n**********l
发帖数: 271 | 1 if you want all traffic to go through VPN server, enable IP routing,
configure iptables, (NAT)
Why is 0.0.0.0/128.0.0.0 192.168.66.1 there in first place? Check your
openvpn config file for static route injection. If you dont want Internet
traffic to go through VPN, comment all route injections |
|
z**r
发帖数: 17771 | 2 all you need is to enable NAT with iptables on your server A |
|
t*m
发帖数: 1044 | 3 番茄内网上有一台服务器是DMZ模式。SSL(443),SMTP(25),SIP/Asterisk(5060)等外
网访问正常。但是另外一些服务器使用不规则端口的从外网无法访问。用端口扫描发现
这些服务本身所在的端口都接收到外网的请求,但是随后而来的随机端口(RTP?)
request无法响应。
因为已经处于DMZ模式了,所以不知道是不是firmware的防火墙或IPtable设置出了问题
。其实我基本上用的缺省设置。另外同一个路由器(ASUS RT-N12)刷DD-WRT也有同样问
题。
使用AT&T Uverse的猫加路由就没有这个问题,所有服务从外网访问正常。所以不是ISP
封杀端口的问题。
难道会是路由器的问题? |
|
s*****g
发帖数: 1055 | 4 Can your firewall appliance recognize (meaning stateful inspection) your
application so that it can dynamically open up RTP/UDP ports negotiated in
control channel? By default most distributions have Iptable allowing
everything, A simple tcpdump on server will almost immediately tell you
where the problem is, a simple flow debug on firewall will do the job also.
ISP |
|
t*m
发帖数: 1044 | 5 一下是我的iptables。端口6500和8443上的服务没法从外网访问。那位高人看下?
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,
ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh
state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ... 阅读全帖 |
|
k*******r
发帖数: 90 | 6 现在比较高端的 10G 网卡都支持 RDMA over iWarp
其实这些网卡的ibverbs实现不仅支持 RDMA 通信,也可以实现IP packet的RDMA
简单说来就是另外一头还是 TCP/IP,
但这头可以通过 ibverbs 直接访问 IP Packet
硬件可以直接把IP包 DMA到内存,省去了kernel copy和系统调用的开销
其实我不确定这个方案比kernel里面的iptables实现效率会提升多少
但是灵活性肯定会大大提升, 开发难度也不会太高
同样的思路也可以拿来搞 L2 load balancer, ipsec gateway
有兴趣可以继续聊聊 |
|
发帖数: 1 | 7 高薪急聘网络工程师
职位描述:
高负载cloud服务器架构,需要使用一台NGINX服务器作为Load Balancing服务器,为多
台PHP的前端服务器做负载平衡,精通MySQL。
1,精通LEMP, NGINX APACHE, IPTABLES;
2,能熟练使用NGINX实现多台服务器的LOAD BALANCING;
3,精通MySQL及优化;
4,需有丰富的实战经验,反应快,出错率低,具有故障排除以及迅速解决问题能力。
薪酬面议。
符合上述要求者,请将您的个人简历发送至
[email protected]/* */ |
|
t****t
发帖数: 6806 | 8 我查了一下, 基本上这样:
0. 以下设置针对router用PPPOE, modem用bridge mode的普通接法.
1. router的LAN需要和modem的IP在不同的子网上. 比如modem用192.168.0.1那router
就需要在192.168.1.X(反正不能在0.X).通常modem的IP不好改,所以改router的就好了.
2. 如果你用tomato, 则在administration->scripts->firewall里加上
/usr/sbin/iptables -I POSTROUTING -t nat -o $(nvram get wan_ifname) -d 192.
168.0.0/24 -j MASQUERADE
(假设modem是在192.168.0.X)
这个基本上是把访问192.168.0.X的都转到WAN上,但是不经过PPP.
