タグ付けされた質問 「networking」

私はCentOS 7サーバーで作業しており、JBossを希望どおりに動作させようとしています。私はJava 8とJBoss（乱暴）8を実行しています。これらをインストールしてデフォルトのポートで動作させていますが、JBossをポート80で動作させたいのですが、ポート80で動作させることもできます。ルートとして実行しますが、それは良い考えではないことを知っており、ルートとして実行したくありません。 ポート80を8080に転送しようとしましたが、動作しません。足りないステップがあるようですが、足りないものはわかりません。 firewall-cmdを使用しています。両方のポート（80と8080）を開いて、パブリックゾーンのマスカレードを有効にしました。このコマンドを使用してポートを転送しました firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080. 私が見逃しているものはありますか？

9 networking  centos  firewall 

次のシナリオをシミュレートしたいと思います。4台のubuntuサーバーマシンA、B、C、Dがあるとします。マシンAとマシンCの間でネットワーク帯域幅を20％、AとBの間で10％削減したいと思います。方法これを行うには、ネットワークシミュレーション/スロットルツールを使用しますか？

9 ubuntu  networking  tcp  linux-networking  bandwidth 

私は、domonを拡張するための冗長性とさまざまな論理ネットワークレイヤーを提供するために、インターフェースボンド、vlan、およびブリッジインターフェースの組み合わせを使用してきました。 この設定はうまく機能していますが、これらのインターフェースの異なる設定が相互にどのように影響するかについては、少し不確かです。説明のために、典型的なdom0でのセットアップを以下に示します。 /- vlan10 -- br10 eth0 -\ / > bond0 <--- vlan20 -- br20 eth1 -/ \ \- vlan30 -- br30 bond-、vlan-、およびbridge-interfacesは物理的ではなく論理的であると考えると、物理（eth0、eth1）インターフェイスに異なるMTUセットがある場合、これらのインターフェイスにMTUを設定しても効果がありますか？

9 linux  networking  vlan  bonding  mtu 

192.168.26.1にTFTP / DHCP / NFS / SMBサーバー（Ubuntuサーバー12.04 LTS）があります。pxelinuxを使用して、Windowsの起動オプションとインストールオプション、Ubuntuネットワークインストーラー、およびLinux Mint 17 MATEライブCDを含むメニューを表示します。このように実行することはすでに厄介であり、私は蒸気を使い果たしています... Linux Mintには、NFSとCIFSの2つのネットブートオプションを用意しました。私はそれをNFSで完全に動作させました：ユーザーはブートメニューでそれを選択でき、しばらくするとLinux MintライブCDデスクトップに移動します。しかし、CIFSでは、ネットワーキングが適切に初期化されません。Linux Mintが起動すると、ネットワークは120秒間ハングします。その後、デスクトップから起動し続けますが、ネットnetwork-managerは起動していません（起動していません）。DHCPサーバーが応答しないことが問題であると考えましたが、DHCPサーバーのログでDHCP要求と正常な応答を確認できます。 Linux Mintデスクトップに入るifconfigと、DHCPによって割り当てられたIPアドレスが報告され、サーバーへのpingが機能します。 私のpxelinux構成は次のとおりです（すべてAPPENDが1行で、このサイトでは読みやすくするために分割しています）： NFS： LABEL linuxmint17 MENU LABEL Linux Mint 17 KERNEL linux-mint-17/image/casper/vmlinuz APPEND root=/dev/nfs boot=casper netboot=nfs nfsroot=192.168.26.1:/var/lib/tftpboot/linux-mint-17/image initrd=/linux-mint-17/image/casper/initrd.lz CIFS： LABEL linuxmint17smb MENU LABEL Linux Mint 17 (SMB) KERNEL linux-mint-17/image/casper/vmlinuz APPEND root=/dev/cifs boot=casper netboot=cifs nfsroot=//192.168.26.1/tftpshare/linux-mint-17/image …

