.0.0.10作为隧道端点。 我尝试了NAT策略,将stream量转换为10.0.0.10到192.1.2.10,但是我相信它也不会通过VPN发送它,因为NAT在stream量离开防火墙时应用到stream量, VPN路由规则。 基本上我想采取任何stream量到10.0.0.10,改变它的目的地为192.1.0.10,并通过VPN通道发送192.1.0.10。 我不是防火墙configuration的专家,有人可以指出我的方向吗?
我试图在一台机器上将端口8100上的代理stream量反向传输给另一台机器。 接收主机与目标机器一样是oracle专用区域。 在传入区域,我已经像这样configuration了ipnat(/etc/ipf/ipnat.conf)。 rdr net0 192.168.0.22 port 8100 – > 192.168.0.23 port 8100 不幸的是,当我尝试从第三台机器连接到192.168.0.22:8100时,我得到的是连接被拒绝。 但是,下面的工作是有效的 rdr net0 192.168.0.22 port 80 – > 192.168.0.22 port 8080 我还需要configuration什么?
我正在尝试configuration一个为几百个用户提供Internet的路由器。 该路由器configuration有4个基本电缆上行链路,全部使用DHCP,容量大约为10/1 Mbps。 路由器有3个接口: eth0连接到pipe理networking,192.168.A.0 / 24(可以忽略) eth1连接到用户networking,192.168.B.0 / 23 eth2连接到VLAN交换机,调制解调器位于4个不同的VLAN上。 IP路由,IP规则和iptables的细节可以在这里find : http : //pastebin.com/Qi3KBR79 VLAN编号为24〜27,对应的路由表中编号相同。 每个路由表都包含eth0,eth1和eth2.X的链接级别条目,以及DHCP服务器给出的默认路由。 请注意,有可能是2个调制解调器在同一个子网上。 我使用CONNMARK和IP规则来标记连接并将它们redirect到调制解调器特定的路由表。 我也有一个dhclient挂钩,负责在DHCP租约更新时更新这些辅助路由表。 对于INPUT和FORWARD,缺省的iptables策略是DROP,而对于OUTPUT则是ACCEPT。 请注意,ip规则部分将fwmarks 3和4redirect回到调制解调器1和2,但这是暂时的,因为其他2个调制解调器仍然在传递来自用户的stream量(我们不能完全断开它们…) 现在所有这些说,这个解决scheme有点作用,但展品约50%的数据包丢失,无论select的上行链路: – /有人能告诉我什么是我做错了? 我一直在这个问题上捅了好几个小时,现在变得非常沮丧… 在此先感谢 – 托马斯
我有一个令人困惑的问题,我似乎无法解决。 我遵循了由Loic Dachary在Wheezy上安装Openstack Folsom的指导,并将其部署在两个主机上:一个集群节点和我的工作站。 在这两个主机上,我正在运行一个基准testing应用程序,以下列方式从一台主机传输到另一台主机: 以下是节点主机,工作站和内部VM的路由表: ( 注意 :10.0.1.0是一个额外的networking接口,最终不需要任何虚拟机,因此没有影响,因为没有任何东西被路由到目的地10.0.1.x) 现在我的问题是: 基准testing应用程序从工作站上的一台虚拟机(比如10.0.0.2)启动一个RMI调用到节点上的一台虚拟机(比如172.23.3.100)。 我的理解是,应该发生以下情况: 虚拟机看到了预定义的172.23.xxnetworking路由,并经过了默认路由10.0.0.1(工作站计算主机) novanetworking服务将10.0.0.2映射到本地networking上的某个IP(比如172.23.12.1)。 所以它将源IP更改为 工作站主机看到目的地172.23.xx,并通过172.23.1.1路由到172.23.3.8。 Novanetworking看到IP,并且由于映射表示,存在172.23.3.100 – > 10.0.0.7,它将目标更改为10.0.0.7。 具有内部IP 10.0.0.7的节点上的VM从工作站VM获取请求。 (@ 172.23.12.1)。 这工作正常。 实际的请求被发送。 但是,答复有问题。 下面是发送请求之后我的应用程序的日志: RemoteException was: java.rmi.ServerException: RemoteException occurred in server thread; nested exception is: -> java.rmi.ConnectIOException: Exception creating connection to: 10.0.0.7; nested exception is: -> java.net.NoRouteToHostException: No route to host […]
我有一个主服务器(DHCP)和一个辅助(DHCP-RELAY)。 大多数的主机是从主(无线)服务,但是有一些(有线的)从次要的IP。 二级中继所有DHCPstream量到主要,主要产生IP address ,将其发送回到次要,然后IP被提供给主机。 isc-dhcp-[relay|server] : __________ ___________ ___________ | DHCP |<—-rel.req—-| DHCP-RELAY|<=====ip.req====| Host | |172.16.1.1|-{172.16.1.50}->|172.16.1.12|={172.16.1.50}=>|172.16.1.50| ¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯ DHCP服务器 : # ip route | grep 172 172.16.1.0/24 dev wlan5 proto kernel scope link src 172.16.1.1 172.16.1.50 via 172.16.1.12 dev wlan5 DHCP-RELAY : # ip addr | grep inet | grep 172 inet 172.16.1.254/24 […]