我有两个pfSense集群,一个是2.1.4,一个是2.1.3。 指示表明需要手动出站NAT ,但2.1.3群集使用自动NAT,服务器和所有(包括SSH和OpenVPN)工作得很好。 2.1.4群集正在使用手动出站NAT,并导致悲伤。 NAT有三个自动添加的规则 – 因此标记为: 自动为ISAKMP创build规则 – 从局域网到广域网 自动创build的LAN到WAN的规则 自动创build本地到WAN的规则 这些也是为我们的内部networking(192.168.6.0/24)和我们的开发networking(10.2.0.0/8)创build的。 有两个手动规则: 从OpenVPN客户端(192.168.7.0/24)到外面的IP是NAT 从互联网到开发networking的IP是NAT 这个防火墙集群是一个testing集群 – 然后主要是为一个单一的系统生产防火墙 – 现在又回到了一个集群……并且一路上有许多IP变化。 事情现在是NAT的群集地址,但OpenVPN仍然使用主地址。 我错过了什么? 我应该回到自动NAT吗? 另一方面,如果我将2.1.4集群移动到手动NAT(通过VPN处理与第二方的通信),我是否会导致问题? 编辑我应该注意,一切似乎正在工作 – 包括SSH到群集地址和传出HTTP显示群集地址,等等。 SSH当然是22端口 – 而OpenVPN是1194(1024以上)。 OpenVPN客户端工作(站点到站点VPN)。 它似乎只是来自端口1194上的OpenVPN服务器不是NAT的输出stream量。 我试着用合适的防火墙规则在端口23上运行OpenVPN – 它仍然从WAN地址发出响应,而不是群集地址。 更新我没有提到什么是错的,但没有正确明确。 这是我所期望的: 数据包在端口1194到达群集IP。 数据包被OpenVPN服务器接受。 数据包在端口1194上从群集IP发送回源。 这是我所看到的: 数据包在端口1194到达群集IP。 数据包被OpenVPN服务器接受。 数据包在端口1194上从主IP发回。 您build议检查OpenVPN服务器绑定的IP; 被ANY改为Cluster IP ; 还没有testing过。
我有一个pfSense框设置,我的本地networking(192.168.1.100)中设置了我的WAN接口(em0),而我的LAN接口(em1)是它自己的专用networking(10.0.0.1)。 最终目标是将10.0.0.xnetworking作为专用恶意软件实验室,该networking上的设备无法直接与192.168.1.xnetworking上的任何设备进行通信。 虽然,我想在pfSense防火墙上打洞,以允许来自192.168.1.xnetworking的stream量访问专用networking中的服务,例如FTP,HTTP,SMB,SSH等。因此,如果我通过FTP到192.168.1.100 (WAN接口),然后它将路由到在10.0.0.x内部的设备上运行的FTP服务器。 目前我可以看到,我的FTP服务器获得一个TCP SYN数据包,但没有其他事情发生。 我可以通过tcpdump通过pfSense看到一些 FTPstream量。 这是我的NAT端口转发规则(他们也有一个关联的过滤规则)。 而且如果有用的话,我的局域网防火墙也是如此。 我认为也许我的阻止规则阻止了来自10.0.0.xnetworking的192.168.1.xstream量,但是我禁用了该规则。 我完全失败,不明白发生了什么问题,所以任何帮助将是超级赞赏!
我们正在移动办公室,我们的pipe理服务提供商让我们失望。 我们有一个configuration了5个VLAN的Cisco 4500堆栈。 这些是: interface Vlan200 description FLOOR0 Gateway ip address 172.17.0.1 255.255.252.0 ! interface Vlan201 description FLOOR1 Gateway ip address 172.17.4.1 255.255.252.0 ! interface Vlan202 description FLOOR2 Gateway ip address 172.17.8.1 255.255.252.0 ! interface Vlan203 description FLOOR3 Gateway ip address 172.17.12.1 255.255.252.0 ! interface Vlan204 description FLOOR4 Gateway ip address 172.17.16.1 255.255.252.0 我们的旧networking是10.0.0.0/8(inheritance它)。 示例服务器将是10.0.0.81。 […]
我有一个从互联网上可见的Ubuntu服务器,我们称之为“跳线”。 而这个服务器有这个名字实际上是因为我需要当用户SSH这个服务器,它跳转(或转发或redirect)SSH连接到另一个服务器(这是不可见的互联网),所以SSH实际上是不可见的服务器。 此外,我需要完全用iptables来做到这一点。 我试过(跳线) iptables -t nat -A PREROUTING -d ${jumper_ip} -p tcp –dport 22 -j DNAT –to-destination ${invisibleserver_ip} iptables -t nat -A POSTROUTING -s ${invisibleserver_ip} -p tcp –sport 22 -j SNAT –to-source ${jumper_ip} iptables -A FORWARD -p tcp ${invisibleserver_ip} –dport 22 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT 是的,在Kernel上启用IP转发。 问题 当我SSH跳线主机,没有任何反应。 “连接超时”出来。 任何想法? 谢谢大家的答案。
