我正在尝试在家中安装一个strongSwan服务器,并从另一个networking连接到它。 假设sun是VPN服务器, venus是客户端。 sun和venus都在NATnetworking之后。 sun不是我的家庭networking的门户。 但是,端口4500,500和50(UDP)被转发到sun 。 ipsec.conf(sun) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn venus left=%any leftcert=sunCert.pem right=%any leftsubnet=10.135.1.0/24 rightid="C=IL, O=KrustyKrab, CN=venus" keyexchange=ikev2 auto=add type=tunnel mobike=no include /var/lib/strongswan/ipsec.conf.inc ipsec.conf(venus) # ipsec.conf – strongSwan IPsec configuration file # basic configuration config setup charonstart=yes plutostart=no conn krustykrab left=%defaultroute […]
这是我们的场景: 我们有一个Cisco ASA 5512x,我们有来自不同ISP连接的2个不同的互联网连接。 ISP A用于浏览stream量的用户(普通互联网),ISP B用于站点到站点隧道,静态公共IP用于从外部访问服务器。 因此,我们在Cisco ASA上的configuration是,默认路由(0.0.0.0)来自ISP A,其度量值为1,而另一个具有度量值2的默认路由为ISP B. 现在的问题是,我们有一个Web服务器可以通过ISP从外部通过ISP B(注意:静态NATconfiguration为映射web服务器的内部IP和ISP B的静态公共IP),但显然当这个服务器响应请求,这些通过ISP A出去,因为有默认路由。 这给我们造成了很多问题。有没有办法configuration思科ASA从ISP B回复? 而用户一般stream量仍然通过ISP A。
我已经将我的TP-Link 1043路由器升级到了OpenWrt 14.07。 一切都很完美,Wifi和LAN是桥接的,局域网里的机器可以通过名字互相访问,我可以通过SSH连接到路由器,路由器可以通过pppoe-wan接口访问互联网。 这是一个小问题,但。 路由器不路由。 互联网不能从局域网访问。 有一个有趣的例外:DNS查找工作。 /etc/config/firewall文件包含以下部分: config forwarding option src 'lan' option dest 'wan' option mtu_fix '0' 但是当我列出iptables的POSTROUTING链时,什么也没有 # iptables -L POSTROUTING iptables: No chain/target/match by that name. # iptables -t nat -L POSTROUTING Chain POSTROUTING (policy ACCEPT) target prot opt source destination UPDATE 所以我尝试手动添加伪装,这似乎工作: # iptables -t nat -A POSTROUTING -o […]
我正在尝试将Ubuntu 14.04configuration为专用networking和公用networking之间的NAT网关。 公共接口 – > eth0 (178.xxx) 专用接口 – > eth0:0 (192.168.206.190/17) 我已经尝试了许多iptables规则的组合,但我无法获得stream量路由出去。 我已经确认网关可以看到networking,而且私网的主机可以看到网关,并且默认网关设置正确。 net.ipv4.ip_forward=1在sysctl设置。 我的iptables规则如下。 我的iptables经验是微不足道的,所以很可能我错过了一些东西。 # Generated by iptables-save v1.4.21 on Thu Apr 21 12:38:44 2016 *security :INPUT ACCEPT [215:14912] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [133:16208] COMMIT # Completed on Thu Apr 21 12:38:44 2016 # Generated by iptables-save v1.4.21 on Thu Apr […]
我想要的是 我必须用squid,dansguardian和nginx来实现一个非常具体的设置。 在这里我非常具体,因为类似的问题经常要求更多的信息来给出准确的答案。 此外,我通常不会做networking的东西,我目前的解决scheme是从其他Stack Exchange的问题和答案中挑选拼图的结果,所以请原谅/纠正我迄今为止所犯的任何错误/误解。 本质上,我想阻止通过端口80和443访问互联网的任何尝试,除非通过端口3128上的代理访问所述端口。原因是这样,代理和Dansguardian可以过滤/阻止不受欢迎的网页。 我们决定使用非透明的代理,以便我们可以使用非阻塞SSL阻塞。 这部分已经在工作了。 但是,如果客户端尝试直接访问Web,而不是放弃尝试,Magic Box应该将客户端redirect到关于如何设置代理的分步指南。 我们设置了wpad来消除手动configuration客户端设备的需要。 不过,OSX和Linux,更重要的是iOS和Android没有默认启用的wpad支持(或者完全不支持)。 我们的第一个想法是留下客户的指示,如何设置在纸上的设备。 然而,我的老板要我设置redirect的变体,因为客户立即明白为什么互联网不能马上工作。 这是对所需设置的视觉帮助。 没有描绘的事实是, enp1s0和enp2s0是桥br0一部分。 networking图显示了所有相关的物理设备。 标有红色的是我们无法触摸或configuration的设备。 标记为绿色是我们的设备。 “魔盒内”图表显示了所需的路由决策 目前的情况 我们原来的ebtables / iptables规则,我们将在纸上留下一步一步的configuration指南,看起来像这样 ebtables -A FORWARD -p ipv4 -i lo -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j ACCEPT ebtables -A FORWARD -p ipv4 -o enp1s0 –ip-proto tcp –ip-destination-port 80 -j DROP ebtables -A […]
我目前的设置 – 我在几个办公室周围使用一堆SIP硬电话。 所有的设备都configuration了两个SIP账号 – 一个用于内部sip代理(分支机构之间的通话),另一个用于第三方voip提供商(因为它位于不同的国家 – 这些是不同的提供商,但与此无关)。 我正在考虑终止sip呼叫类似星号/ freeswitch服务器和所有的SIP设备login到这样的服务器(S) – 主要是提供像语音邮件,群呼,redirect等东西似乎是完全可行的,但有一个问题 – 我找不到例子如何准备自然/无自然。 呼叫路由到第三方VoIP运营商 – 我需要处理NAT / STUN等,但处理内部电话 – 我不想任何NAT,所有stream量应该通过VPN到不同的分支机构。 你可以提供一些提示如何configuration它吗? 任何教程? 谢谢!