或许可以在advanced->routing里加上static routing table来完成一样的功能:
destination=192.168.0.0
gateway=*
subnet mask=255.25 |
|
t***n
发帖数: 546 | 9 难道不是用外网ip加被唤醒机器的mac地址就行了吗
好像router除了设port forwarding外还要设置iptable |
|
t****t
发帖数: 6806 | 10 路由如果是用iptables实现的, 就设个特别的filter |
|
s**n
发帖数: 996 | 11 如果你从家能连得上你的vpn,说明server那边端口没问题,应该是你openvpn的配置问
题,还可能是你iptables的问题 |
|
N******7
发帖数: 1297 | 12 你住apartment吧?而且还是人口挺密的那种。
Cable和dsl的不同就在这里,Cable是大家share的,特别是现在TV,电话,都走
digital了。一到晚上大家都开始看电视用网络了,就会慢,会很慢。DSL是自己独占的
,不会存在这个问题。
你这个也是有办法解决的,但太复杂了。如果不懂Linux,不会用cron job,不知道
iptables命令等等的人还是不要想了。还不如换DSL或U-Verse呢。
全开始上网,带宽就悲剧了。最慢时上载连100K都不到。
了。有谁有类似的情况?怎么解决的? |
|
x*z
发帖数: 1010 | 13 都折腾完了,突然发现好像拿它没啥用啊,media player家里有
pbo,上面装着硬盘呢,打电话有obi110,另外还有个pap2闲置,
最最重要的,家里desktop跑的linux,什么乱七八糟都在上面呢,
apache、mysql、nas。。。
真拿它架个nas吧,哪倒腾那么多空间来放外置盘啊,我现在一
溜盘都挂机箱里多敞亮啊,还有自己mod的风扇,再说现在的版
本缺一堆kernel module,连iptables都跑不了,没有防火墙跑
个球啊,看来只好先闲置着了,等想明白能干啥再说。。。 |
|
g****n
发帖数: 3370 | 14 在router里执行如下系统命令。你如果刷的Tomato的话在诊断工具中可以输入。
ip addr add 192.168.0.10/24 dev vlan2 brd +
/usr/sbin/iptables -I POSTROUTING -t nat -o vlan2 -d 192.168.0.0/24 -j
MASQUERADE
执行后应该就可以直接访问192.168.0.1了。
LAN
谢谢 |
|
c********l
发帖数: 8138 | 15 目前的网络设置:
一台路由器,IP地址:192.168.0.1
一台Windows Server 2008,IP地址:192.168.0.2
现在Windows Server 2008上开了一个VPN Server,子网:10.8.0.0/24
我看OpenVPN的说明上说:
Pushing the redirect-gateway option to clients will cause all IP network
traffic originating on client machines to pass through the OpenVPN server.
The server will need to be configured to deal with this traffic somehow,
such as by NATing it to the internet, or routing it through the server site'
s HTTP proxy.
On Linux, you could use a command such as this to... 阅读全帖 |
|
c******d
发帖数: 906 | 16 自问自答一下
从内网用域名或者IP访问网页,需要修改路由器上的firewall规则
允许nat loopback就行了
番茄可以直接选
ddwrt还的手动添加命令
administration->commands->
自问自答一下
从内网用域名或者IP访问网页,需要修改路由器上的firewall规则
允许nat loopback就行了
番茄可以直接选
ddwrt还的手动添加命令
Administration->commands->
iptables -t nat -I POSTROUTING -o br0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j
MASQUERADE
then->Save to firewall
个主
【 】 Ctrl-Q 求救 状态 [插入][9,1][ ][ ] 时间【Fri May 4 00:38】
个主 |
|
a*o
发帖数: 19981 | 17 因为西红柿里的tap client没做好,不会自动config route和iptable,太麻烦了。
如果你没在cisco或cisco的competitor里混过,基本不太可能搞得定。
如果你真搞定了,那哥可以保举你去cisco混。 |
|
f*********e
发帖数: 8453 | 18 搞什么啊?谁知道怎么弄?貌似编译的时候没加进去? |
|
f*********e
发帖数: 8453 | 19 防火墙对外封锁啊。我想从外面访问,不想搞vpn。直接ssh。所以要防brute force试
我密码的机器人。 |
|
|
f*********e
发帖数: 8453 | 21 也行。
不过刚才查了一下,库里有,顺手pacman装上了。这玩意正经linux distro都是缺省安
装的。没想到到这变成了选装。
force试 |
|
a*o
发帖数: 19981 | 22 毕竟不是专门的ip设备,我估计大家一般都用不上。 |
|
m********o
发帖数: 143 | 23 有两台各有 48 cores 的 compute nodes,结果 1G 的 ethernet 成了瓶颈。10G 的
switch 太贵了,现在的想法是在 head node 上装一个有两个口的 10GBase-T 网卡,
然后在两台 compute nodes 上各装一个 10GBase-T 的网卡,直连。通过设置
iptables 把路由搞定。这样可行么?因为手里还没有 10GBase-T 的网卡,没有办法测
试,跑上来问问~ |
|
P****S
发帖数: 2286 | 24 iptables 不知会引入多少overhead.
