我正在解决OS X Mavericks上的OpenVPN服务器安装问题。 在10.9升级之前,这一切工作,我试图将问题隔离到基本或我的服务器/客户端设置。 除了VPN服务器本身之外,VPN客户端能够build立TCP连接到整个Internet和LAN上的每个盒子。 此外,VPN客户端能够成功ping和追踪路由服务器,这是一跳。 我很茫然,并会感激任何指针。 我的服务器在10.0.1 / 24接口en0上是10.0.1.3。 我的VPN在tun0的10.8.0 / 24上。 防火墙被禁用,但是必须在基于pf的防火墙上启用NAT,以便客户端访问Internet,这是使用pfctl pf.conf行来完成的, nat on en0 from { 10.8.0.0/24 10.0.1.0/24 } to any -> (en0) pass all 在服务器和客户端之间观察到的TCP返回链路断开,是否启用了防火墙,导致我排除了防火墙的原因。 数据包转发使用BSD命令启用: /usr/sbin/sysctl -w net.inet.ip.fw.enable=1 /usr/sbin/sysctl -w net.inet.ip.forwarding=1 看起来VPN没有正确地从服务器通过tun0返回[SYN,ACK]数据包到VPN客户端。 什么会阻止来自VPN客户端的数据包通过tun0接口到达LAN? 到VPN客户端的数据包将在en0上返回,而不是在tun0上,这将中断连接。 下面的示例使用wireshark来捕获tun0和en0上的端口22数据包。 以下是我在wireshark上看到的内容: server [10.0.1.3]$ ssh [email protected] # Successful tun0: 10.8.0.1 -> 10.8.0.10 ssh [SYN] 10.8.0.10 […]
当应用程序在任何/指定的TCP端口上开始 LISTENING时,我需要得到准确的通知。 有没有像 configuration一个应用程序来logging这个事件 使用任何编程语言的库(首选C / C ++),以便它能够站在中间并logging此事件 或任何其他的想法, 除了观看netstat或以任何方式收看SYN数据包( tcpdump , iptable ,…)
我有一个应用程序发送100个186字节(不包括标题)的TCP消息,无间隙地从主机A到主机B. 我运行了tcpdump来捕获主机A上的数据包(发送者在那里),并且我注意到在几条消息(如9)之后,接下来的〜25条消息被合并成一条5 + K消息。 我已经通过发件人应用程序中的setsockopt()closures了Nagle的algorithm,并且计算出来的TCP窗口总是超过14K字节。 因此,似乎并没有填满主机B的第9条消息,主机B要求主机A减速。 有关如何弄清楚为什么TCP消息被合并的任何提示? 谢谢!
我最近有几台10Gbit以太网卡安装在几台连接到大约80个运行分布式文件系统(Lustre)商品节点的局域网的机器上。 10Gbit卡在文件操作上实现了良好的性能,并且正如其应该的那样运行。 不过,我用C语言编写了一个自定义的客户端应用程序,它将大块数据asynchronous发送到networking中的多个节点。 运行客户端应用程序的计算机有一个10GB的以太网卡,所有的目标节点都有一个1GB的以太网卡 – 所以我应该能够获得10Gb的理论最大发送传输速率。 如果我使用1Gbit卡在机器上运行客户端应用程序,它可以很容易地使卡持续时间最长。 但奇怪的是,如果我用一个10Gbit卡在一台机器上运行相同的应用程序,性能会非常糟糕(大约每秒20-30兆位)。 该程序使用普通的TCP套接字以C语言编写。 10Gbit是否需要特殊设置? 因为在1Gbit卡上获得最高性能是非常奇怪的,但是在10Gbit卡上performance糟糕。 再一次,问题不是10Gbit卡本身,因为分布式文件系统(Lustre)在10Gbit卡上获得了良好的性能。 任何想法/build议?
在教程和书籍中经常推荐使用iptables来过滤无效的TCP标志。 我不知道这些内核是否已经被内核本身或iptables状态模块过滤了。 有没有人有关于此的进一步的信息?
我有一些关于为什么traceroute在某些情况下不起作用的问题。 虽然我理解它是如何工作的,但我无法弄清楚一些问题。 喜欢, $traceroute www.google.com 1 * * * 2 * * * …… 有 '*'。 当我使用ICMP代替UDP时,我得到了下面的内容: $traceroute www.google.com -I 1 * * * 2 * * * 3 222.42.254.130 (222.42.254.130) 7.980 ms 10.785 ms 4.920 ms 4 222.42.254.129 (222.42.254.129) 4.363 ms 8.141 ms 5.849 ms 5 bogon (10.2.1.1) 7.957 ms 7.787 ms 8.321 ms […]
为了testing我的负载均衡器,我需要创build几个TCP / IP连接(从一个主机)。 哪个工具可以用来创build不同的源IP地址这个会话? (不用担心,只有在我的私人局域网)。
是否有可能查询连接的TCP缓冲区的当前大小(或随着时间的推移缓冲区大小的某种graphics)? TCP连接的每个端点都有一个缓冲区,用于存储在应用程序准备好读取数据之前通过networking传输的数据。 资源
我试图改善我的服务器的性能,通过调整iptables不跟踪TCP连接的状态。 我正在看这个指南: http : //cotdp.com/2011/07/nginix-on-a-256mb-vm-slice-24000-tps/ 但是,如果我做了以下任何事情,似乎所有传出连接都被切断: 删除这条规则: INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT添加这些: iptables -t raw -I OUTPUT -j NOTRACK iptables -t raw -I PREROUTING -j NOTRACK 立即做出任何更改后,使“ping google.com”返回一个关于不能find“google.com”(即DNS停止parsing)的错误。 以下是在启动时加载的规则,但其他规则则由fail2ban添加: *过滤 -Ainput-i lo -j接受 – input! -i lo -d 127.0.0.0/8 -j REJECT -Ainput-m状态 – 状态ESTABLISHED,相关-j接受 -A OUTPUT -j ACCEPT -Ainput-p icmp -j ACCEPT -Ainput-p […]
今天我一直在unbound.conf中玩一些选项,只是为了好玩。 我已经启用TCP上游,但它不适用于某些域。 OS:OpenBSD当前。 不作承诺:1.4.19 启用tcp-upstream的示例: –> dig www.google.com ; <<>> DiG 9.4.2-P2 <<>> www.google.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30362 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.google.com. IN A ;; ANSWER SECTION: www.google.com. 43200 IN A […]