该手册说: “转发主机端口<1024不可能:在基于Unix的主机上(例如,Linux,Solaris,Mac OS X),不可能绑定到不是由root运行的应用程序的1024以下的端口” 。 是否有可能禁用此限制? 我使用VBoxHeadless机器运行主要的互联网服务(例如邮件服务器(SMTP,IMAP,LDAP,HTTP,HTTPS),并通过VBoxManage modifyvm –natpf1捕获主机端口)。 我现在看到的唯一解决scheme是捕获一个更高的端口,并通过iptables或redir的方式redirectstream量较低的端口。 但也许有更自然的解决办法?
我想自动处理NAT表(在本地生成)的OUTPUT链中的数据包,就像它们来自外部(通过PREROUTING)一样。 是否可以使用一个“转发所有PREROUTING”作为后备/最后一条规则在OUTPUT链? 例如,给定以下NAT转发: iptables -t nat -A PREROUTING -p TCP -d $EXT.IP.ADD.RESS \ –dport 80 -j DNAT –to-destination $INT.IP.ADD.RESS:80 我必须设置一个匹配的OUTPUT规则: iptables -t nat -A OUTPUT -p TCP -d $EXT.IP.ADD.RESS \ –dport 80 -j DNAT –to-destination $INT.IP.ADD.RESS:80 当logging这些数据包时(通过iptables -t nat -A OUTPUT -p TCP -d $EXT.IP.ADD.RESS -j LOG ),它们看起来像: IN= OUT=lo SRC=$EXT.IP.ADD.RESS DST=$EXT.IP.ADD.RESS LEN=60 \ TOS=0x00 […]
我希望这是这个问题的正确的地方。 我想先把它发布到超级用户,但似乎与这个地方更相关。 无论如何,这里是: 我需要将插入到工作站的物理以太网端口的设备连接到现有的虚拟交换机。 物理设备和虚拟机需要共享同一个networking,都需要通过NAT和我的PC的第二个networking适配器连接到互联网。 作为一张图片往往比千言万语更好,下面是我想要实现的一些ASCII艺术图: The internets! | __ | | router, __|__|__ firewall, etc. | ___________________________________________________________ | | | | | | __ | | (other machines on the physical network) __|__|__ my workstation | (doing NAT) ___________ | | __ __ | | | | __|__|__ __|__|__ physical virtual device machine 我不能简单地将物理设备连接到物理交换机,并将虚拟机连接到主networking,因为testing时,虚拟机需要运行DHCP服务器,而pipe理员则需要使用火把和干草叉。我把一个stream氓DHCP服务器放入我们的主networking。 […]
我们正试图解决什么应该是一个微不足道的问题! 我们有一个DrayTek Vigor 2820系列ADSL路由器/防火墙,我们需要将端口80转发到networking服务器。 该框正确连接到adsl行,我们可以访问互联网出站。 我有一个PC后面的箱子,没有软件防火墙等运行IIS …我可以在网上浏览到个人电脑,并获得IIS欢迎页面。 PC没有路由,Vigor是默认网关。 我有一个端口转发configuration在Vigor根据他们的指示,将公共IP地址上的端口80转发到此内部PC上的端口80。 路由器的外部pipe理(否则将使用端口80)将被禁用。 当我尝试通过单独的连接浏览端口时,页面不显示。 如果我查看vigor的syslog输出,就会发现它按照我的要求执行虚拟服务器端口转发操作,但是,在目标PC上运行wireshark,请求永远不会到达。 我尝试了三种不同版本的固件,因为我发现有关NAT的各种报告在一个版本或其他版本中被破坏… 有没有人有这个function使用这些盒子之一? 我在网上看到有几个线程说他们有问题,但我还没有find解决办法。 我无法想象这个function在3个版本的o / s中是有问题的,所以我必须要丢失一些东西!