我有两个通过点对点隧道连接的NATnetworking,如下所示: | Machine A | | Machine B | | 1.2.3.4 |<-10.101.3.2——-tun——10.101.3.1-> | 4.5.6.7 | | 10.110.0.1 | | 10.100.1.1 | —–+——– ——–+—– | | [ 10.110.1.0/24 net ] [ 10.100.0.0/16 net] 机器A在eth0上有一个公共IP,在vmbr0上有一个私有IP 10.110.1.1 ,通过一个ptp VPN与机器B连接,机器B在en0上有一个公共IP,在en1上有一个私有IP其他专用networking) 在两个公用IP上使用NAT的两个局域网上都有客户端。 这工作正常。 (它使用机器A上的iptables和机器B上的pfSense完成) 路由设置使得机器A可以ping机器B的私有IP 10.100.1.1 并且可以访问networkingB 10.100.0.0/16上的所有主机。 同样,机器B(以及networkingB上的所有主机 )可以访问机器A以及networkingA 10.110.1.0/16上的所有主机 但是,networkingA上的主机无法与networkingB上的主机build立连接(EG 10.110.1.2无法ping通,也无法通过SSH连接到10.100.10.50 ) 我怀疑这与A上的iptables安装有关,因为从 10.100.10.50到10.110.1.2 SSH都能正常工作,但是我不能以相反的方向进行SSH安装。 这对我说,我的iptables FILTER规则RELATED,ESTABLISHED作品,但不知何故,我怀疑机器A试图NAT和使用eth0新的连接。 我添加了ACCEPT […]
我有一个运行NAT的Ubuntu服务器(10.04),我知道如何使用iptables转发端口,这工作正常,只是轻微的痛苦。 什么是这样做的“简单的方法”? 是否有一些很好的wiz-bang-network-tool(如ufw) 使简单的端口转发变得非常简单 。
刚刚购买了ASA 5505和一个单独的千兆交换机,以及戴尔R610虚拟化服务器,以取代现有的裸机Web服务器。 将有两台物理机器,R610运行ESXi 4.1和一台备份服务器(旧的SC 1435)。 R610有2个双端口网卡,都将连接到交换机,备份服务器和交换机将连接到ASA,因此: 上行>> ASA >>交换机>> 2台服务器 我感到困惑的是如何处理我所拥有的30个IP块。 将执行ASA设置的数据中心工程师build议: **************** 66.xxx.47.96/27 Network: 66.xxx.47.96 Gateway: 66.xxx.47.97 Firewall: 66.xxx.47.98 Switch: 66.xxx.47.99 Name Server 1: 66.xxx.47.100 Name Server 2: 66.xxx.47.101 Backup Server: 66.xxx.47.102 First Usable for production server: 66.xxx.47.103 Last Usable for production server: 66.xxx.47.126 Broadcast: 66.xxx.47.127 **************** 我想为ESXi服务器,NIC1端口1将为控制台pipe理器; 用于开发虚拟机的NIC1 port2; 用于LAMP生产的NIC2端口1(即现有裸机Web服务器)和用于Rails / Grails VM的NIC2端口2 […]
stream量离开不同的界面时,处理DNAT的正确方法是什么? 当发生这种情况时,似乎答复没有自动replace源地址,因为如果它出去的是同一个接口的话。 编辑 – SNAT不为我工作: Chain PREROUTING (policy ACCEPT 386 packets, 23372 bytes) pkts bytes target prot opt in out source destination 0 0 DNAT all — * * 0.0.0.0/0 12.12.12.5 to:10.7.0.5 Chain POSTROUTING (policy ACCEPT 288 packets, 18672 bytes) pkts bytes target prot opt in out source destination 0 0 SNAT all — * […]
我有2个独立的networking连接到互联网。 networking中的每个系统都可以通过相应的路由器/ NAT设备连接到互联网。 我希望连接这两个局域网。 我不是一个networking人。 请帮我build议一种方法来连接这些局域网,这样我就可以访问其他局域网上的文件了。 我已经在上图中说明了情况。 谢谢。 注意:两个局域网位于同一地点。 即在相邻房间的相同build筑物中。
我有一个Ubuntu的10台机器,我试图用NAT来设置。 eth0是使用DHCP的WAN接口。 eth1,eth2,eth3是LAN接口。 它们分别连接到192.168.0.50,.51,.52。 通过eth1的NAT工作很好。 在eth2 / 3上,我什么都没有 – 在ping上“没有路由到主机”。 这是我的iptablesconfiguration。 有什么明显的错误? # Generated by iptables-save v1.4.4 on Mon Jan 31 09:40:55 2011 *nat :PREROUTING ACCEPT [1799:327587] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [23:2190] -A POSTROUTING -j MASQUERADE COMMIT # Completed on Mon Jan 31 09:40:55 2011 # Generated by iptables-save v1.4.4 on Mon Jan 31 […]