多less个NAT映射规则(即内部,私有IP:PORT和外部映射的IP:PORT之间的映射)能够支持常见的NAT盒子? 这样的数字是否有限制(也就是说,有多less规则可以同时被激活)?
我必须连接两个局域网:LAN1:10.10.0.0/16和LAN2:192.168.0.0/16。 我不能做简单的路由,因为在LAN1中禁止192.168.0.0/16networking,所以我正在考虑使用Full cone nat(1:1)将192.168.xy / 16转换为10.11.xy / 16。 每个翻译都是由这个规则完成的: iptables -t nat -A PREROUTING -d 10.11.0.0/16 -j DNAT –to-destination 192.168.0.0/16 iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT –to-source 10.11.0.0/16 但是我必须input254 * 254 * 2的规则,我认为会导致巨大的性能下降。 那么,有没有办法用最less的规则编写这种一对一的翻译呢?
国内路由器的NAT选项通常configuration为严格 。 这是什么意思? 什么适度或开放做? 端口转发/ DMZ访问在严格的情况下正常工作,所以为什么要打扰另外两个呢? 通过路由器看看这会影响防火墙 。 当花费大量的时间使用Cisco / iptables来保护networking时,这样一个蹩脚的非描述性答案只不过是令人愤慨的,并没有留下任何线索,这对防火墙有什么影响。 请能有人点亮一下。
作为一个组织,我们刚刚要求我们的第一个IPv6分配。 目前,我们是一个完全的IPv4组织,在我们的边缘路由器上configuration了一个全球IPv4地址分配,并通过边缘防火墙(主要)用于NAT到内部托pipe的带有私有IPv4地址的Web服务器。 我明白,使我们的面向外部的服务可用于IPv6互联网的一种方式是在整个内部networking上实现IPv6双栈,并将全球可访问的IPv6地址(除了其现有的IPv4地址之外)直接分配给这些服务器。 然而,即使在阅读了关于IPv6过渡技术以及IPv6在IPv6世界中的地址转换技术的文章和文章之后,我仍然不能完全确定我们是否可以复制我们现有的设置,但是使用IPv6地址,也就是说,在我们的边缘路由器上configuration一个全球可路由的IPv6接口,在我们的防火墙上有一个关联的IPv6“外部”接口,并且简单地将1:1 NAT全局地面对IPv6地址到IPv4地址? 这显然是基于这样一个原则,即我们与ISP拥有IPv6 BGP对等协议,并且RFC1918满足了我们的内部寻址需求,但是我们希望使所选的外部服务IPv6可访问。
我有一个私有和公有子网的VPC – 每个都包含一个相同的RHEL7服务器。 我相信VPC设置正确(见下文)。 但是,公共服务器可以使用yum,而私有服务器则不能。 私人收到错误… $ yum search apache Failed to set locale, defaulting to C Loaded plugins: amazon-id, rhui-lb Repo rhui-REGION-client-config-server-7 forced skip_if_unavailable=True due to: /etc/pki/rhui/cdn.redhat.com-chain.crt Repo rhui-REGION-client-config-server-7 forced skip_if_unavailable=True due to: /etc/pki/rhui/product/rhui-client-config-server-7.crt Repo rhui-REGION-client-config-server-7 forced skip_if_unavailable=True due to: /etc/pki/rhui/rhui-client-config-server-7.key Repo rhui-REGION-rhel-server-releases forced skip_if_unavailable=True due to: /etc/pki/rhui/cdn.redhat.com-chain.crt Repo rhui-REGION-rhel-server-releases forced skip_if_unavailable=True due to: […]
组态 根据Microsoft KB816514中的说明,我在Windows Server 2003(SBS)机器和Netgear FVG318之间build立了“原始”IPSec隧道。 configuration如下(使用与文章相同的约定): NetA | SBS2003 | FVG318 | NetB 10.0.0.0/24 | 216.xxx | 69.yyy | 10.0.254.0/24 主模式和快速模式安全关联都已成功完成并出现在IP安全监视器中。 我也能够从NetB上的任何计算机上的私人地址ping SBS2003服务器。 问题 从NetA到NetB上的计算机或从SBS2003到NetB(不包括ICMP Ping 响应 )的任何stream量都会在IPSec隧道之外的公共networking接口上发送(不进行encryption或标头validation,就好像隧道不在那里一样) 。 从NetB上的计算机发送到NetA上的计算机的ping成功地到达NetA上的计算机,但是响应被SBS2003悄悄地丢弃(它们不会清晰地出去,不会产生任何encryption的通信量)。 可能的解决scheme 错误的configuration 我本来可能错误的键入了某个地方,或者KB816514在某些方面可能不正确。 我非常努力的去消除第一个选项。 已经多次重新创buildconfiguration,尝试调整和调整所有设置,我可以没有成功(最防止build立安全联盟)。 NAT / RRAS 我看到其他地方的多个post提示这可能是由于NAT和IPSecfilter之间的交互。 在与Quick Mode IPSecfilter进行比较之前,NetA专用地址可能会被重写为216.xxx,并且由于不匹配而不会被隧道传输。 事实上,从2005年6月的“TCP / IP数据包处理path”中的Cable Guy文章就暗示了这种情况(参见Transit Trafficpath的步骤2和4)。 如果是这种情况,有没有办法从NAT中排除NetA-> NetBstream量? 任何想法,想法,build议,和/或意见,赞赏。 更新(2011-06-26) 在未能解决问题之后,我诉诸了有偿的微软支持。 他们无法解决问题。 从那以后,我实施了一个基于Linux的解决scheme,运行得非常好。 […]
