标签: nat

只是在黑暗中试一试，但我想我会问，以防万一有人有一些想法：

我有一个测试场景，其中一些（无 GUI/嵌入式）IPv6 设备将临时插入托管以太网交换机的端口，以及一个控制程序（在单独的 Linux PC 上运行，也连接到交换机) 将检测这些设备之一何时出现在 LAN 上，并自动运行测试以确保设备正常工作。

通常会同时连接十几个这样的设备（因此我们可以并行运行测试），并且设备将由不一定了解网络的人定期连接和断开连接；他们只知道如何插入以太网电缆，然后（几个小时后）查看 PC 的屏幕以查看测试是否通过。

当前的问题是如何在特定设备未通过测试时向测试人员指示。一种选择是错误日志/消息包含设备的 MAC 地址（源自其本地链路 IPv6 地址），这在紧要关头可能就足够了，但如果测试程序也可以说类似的话会更好“连接到端口 #5 的设备工作不正常，看看那个”。这样一来，测试人员就可以沿着以太网电缆找到故障设备，而不必弄清楚每个设备的 MAC 地址是什么，直到他/她找到匹配的设备。

我认为Linux 计算机不可能知道特定设备连接到哪个交换机端口（如果我错了，请告诉我）。但假设是这种情况，下一个最好的事情是，如果我可以对交换机进行编程以进行 MAC 地址转换，例如，插入到端口 #n 的任何设备总是出现（对 Linux 计算机），就好像它有 MAC地址 foo:bar:baz:n，因此显示为 IPv6 地址 fe80::2foo:bar:baz:n。如果交换机像这样进行 MAC 地址转换，那么控制软件可以通过查看虚假 MAC 地址的最后一部分来确定设备连接到哪个端口。

所以我的问题是，任何托管以太网交换机都支持这种行为吗？如果是这样，这个功能叫什么（所以我可以找到一个开关）？如果没有，是否有更好的方法来解决我应该考虑的这个问题？

我在 Debian Squeeze 机器上使用 Strongswan VPN 服务器。传入的 VPN 客户端获得 192.168.99.0/24 子网的 IP。

由于我在使用非加密 WLAN 时主要使用此 VPN 进行加密，因此我正在使用 iptables 将源 NAT 连接到互联网。（我更喜欢源 NATing，因为服务器有一个静态的 ipv4 地址。）

目前我正在使用以下 iptables 命令

# used for StrongSWAN
iptables -t nat -I POSTROUTING -s 192.168.99.0/24 -o eth0 -j SNAT --to-source <public IP adress of server>

我的问题是：当使用这个规则时，从这个 192.168.99.0/24 子网传入的每个流量现在都被接受和 NAT。我想更具体地说，只有通过此 VPN 隧道进入服务器的流量才能被此规则接受。

在具有两个网络设备的经典路由器设置中，我会检查传入设备以实现这一目标。Strongswan 中是否有等效的东西（例如虚拟网络设备）？

如何过滤掉通过隧道到达服务器的数据包，以便仅对这些数据包进行 NAT？

我在私有端使用整个 10.0.0.0/8 子网。

我想允许子网的某个部分（比如 10.0.0.2 - 10.0.31.254）通过 linux 路由器访问互联网，而不是网络的其余部分（10.0.32.1 - 10.255.255.254）

我试过 iptables -t nat -A POSTROUTING -s 10.0.0.0/19 -o eth0 -j MASQUERADE 10.0.0.0/19 is 10.0.0.2 - 10.0.31.254 但没有工作站可以访问网络

我知道整个 10.0.0.0/8 是 16,777,214 个 IP 地址，但我有我的理由

谢谢

我想在它到达 POSTROUTING 链后丢弃某些发往 ip_address 的数据包。但是，对于 iptables，“nat”表不能用于过滤，因此以下不起作用：

iptables -t nat -A POSTROUTING -d ip_address -j DROP

那么有没有办法做到这一点？如果 iptables 做不到，有没有其他选择？请指教。谢谢你。

我安装了鱿鱼代理服务器来隐藏我们的网络IP，一段时间后它变得很慢，然后我阅读NAT规则以通过代理服务器实现我想要的。根据此链接， NAT 和代理服务器之间的区别在于它们处理用户数量的方式。我们一共8个人，我们的专线网速是2Mbps。

