内部系统上配置长期稳定的 Postfix 邮件服务器,具有灰名单、一长串限制和实时黑名单,可通过网关/防火墙通过转发端口访问,在升级防火墙/网关系统后,入站和出站运行良好,然后我转向其他升级问题。大约 5 小时后,我发现 /var/log/maillog 活动异常活跃 - 垃圾邮件发送者已经接管了。 环境(不明智地)升级到了 Fedora Core 19,出现了许多网络问题,这是其中之一。我彻底研究了这个问题。我看过的所有文章都忽略了我遇到的问题的原因…… 我已经弄清楚了,原因并不那么明显。我花时间为其他人“留下线索”。问题是:当人们有充分理由相信邮件服...
因此,我安装了Fedora Core 19这是第一次替代磁盘最终损坏的旧系统。该系统充当Web 服务器和网关/防火墙,保护内部系统。因为它有很多网络配置,所以我得到了介绍 - 并且发现我非常喜欢 -新的防火墙守护进程,firewalld。 我以为一切都很顺利(麻烦总是在这时候发生),突然我发现内部邮件服务器的maillog 文件变得疯狂- 幸运的是,在一切正常后 6 个小时我仍然可以观看它。 调查显示,问题在于我的内部邮件系统(受防火墙保护)不知何故认为所有出站邮件都来自网关系统,因此它是一个“内部”系统,而垃圾邮件发送者发现它是一个开放中继。我还注意到...
在网关/防火墙系统的硬件发生故障后,在新硬件上安装了较新版本的 Fedora Core (17),并使用了 /etc/sysconfig 中的旧“iptables”和 system-config-firewall 文件(没有其他内容)。FC 的旧版本未知,但可能是 14 或 15,旧磁盘不再可读。(我已将以前的 iptables 文件内容放在下面。) 该系统的工作专门用于: 接受来自任何网络源的端口 22 (ssh) 以进行本地传送 (sshd)。 将端口 222 转发到内部系统上的端口 22 (ssh),保留原始 IP 地址。 将端口 25(电子邮件...
我有带默认网关的内部网络。由于我的 ISP 阻止了某些 IP,因此我想通过 VPN 重定向此流量。 为了实现这一点,我不想配置 VPN 客户端。相反,我想部署一个网络路由到具有专用 IP 的 VPN 客户端 docker 容器。我希望这个容器接受所有传入流量并通过 VPN 转发(伪装,对吧?)。 我可以完成这一步之前的所有操作,但我不知道应该在 docker 容器上设置什么 iptables 规则。 是否有一些图像可供我使用?如果没有,我应该遵循什么规则? ...
我正在尝试设置一个 wireguard 服务器,以便客户端可以访问本地文件服务器。我通过在 wireguard 服务器上激活伪装来管理它。但现在我们需要客户端从已在路由器 (pfsense) 上配置的子网中获取 IP 地址。 当 wireguard 服务器位于 DMZ 中而不是我们本地网络中的 pfSense 后面时,我不清楚如何实现这一点。 安装的粗略概述 有人能指点一下这是否可行,以及我该怎么做吗?另外,我很好奇内部 wireguard IP 网络实际上是用来做什么的? 设置具有伪装的 wireguard 服务器按预期工作,但是在使用隧道时,wiregu...
在 Ubuntu 22.04 服务器中,自定义路由表的伪装/NAT 不起作用(对于 VPN 客户端)。但是,当我不将流量路由到自定义表(并让其保留在主表中)时,它可以工作。 FORWARD 链的默认策略设置为 ACCEPT。 编辑: 当前配置: # sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 # iptables -t filter -L FORWARD Chain FORWARD (policy ACCEPT) # iptables -t nat -A POSTROUTING -o e...
我最近遇到了一个网络问题,我们的网络中有两个容器(位于两个不同的主机上): 一个主机上的容器可以 ping/访问特定网络上的物理主机,而第二个主机上的另一个容器则不能,即使(据我所知)配置相同。 该网络的详细信息如下: 有两台物理主机(host01 和 host02) 每个主机上都通过 LXC 运行一个容器(container01 在 host01 上,container02 在 host02 上) 两个容器都连接到虚拟 LXC LAN 上的各自主机,范围为 10.0.10.0/24,主机的 IP 为 10.0.10.1,容器的 IP 为 10.0.10....