48 core的server怎么也有4个1Gbps port吧。用bonding就行了。 |
|
m********o
发帖数: 143 | 25 感谢这么多人回复~
现在是 48 cores 共享一个 1G 网口……那叫一个挤破头啊……机器是 dell 的 C6145
,两台 48 core 的机器只占 2U,所以也没那么多网口做 bonding。确实是希望做成
C1-H-C2,C1 C2 之间基本没通信,所以不需要弄成三角。10G 的 switch 都嫌贵,就
不要提 infiniband 了,呵呵~
那我先 order 10G 的网卡,等到 iptables 设置不明白再回来求帮助:) |
|
|
t***5
发帖数: 832 | 27 Just did
service iptables stop
then the mount command worked. Then the next question, how do I bypass the
firewall for the mount command to work?
Many thanks. |
|
|
Z**0
发帖数: 1119 | 29 这个要看你对安全和速度的要求了。
两个server在一个子网里边不?
sshfs,就可以,简单。
nfs快,但是安全性没有sshfs好,需要配置nfs server。
iptables的问题,简单的方法,就是在root下,setup,(我猜那个package应该是默认
安装),然后自己按照屏幕,在防火墙里边,打开NFS需要的端口。 |
|
r****t
发帖数: 10904 | 30 I verify by manually entering it after boot and it works.
It is in fact one liner:
iptables -A FORWARD -o vlan2 -j ACCEPT
The only thing I can think of is that in the script version I don't have '
sleep n' in the beginning, but sleep is fragile... |
|
d*******3
发帖数: 6550 | 31 我觉得可能是你别的地方没设置好?你可以ssh到router里看看这个rule有没有在
iptables里,如果在的话那就肯定是其他地方没设置好了 |
|
l*****7
发帖数: 1125 | 32 tomato 默认的防火墙规则存在哪个文件里的?
每次iptable后的结果保存了,下次重启还是没有了 |
|
w*x
发帖数: 3456 | 33 修改后运行过iptable-restore了吗? |
|
|
C*******1
发帖数: 422 | 35 想装openVPN翻墙来着,装了openVPN(还有iptables),瞎搞一气,重启以后,看绿灯亮
的好好的,但是ping都ping不通了。这么办?我靠。 |
|
a9
发帖数: 21638 | 36 估计你是iptables搞错了吧?把u盘拿到linux下把配置文件删了应该就好了。 |
|
g****g
发帖数: 1634 | 37 这是我在Linux版发的,看看有没有能解这个问题的
在服务器上装了个450MB的无线网卡,想折腾成廉价的Router,
用了Hostapd,发现服务器挂在ASUS 的路由器下面好使,成了一个
新的无线路由,速度还不错,ASUS的老路由是100M的,
Modem->路由->服务器->无线网->笔记本,测试comcast速度 Download 有80M左右
跟直接用网线连路由速度差了20%左右。
想把路由甩掉,直接Modem->服务器(三个rj45一个wifi)后面用Hostapd和Switch做路由
结果,笔记本连上服务器后,能ping google.com但是就是连网页无效,上mitbbs也只有
登录页面,随后就断了,nat是用iptables
Modem用的是Moto的SurfBoard SB6141白色版。这个Modem自身不带路由和无线。
Comcast的arris倒是USB和router都有,但是速度和稳定性貌似比Moto差一些
再接Router的话速度下降的厉害 |
|
z*********e
发帖数: 10149 | 38 在路由上设置vpn相对算简单的,把几个key paste过去后在图形界面设置几个参数就成
。生成key的过程其实也不难。我个人觉得最难的是在linux上配置iptables :/
打印机共享和nas就功能来说更不在话下。tomato上都是非常容易的事情,samba的速度
确实比较慢,这是硬件性能限制,没办法的,能对付简单的应用而已。
用老的电脑做nas肯定性能强大许多。优点不说了,太多了。可是有的人可能没有多余
的电脑,没有地方放笔记本,或者不愿意再开一台机器而且对性能要求不高的时候,在
路由器上能实现这些功能就对他们非常诱人。
所以吧,我觉得得根据需求和实际情况决定怎么配置自家的网络。没有一个universal
solution for everyone. |
|
k**********s
发帖数: 6409 | 39
那抱什么?有比Windows XP/7/8更简单又灵活便宜省电还支持决策路由功能的?Linux
就是有的话,也只能是在XP的虚拟机里跑,大多数的laptop和netbook找Linux驱动还是
太难了。再说上面有朋友说了,他看到iptables就头疼。 |
|
z*********e
发帖数: 10149 | 40 lol,首先你不要动不动就说人可悲行不,也不要随便说别人没试过。你那个帖子里面的
信息都是错的
我家自己的网
router 1:
dhcp server
ip 192.168.10.1
nas:
192.168.10.250
连在router 1的 lan口上
router 2:
wan口连router 1的lan口
dhcp server,内网ip地址 192.168.9.1,外网ip地址192.168.10.x
开了wifi
device 1:
连router 2,ip地址192.168.9.x,随便访问nas和192.168.10.0/8网段内的所有设备。
但是反过来不行,从192.168.10.0/8的设备无法访问连接到router 2上的设备。我不是
专家,但是设置iptables应该可以解决这个问题吧,在openvpn的设置里面就有专门一
项push route可以干这个活。
另外你再想一想,假设一般人家里的cable modem地址192.168.0.1,路由器地址192.