建议我应该改进鱿鱼代理服务器还是只在 mikrotik 路由器中实施 NAT 规则？

附加信息

单独的旧机器用于鱿鱼代理服务器，其中具有 1280 MB RAM、80GB 硬盘和 Pentium 4(2.40Hz) 的 ubuntu 服务器。

Mikrotik 路由器将流量从我的网络转移到代理服务器。

我们有一些利益相关者认为我们工作站使用的公共 IP 应该具有全球可用的 DNS 记录，并且没有 dns 记录会破坏某些互联网服务。我过去听说过这种需求，但在这个时代，我是否仍然需要为我们的工作站 IP 地址空间向全世界提供 dns 记录？

这是一个学校网络。

官方（外部可访问域名）是 bgschwechat.ac.at（www.bgschwechat...、mail.bgschwechat... 和 ftp.bgschwechat...）

在内部，windows 域被命名为 bgs.ac.at

我们需要（可能很便宜）用于 Webserver 和 Exchange-Server 的 SSL 证书

从我们的防火墙 (www.bgschwechat.ac.at) (Sophos UTM9) 请求被 NAT 转换到虚拟机 - 其中一些需要 SSL

• 网络服务器（运行 CENTOS - www.bgschwechat.ac.at）
• Exchange Server（名为 xch.bgs.ac.at）应该可以通过 NAT 作为 mail.bgschwechat.ac.at 访问
• WSUS 服务器 (dc2.bgs.ac.at) - 仅适用于内部客户端

我的问题：我们需要保护什么样的 SSL 证书，例如。两个域（bgschwechat.ac.at 和 bgs.ac.at），以便它们在 NATTING 时从外部看起来是安全的，例如 mail.bgschwechat.ac.at 到 xch.bgs.ac.at ？

还是需要将内部域名重命名为官方域名？

...建议在哪里购买此类证书？

我们使用的服务的 API 将拒绝请求，除非源 IP 先前已被列入白名单。他们只给了我们 3 个插槽，这是一个问题，因为我们有超过 3 台机器需要使用 API。

解决此问题的最常用技术是什么？

注意：我不想做任何违反 3rd-party API 的条款和条件的事情。我们正在使用ResellerClub，我联系他们要求更多插槽，但他们回答说：

我请求您将您的服务器路由到几组 IP。

因此这个问题。

想法：

• 我想我们可以通过运行一种充当中间人的代理来解决这个问题。我们没有向第 3 方发出 API 请求，而是将它们发送到我们的代理，代理将请求反弹给第 3 方，因此所有请求在他们眼中似乎都来自同一个 IP。有做这种事情的通用软件吗？这样做似乎比下面的想法更简单，但我错了吗？
• 我应该研究使用“NAT 实例”吗？例如http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html。看起来很复杂 - 没有更简单的解决方案吗？（运行具有额外网络复杂性的额外实例是一种耻辱）。
• 既然我们使用 Docker，那么Weave是否相关？
• 我们可以将静态 IP 附加到 VPC 网关吗？我看到使用 AWS Storage Gateway（来源）是可能的——但不确定常规的 vpc igw？

我们的架构：我们使用 AWS 并在 ELB 后面运行的 VPC 中放置我们的实例。我们经常在事先不知道 IP 地址的情况下启动新实例。我们在所有机器上运行相同的软件。这些机器运行 CoreOS，我们的应用程序在 Docker 容器中运行。

我的 linux 盒子中的应用程序正在连接到“ip.example.com”。

“ip.example.com”的 IP 地址在 /etc/hosts 中定义为

10.23.22.1 ip.example.com

在目标 IP 上，服务正在端口 8080 上运行。但是，应用程序尝试连接10.23.22.1:80并失败。无法修改目标 IP 或在本地运行的应用程序。

我想将传出流量从 到 转发10.23.11.1:80到10.23.22.1:8080我的本地框。

这可以在 ip 表中实现吗？

我刚毕业后就开始在一家中小型企业工作。我的很多知识都是高级概念，没有很多实践。

我的理解是，根据 rfc1918，只有以下 IP 范围适用于私有 IP：

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

这个概念如何与 NAT 防火墙配合使用？它不适用于 NAT 防火墙后面的内部 IP 地址吗？

我问的原因是因为我们的内部网络在199.5.83.0/24。看到这个时，我的第一个想法是这不是私有 IP 空间。此内部网络位于外部 IP 为 74.4.9.x 的 NAT 防火墙后面。

这个设置有意义吗？它是否违背了最佳实践？有人可以尝试给我一个简短的解释来为我巩固这些概念吗？任何相关阅读的链接也将不胜感激。