我正在设置一个新的公共网络 IP/24。迟早我的旧子网公共网络 IP/24 会被删除。同时,我想创建一个代理,将所有流量移至旧子网到新子网。我正在考虑通过互联网进行 1:1 NAT。 因此,当有人访问旧 IP 时,我希望它被代理到新 IP。 XXX.XXX.XXX.9 -> YYY.YYY.YYY.9 XXX.XXX.XXX.10 -> YYY.YYY.YYY.10 XXX.XXX.XXX.11 -> YYY.YYY.YYY.11 XXX.XXX.XXX.12 -> YYY.YYY.YYY.12 等等。 我尝试设置一个代理...
我已经在我们的数据中心安装了 strongswan 隧道,用于提供站点到站点的 vpn。我在 iptables 中设置了伪装。这工作正常。但现在,我想使用路由而不是路由来设置相同的流量。 在数据中心,我有网络 /24。在这个网络中,我有本地 IP xxx186/24 的 strongswan 服务器和本地 IP xxx1/24 的 pfSense。在 pfSense 上,我设置了网关和到隧道后面网络的静态路由。如果我从数据中心的任何 PC ping 到 vpn 隧道后面的子网,一切都正常,因为流量是通过 pfSense 传输的。 如果我从隧道另一侧的设备 p...
我有一台笔记本电脑 (172.16.0.2) 和一台台式电脑 (172.16.0.1)。手机以 USB 调制解调器模式连接到电脑,并显示为 enp5s0f3u1 接口。我已经通过 nftables 设置了伪装,以便笔记本电脑可以通过本地网络通过台式电脑访问互联网。然而,几天前,它停止工作了,我不知道为什么。我已经检查了路由表,并且转发也已启用。问题似乎出在台式电脑上,因为出于某种原因,nftables 没有做任何事情(请求从笔记本电脑发送到电脑,但 IP 地址没有改变,例如,172.16.0.2 -> one.one.one.one)。 这是我的 nf...
我想将我的本地托管服务器隐藏在公共 VPS 后面。因此,我在本地防火墙 (fortinet) 和我的 vps (strongswan) 之间建立了 VPN。 图表 VPN 已启动,但没有任何流量。即使在 tcpdump 中,我也看不到来自隧道的双向流量。 VPS: ens6 上的 92.xxx(srv1.domain.net) ens6:1 上的 10.200.0.25/29(使用“ip addr add”在网络设备上添加别名 IP) 家: 动态 IP -> wan1 (home.domain.net) 上的 82.xxx 10.1.0.0/20...
我有一个具有多个网络接口的环境:eth0和vpn1。我正在运行docker,它有一个iptables伪装规则来伪装来自的流量172.17.0.0/16:-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE 该规则目前允许来自的流量172.17.0.0/16通过 到达开放互联网eth0。 当前设置如下(启用 VPN): $ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group ...
我们有一些客户端(网络)通过 VPN 连接到我们的服务器网络。假设客户端有 eg,192.168.0.1/32而我们的服务器网络处于 状态10.1.0.0/24。 所以现在这个客户端的问题是,他们已经在使用他们10.1.0.0/24自己,所以我们无法在客户端拥有我们的范围。请注意,配置客户端网络不在我们掌控之中。 为了避免出现问题,我们决定使用以下iptables规则映射我们的网络 NETMAP all -- any any 10.1.0.0/24 192.168.0.1 to:192.168.101...
这个环境几乎所有东西都是双胞胎,包括两个 Web 服务器/防火墙/网关系统,而且它们的版本已经过时了,所以我决定升级其中Fedora Server 30 to 38一个。当然,我的想法是让两者都“进入现代时代”,但每次只能升级一个。 我的时间安排很奇怪,因为就在我开始升级的同时,甚至没有接触(物理或电子)另一台服务器,它就决定失败了!所以,现在我有一个“服务器宕机”的情况。-呃-不幸的是,这也意味着我没有一个可以查看的工作示例。 我没有触及的那个显然有硬件问题,我现在无法解决,所以我专注于我已经开始的那个,它现在已经从升级/更新到 Fedora Server...
我正在使用 RHEL 8,并尝试使用防火墙命令设置 NAT/MASQUERADE。到目前为止,我拥有公共区域中的所有网络接口和服务。eno8303 是内部网卡,eno8403 是外部网卡。这是我的程序,但我无法让它工作:- sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -o eno8303 -j MASQUERADE sudo firewall-cmd --permanent --direct --passthrough ipv4 -A FORW...