我试图在我的服务器上使用tayga实现NAT64,并且我不知道如何继续。 我的服务器通过一个IPv4地址和一个/ 64个IPv6地址块连接到互联网。 它服务于所有types的东西。 由于我的原因,我也运行一些LinuX容器(LXC)。 这些是IPv6独占的。 我在主机系统上实现了一个桥(br0),并将地址从eth0切换到br0。 我的容器在IPv6上成功地相互通信。 通过我的主机上的mod_proxy,我可以将我的ipv6 only web服务器(LXC)连接到IPv4互联网。 但只是在一个方向上,你可以说。 对于某些自动更新function,我需要NAT64 + DNS6,因为有些更新服务器不会说IPv6。 让我们假设以下内容,并注意IP地址并未真正使用。 主机br0: inet address: 10.0.0.1 # external IP inet6 address: 2a01::1/64 # external IP LXC eth0: # external IP, some ip6tables forward rules implemented on the host inet6 address: 2a01::2/64 我在我的主机上安装了tayga,并且像这样configuration它: tun-device nat64 ipv4-addr 192.168.255.1 prefix 2a01:0:0:0:64::/96 map 192.168.255.2 2a01::2 […]
我正在尝试使用本指南在TomatoUSB上启用多个IP。 我们的防火墙规则需要NAT,并允许1to1到两个服务器。 /usr/sbin/ip addr add 208.xx133/30 dev vlan1 /usr/sbin/ip addr add 208.xx132/30 dev vlan1 /usr/sbin/iptables -t nat -I PREROUTING -d 208.xx133 -j DNAT –to-destination 192.168.7.100 /usr/sbin/iptables -t nat -I PREROUTING -d 208.xx132 -j DNAT –to-destination 192.168.7.130 /usr/sbin/iptables -I FORWARD -p tcp -d 192.168.7.130 –dport 25 -j ACCEPT /usr/sbin/iptables -I FORWARD -p tcp -d 192.168.7.101 –dport […]
我很抱歉,如果这是一个非常愚蠢的问题。 目的 确保要在群集中的节点之间传输的stream量没有(低效地)到群集之外,然后再回来,而是直接在节点之间。 背景 我们正在使用外部IP地址时,请求打算在节点之间。 目前的架构如下所示: Verizon FIOS ISP(商业,多个静态IP) | | Verizon FIOS路由器(Actiontec MI424WR) (通过使用转发外部IP到内部IP进行configuration 静态NAT) | | 托pipeSwtich(Dlink DGS-1100-24) | | | | | | | | 节点1节点2 …节点(n) 每个节点都运行Linux Centos并configuration有内部IP地址(192.168.1.xxx) 路由器configuration为使用静态NAT将分配给每个节点的外部IP地址路由到节点的内部IP地址。 关注 可以/应该configuration从外部IP地址到交换机内部IP地址的转发吗? 使用当前configuration,节点之间的stream量是否被引导到交换机,路由器级别的正确节点,还是一路走出到DNS服务器或其他? 考虑到路由器也将来自同轴电缆的信号转换为以太网,我应该使用静态NAT还是以某种方式将节点configuration为拥有其外部IP地址。 完全不考虑内部IP地址的需要? 有没有完全不同的,我应该做的,或者是这个架构的根本错误? 非常感谢!
我们使用一个WordPress插件来检查损坏的链接。 它使用cURL来做到这一点。 外部链接工作正常,但内部的,不是很多。 连接被拒绝。 与我们的主持人谈论此事,他们说:“我们把服务器放在一个内部专用networking,然后NAT到互联网。 curl命令将不得不直接连接到服务器的私有IP地址。“ 换句话说,curl people-press.org/about/danielle-gewurz/ 将需要… curl -H“主持人:people-press.org”10.5.1.66/about/danielle-gewurz/ 我真的不想惹这个插件来使它与我们不寻常的设置一起工作,所以有什么可以从networking架构的angular度来推荐? 我明白我在找什么叫做发夹式的NAT环回/ NAT里面到里面,看起来像这样… www.juniper.net/techpubs/en_US/junos11.2/information-products/topic-collections/安全/软件的所有/安全/ index.html的?话题56995.html 当然,我的主人不知道我在说什么。