9 ubuntu  networking  pxe-boot  cifs  linuxmint 

RFC 1034では、DNSサーバーに少なくとも2つのIPアドレスを割り当てる必要があります。ただし、エニーキャストアドレス指定を使用すると、単一のIPアドレスで冗長性を既に実現できます。BGPエニーキャストは、数百または数千のサーバーにまで拡張できるようです。 もしそうなら、それでもDNSサーバーに複数のIPアドレスが必要なのはなぜですか？すでにエニーキャストを実施している場合、それは実際に冗長性を高めます（可用性に貢献します）か、それとも単なる神話ですか？ 単一のIPアドレスのみを使用する場合、どのような問題やエラーに直面する可能性がありますか？ つまり、セカンダリDNSアドレスを完全に省略1.2.3.4するか、いくつかのセットアップで少なくとも2つ必要な場合は、2番目のアドレスに偽のIP（例:)を使用します。

9 networking  domain-name-system  routing  ipv6  anycast 

dnsmasq.conf内： address=/local/127.0.0.1 resolv.conf： # Generated by NetworkManager domain example.com search example.com nameserver 127.0.0.1 nameserver 10.66.127.17 nameserver 10.68.5.26 nslookupを使用できます。 # nslookup www.local Server: 127.0.0.1 Address: 127.0.0.1#53 Name: www.local Address: 127.0.0.1 しかし、pingは使用できません。 # ping www.local ping: unknown host www.local 私はtcpdumpを使用して、www.localにpingしているときにloをキャプチャします。 # tcpdump -i em1 -n | grep local tcpdump: verbose output suppressed, …

9 networking  domain-name-system  ping  dnsmasq  resolv.conf 

数十台のProxmoxサーバー（ProxmoxはDebian上で実行されます）があり、月に1回程度、そのうちの1台にカーネルパニックが発生してロックアップします。これらのロックアップに関する最悪の部分は、サーバーがクラスターマスターとは別のスイッチ上にある場合、そのスイッチ上の他のすべてのProxmoxサーバーは、実際にクラッシュしたサーバーを見つけて再起動するまで応答を停止することです。 この問題をProxmoxフォーラムで報告したときに、Proxmox 3.1にアップグレードするようにアドバイスされました。私たちは過去数か月間それを行っています。残念ながら、Proxmox 3.1に移行したサーバーの1つは、金曜日にカーネルパニックでロックされ、クラッシュしたサーバーを見つけて再起動するまで、同じスイッチ上にあるすべてのProxmoxサーバーにネットワーク経由で到達できませんでした。 ええと、スイッチ上のほとんどすべてのProxmoxサーバー...同じスイッチ上のProxmoxサーバーが、Proxmoxバージョン1.9のままであったことは、影響を受けなかったことが興味深いものでした。 クラッシュしたサーバーのコンソールのスクリーンショットは次のとおりです。 サーバーがロックアップすると、同じスイッチ上にある、Proxmox 3.1を実行していた残りのサーバーが到達不能になり、次の問題が発生しました。 e1000e 0000:00:19.0: eth0: Reset adapter unexpectedly e1000e 0000:00:19.0: eth0: Reset adapter unexpectedly e1000e 0000:00:19.0: eth0: Reset adapter unexpectedly ...etc... uname-ロックされたサーバーの出力： Linux ------ 2.6.32-23-pve #1 SMP Tue Aug 6 07:04:06 CEST 2013 x86_64 GNU/Linux pveversion -v出力（省略形）： proxmox-ve-2.6.32: 3.1-109 (running kernel: 2.6.32-23-pve) pve-manager: 3.1-3 …

9 networking  debian  proxmox  kernel-panic 

ethtoolは、「サポートされているポート：[TP MII]」および「ポート：MII」と表示します。TPはツイストペアとMedia Independent Interfaceを意味すると思います。しかし物理的には、ネットワークカードがこのMIIコネクタではなくツイストペアケーブルを使用していることがわかります。それでは、それをどのように説明できますか？

9 networking  ethtool 

VMを構築するときに、vNICにする仮想デバイスのタイプ（E1000、VMXNET3など）を選択できます。 VMが作成された後、特定の接続で使用されているvNICのタイプを変更できますか（E1000からVMXNET3など）？ もしそうなら、どうですか？