168.1.1,你连路由器上的电脑能不能打开192.168.0.1这个地址进cable modem... 阅读全帖 |
|
t*m
发帖数: 1044 | 41 番茄内网上有一台服务器是DMZ模式。SSL(443),SMTP(25),SIP/Asterisk(5060)等外
网访问正常。但是另外一些服务器使用不规则端口的从外网无法访问。用端口扫描发现
这些服务本身所在的端口都接收到外网的请求,但是随后而来的随机端口(RTP?)
request无法响应。
因为已经处于DMZ模式了,所以不知道是不是firmware的防火墙或IPtable设置出了问题
。其实我基本上用的缺省设置。另外同一个路由器(ASUS RT-N12)刷DD-WRT也有同样问
题。
使用AT&T Uverse的猫加路由就没有这个问题,所有服务从外网访问正常。所以不是ISP
封杀端口的问题。
难道会是路由器的问题? |
|
j********2
发帖数: 4438 | 42
linux要shh进入,建目录,下软件,设权限,有iptable的话还得慢慢调。
黑群晖点几下鼠标就搞定了 |
|
b******6
发帖数: 572 | 43 【 以下文字转载自 Programming 讨论区 】
发信人: baobei76 (baobei), 信区: Programming
标 题: aws 选择哪个 Linux 好操作?
发信站: BBS 未名空间站 (Tue Mar 11 22:48:16 2014, 美东)
一年的免费玩玩,试了试,感觉 fedora是放弃了,19 和 20 遇到了很多问题。都是
iptables的,20是根本不工作,19是全打开。
问问大家都用什么?哪个文档多些?
我只是简单的架设web server。 |
|
B**********r
发帖数: 812 | 44 昨晚没事改了一下pogoplug的iptables,结果不小心把22端口input drop了,还没察觉
到,一会儿ssh就被踢出来了,怎么办?只能够重新fdisk再装一遍了吗? |
|
|
a********c
发帖数: 3657 | 46
merlin原生support optware/entware,就是一台完整的linux box。装个Webmin,
tomato那些web ui都是渣。。。
针对某ip/mac的关键字过滤直接Iptables不就完了。。。
tomato中的实时QoS。。。呵呵,地球人都知道那玩艺是样子货。。。
N16最大的短板就是信号覆盖,因为阿苏轼忘了给it放signal amplifier circuit。。
。 |
|
S*A
发帖数: 7142 | 47 这个应该是网络包的协议解释。这个路由器配置了 firewall 有些 logging
的规则,被触发了就log 数据包。那个 ACCEPT 看上去很像 Linux 的
iptable。
这个基本上就是数据包的内容,看上去很直观啊。如果你不熟悉 TCP/IP,
建议看看 TCP/IP 的介绍。
xx
60
020405
MA
L |
|
s*******s
发帖数: 1250 | 48 rule could be https and youtube.com,
or you can add a iptable |
|
g*******t
发帖数: 7704 | 49 双网卡的nas都可以, 要自己写iptables不容易, |
|
t****t
发帖数: 6806 | 50 好吧, firewalld不好用(或者我不喜欢...), 我直接给fallback到iptable了 |
|
