标签: linux-networking

一个简单的问题：如何在一个物理网络接口 (linux) 上设置多个 MAC 地址？

为什么？我的 ISP 正在检查 GW 上的 ip<->mac，我想通过我的“linuxbox”路由流量，而不是用不同的源 ip 转发它。

如果不检查 ip<->mac，我将使用 eth0、eth0:0，但在这种情况下，我需要每个 IP 的唯一 MAC 地址。

我想在 CentOS5 服务器上关闭 tcp 分段卸载。使用 ethtool 命令是ethtool -K eth0 tso off但是，此设置仅在此会话中持续存在。我怎样才能让它通过重新启动持续存在？

几天来，我一直在用头撞墙试图弄清楚这一点：我的 ifconfig 是：

eth0      Link encap:Ethernet  HWaddr 00:50:56:BB:XX:XX
          inet addr:192.168.36.132  Bcast:192.168.37.255  Mask:255.255.254.0

eth1      Link encap:Ethernet  HWaddr 00:50:56:BB:XX:XX
          inet addr:116.xx.xx.xx    Bcast:116.xx.xx.xx    Mask:255.255.255.192

当我尝试添加静态路由以离开 eth0 时，出现以下错误：

servername-test:/ # route add -net 10.248.12.0 netmask 255.255.255.240 gw 192.168.36.254 dev eth0 
SIOCADDRT: Network is unreachable

我的默认网关是：

servername-test:~ # netstat -anr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
116.xx.xx.xx    0.0.0.0         255.255.255.192 U         0 0          0 eth1
192.168.238.0   192.168.36.254  255.255.255.0   UG        0 0          0 eth0
192.168.239.0   192.168.36.254  255.255.255.0   UG        0 0          0 …

我正在尝试在基于 Debian 的路由器上调整 Snort 性能。我看到的是这样的东西：

snort packet recv contents failure: No buffer space available

所以我将缓冲区提高到 8M，当这不起作用时，我尝试了 16M，根据http://fasterdata.es.net/fasterdata/host-tuning/linux/ 上的调整指南：

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing. …

我们有许多 Linux 服务器，我想捕获要由 netflow 分析器处理的 netflow 数据。我已经被 Mikrotik 路由器允许生成网络流数据的便利所宠坏，但我还没有设法找到能够为 Linux 系统上的多个接口生成网络流数据的开源工具。

我遇到过fprobe，但它似乎有很多问题。诚然，我还没有花太多时间在它上面，因为我还想评估一些其他的可能性。我提到的另一个工具是nprobe，它似乎是 GPL，但不能免费下载，因为它只提供收费。

我计划在其上生成 netflow 数据的服务器都是 Gentoo 系统，但这应该没有任何区别。这最多意味着我必须从源代码手动编译一个工具。

简介：我正在寻找一个可以在 Linux 上运行并允许捕获多个接口的流的开源网络流生成器。

我们最近为 OpenSSH 应用了供应商提供的补丁。该补丁禁用了一些密钥交换协议，以应对最近的 Logjam 攻击。应用此补丁后，我们有一些供应商无法通过 sftp 与之交换文件，因为连接协商失败（可能是由于已弃用的密钥交换算法）。

在与我们的供应商交谈之前，我只想验证我们看到的一些事情。这是与问题供应商之一的示例 SSH 会话（添加了行号）：

# ssh -vv user@host.domain.com
01 OpenSSH_6.2p2, OpenSSL 0.9.8j-fips 07 Jan 2009
02 debug1: Reading configuration data /etc/ssh/ssh_config
03 debug1: /etc/ssh/ssh_config line 20: Applying options for *
04 debug2: ssh_connect: needpriv 0
05 debug1: Connecting to host.domain.com [1.2.3.4] port 22.
06 debug1: Connection established.
07 debug1: permanently_set_uid: 0/0
08 debug1: identity file /root/.ssh/id_rsa type -1
09 debug1: identity file /root/.ssh/id_rsa-cert type -1
10 debug1: identity file /root/.ssh/id_dsa type -1
11 debug1: …

当由于超时而无法解析主机名时，我需要测试应用程序的行为。设置nameserver 127.0.0.1在/etc/resolv.conf没有工作：相关功能有异常立即返回。测试设备是一个用 Vagrant 创建的虚拟机，它通过 DHCP 接收其 IP 地址。

在 RHEL 中，我不使用service network restart命令，而是如何重新启动特定的网络接口，比如说“eth1”，只有一个命令。

“只有一个命令”，因为那也是我ssh正在处理的唯一界面。因此，如果我要使用：ifdown然后ifup，我将永远无法执行该ifup命令，因为我的命令ssh已在ifdown eth1命令后终止一次。

所以应该有一个命令，它允许我完全关闭然后打开为我当前ssh连接提供服务的接口。所以我不需要担心连接完全丢失到我的服务器。

请问有什么想法吗？

我公司的产品本质上是一个 Linux 机器 (Ubuntu)，它位于其他人的网络中，运行我们的软件。到目前为止，我们在野外只有不到 25 个盒子，并使用 TeamViewer 来管理它们。

我们现在将运送 1000 个这样的盒子，而 TeamViewer 不再是一种选择。我的工作是找出一种访问这些盒子并更新它们上的软件的方法。这个解决方案应该能够穿透防火墙和你有什么。

我考虑过：

1. 自行开发的解决方案（例如 Linux 服务），它建立到云中服务器的SSH 反向隧道，以及云中的另一个服务来跟踪这些并让您连接到它们。

这显然是劳动密集型的，坦率地说，感觉就像重新发明轮子，因为许多其他公司肯定已经遇到过这个问题。即便如此，我不确定我们会在这方面做得很好。

2. puppet、chef 或 OpenVPN 等工具

我试图尽可能多地阅读，但我似乎无法通过营销演讲足够深入地理解显而易见的选择。

除了我们之外，没有其他人需要连接到这些盒子。有没有相关经验的人可以给我一些指点？

如果我在 Linux 机器（这里：Debian Lenny）上有多个网络接口（这里：2）。我如何查看到特定目标主机的路由通过哪个网络接口 (NIC) 进行以及默认使用哪个源 IP 地址？

我虽然使用

ping -I nic1 desthost.example.com
ping -I nic2 desthost.example.com

也看看这两种方式是否可行。（这里：两种方式都可以）

我查了路由表

ip route show

但它相当复杂，所以我想，必须有一个简单的小工具，告诉我：

“到目标主机 desthost.example.com 它需要接口 nicX 和源 IP 地址 10.0.0.1”

获取这些信息的最简单方法是什么？

（而且我宁愿不使用 tcpdump 并将接口设置为混杂模式。）

谢谢。