9 networking  vmware-vsphere  vmware-vcenter  vswitch 

私は、ITスタッフまたはローカルコンサルタントがいる倉庫保管および産業用アプリケーションの多くのクライアントを扱っています。これらのサイトの多くは、まだ10/100メガビットのスイッチングバックボーンを使用しています...私は、より大きな、より目に見えるイニシアチブの一部として、一部のクライアントにネットワーキングに投資してもらうことに成功しました。たとえば、セキュリティ、倉庫管理、VoIP（PoEのおかげ）。 私の質問は、サーバールーム/クローゼットに3つ以上のスタンドアロンスイッチのグループを配置する方法についてです。これらのスイッチがWeb管理のレイヤー2フルギガビットカテゴリ（HP ProCurve 1800-24G）であり、専用のスタッキングインターフェイスがないと仮定します。通常の範囲のサーバーと、インターネット接続用のCisco ASAファイアウォールへの1つのアップリンクを想定しています。多くの場合、このようなスイッチは単純にデイジーチェーン接続されています。 中小企業のITの現実... :( スイッチが2つしかないので、ユニット間にLACPボンドを設定します。サポートされている場合は、スパニングツリー。しかし、3つ以上のユニットはどうですか？ 私自身の環境では、PoEまたはより複雑なルーティングが必要なため、高品質のスタッカブルギアを使用するか、フルシャーシスイッチ（Cisco 4507、HP 5400zl）を活用するだけの贅沢がありました。しかし、上記の状況に適切なプロセスは何ですか？

9 networking  hardware  switch  cable  spanning-tree 

サービスが実行されていないポートを閉じることには利点がありますか？ 次に何をするかではなく、iptablesレベルで接続を終了することで何が得られますか（私はOSを推測します）。

9 linux  networking  iptables  firewall  port 

インフラストラクチャは、シンガポール、ロンドン、ロサンゼルスなど、世界中のいくつかの主要な場所に分散しています。2つの場所間のRTTは150ms以上です。 最近、すべてのサーバーを1Gbpsリンクを使用するようにアップグレードしました（100Mbpsから）。私たちはさまざまな場所にあるサーバー間でいくつかのTCPベースのテストを実行しており、いくつかの驚くべき結果を見てきました。これらの結果は完全に再現可能です。 ロサンゼルス（100Mbps）からロンドン（100Mbps）：〜96Mbpsスループット ロサンゼルス（100Mbps）からロンドン（1Gbps）：〜96Mbpsスループット ロサンゼルス（1Gbps）からロンドン（100Mbps）：10-40Mbpsスループット（揮発性） ロサンゼルス（1Gbps）からロンドン（1Gbps）：10-40Mbpsスループット（揮発性） ロサンゼルス（1Gbps）からロサンゼルス（1Gbps）：900Mbpsを超えるスループット 送信側が1Gbpsで実行されている場合は常に、長いリンクではスループットが大幅に低下するようです。 以前のテストアプローチは非常に単純です-私はcURLを使用してターゲットサーバーから1GBのバイナリをダウンロードしています（上記の場合、cURLクライアントはロンドンのサーバーで実行され、LAからダウンロードするため、LAが送信者になります）。 。もちろん、これは単一のTCP接続を使用しています。 iperfを使用してUDPで同じテストを繰り返すと、問題が解消します。 ロサンゼルス（100Mbps）からロンドン（100Mbps）：〜96Mbpsスループット ロサンゼルス（100Mbps）からロンドン（1Gbps）：〜96Mbpsスループット ロサンゼルス（1Gbps）からロンドン（100Mbps）：〜96Mbpsスループット ロサンゼルス（1Gbps）からロンドン（1Gbps）：250Mbpsを超えるスループット これは、私の目にあるTCPまたはNIC /ポート構成の問題を直視しています。 両方のサーバーは、TCPキュービックでCentOS 6.xを実行しています。どちらも最大8MBのTCP送受信ウィンドウがあり、TCPタイムスタンプと選択的確認応答が有効になっています。すべてのテストケースで同じTCP構成が使用されます。完全なTCP構成は以下のとおりです。 net.core.somaxconn = 128 net.core.xfrm_aevent_etime = 10 net.core.xfrm_aevent_rseqth = 2 net.core.xfrm_larval_drop = 1 net.core.xfrm_acq_expires = 30 net.core.wmem_max = 8388608 net.core.rmem_max = 8388608 net.core.wmem_default = 131072 net.core.rmem_default = 131072 net.core.dev_weight = 64 net.core.netdev_max_backlog …

9 tcp  gigabit  networking 

Citrix Netscalerには、ホストに送信されるTCPパケットに情報を埋め込むという興味深い特性があります。このプロパティはNetscalerにエコーバックされ、Netscalerがこれを使用して、仮想サーバー、ホスト、およびルートがこれを使用する必要があるかどうかを判断できます。 専有情報をホストにエコーする機能には、興味深いアプリケーションがあります。 Citrix Netscalerはこれをどのようにして達成し（ビットをどこに詰め込むのか）、Netscaler（または同様のデバイス）は理論的にはデータの他のどの場所にデータを詰め込むことができますか？ このカスタムデータをそのまま通過させる（または許可しない）デバイスはどれですか？

9 networking  security  routing  tcp  netscaler 

CentOS 6.3ボックスに問題があります。サーバーには2つのNIC（eth0とeth1）があり、それぞれに異なるサブネットからのIPが割り当てられています。たとえば、eth0：192.168.1.2/24（ゲートウェイ192.168.1.1）とeth1：192.168.2.2/24（ゲートウェイ192.168。 2.1）。実際のIPは、ルーティング可能な世界です。 各NICは異なるスイッチに接続されていますが、最終的には1つのルーターで終わります。ルータでは、これらの2つのサブネットは異なるVLANにあり、NICへのポートにはタグが付いていないため、vlan IDがサーバーに渡されません。 FreeBSDでは、各NICにipsを割り当てるだけで動作し、両方のIPに到達できます。CentOSでは、ゲートウェイがデフォルトルートとしてアクティブになっているIPにしか到達できません。同じVLAN /サブネット内の何でもIPにpingできますが、それ以外では到達できません。 各ゲートウェイにtracerouteを実行すると、適切なNICを通過することがわかります。gatewatyがスコープ内にあるため、理にかなっています。ただし、サブネット外では、現在pingできるのは192.168.1.2だけです。 現在、IPtablesもアクティブではありません。 これを機能させるために必要なアクションは何ですか？ 私は何時間もグーグルで歩き回り、さまざまなアプローチを試みましたが、うまくいきません。私は重要な何か、うまくいけば簡単な修正が欠けていると感じています:-) 助けてくれてありがとうありがとう！スコット ルーティング # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 …

9 networking  centos  routing  static-routes 

ロードバランサーの背後で数百のWebサーバーを実行し、多数のアプリケーション（多数のアプリケーション）をホストしています（これらのアプリケーションは制御できません）。毎月1回程度、サイトの1つがハッキングされ、洪水スクリプトがアップロードされて銀行や政治機関を攻撃します。以前は、これらは常にUDPフラッドでしたが、個々のWebサーバーで発信UDPトラフィックをブロックすることで効果的に解決されました。昨日、彼らはポート80への多くのTCP接続を使用して私たちのサーバーから米国の大規模な銀行をあふれ始めました。これらのタイプの接続は私たちのアプリケーションにとって完全に有効であるため、単にそれらをブロックすることは許容できる解決策ではありません。 以下の代替案を検討しています。どちらをお勧めしますか？これらを実装しましたか？ 送信元ポートが！= 80のWebサーバー（iptables）送信TCPパケットの制限 同じだがキューイング（tc）あり サーバーごとのユーザーごとの発信トラフィックのレート制限。アプリケーションサーバーごとに数千人のユーザーが存在する可能性があるため、かなりの管理上の負担。多分これ：ユーザーごとの帯域幅をどのように制限できますか？ 他に何か？ もちろん、ハッカーがホストされたサイトに侵入する可能性を最小限に抑える方法も検討していますが、そのメカニズムが100％防水になることは決してないので、侵入の影響を厳しく制限したいと思います。 更新：現在、これらのルールを使用してテストしています。この特定の攻撃を防ぐことができました。それらをより一般的にするためにどのように提案しますか？SYNパケットのレート制限のみを行っている場合、既知のTCP DoS攻撃を見逃していますか？ iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset 乾杯！

9 linux  networking  debian  denial-of-service