问题[multi-homed](server)

我有 2 台多宿主服务器，它们除了通过它们的一个 NIC 连接到 Internet 之外，它们还通过它们的第二个 NIC 彼此背靠背连接。

我systemd-networkd用于为 Internet 链接配置 DHCP，并为它们的交叉连接配置链接本地 IP。交叉连接配置文件如下所示：

$ less /etc/systemd/network/25-other.network
[Match]
Name=eth5

[Network]
LinkLocalAddressing=yes

这是可行的，并且服务器在其辅助接口上分别分配了 169.254.245.165/16 之类的 IP。

对路由不是很熟悉，我想知道我是否会因为路由而遇到 Internet 连接问题。内核是否曾经尝试通过辅助接口访问互联网？决定是如何做出的？我知道可以为此使用路由指标，但不确定我是否需要它们（因为两个接口都没有可用的目的地），所以我需要这个吗？

[Network]
Metric=20

或者也许这个？

[Network]
RouteMetric=20

编辑：正如接受的答案所说，没有添加路线一切都很好。发布ip route是否对任何人有帮助的输出。它显示了通过我的路由器的默认路由和通过链接本地 IP 的第二条路由。

default via 192.168.2.1 dev enp111s0 proto dhcp src 192.168.2.11 metric 1024 
169.254.0.0/16 dev enpa1a2 proto kernel scope link src 169.254.2.11 

我有几台主机连接到同一个交换机，它们都在同一个子网（10.0.0.0/16）上。其中两台主机有更快的网络接口，所以我将它们连接在一起，这意味着这两台机器现在可以直接连接，无需通过交换机。

我现在需要设置路由，这样当这两台机器尝试相互通信时，数据包通过这个更快的直接链接而不是通过交换机的更慢的链接。

最简单的方法是将直接链接配置在不同的子网上，但是我需要根据要使用的接口使用不同的 IP 或主机名，并且我希望能够将标准配置部署到所有机器（例如 NFS 使用主机名挂载）并且不必维护自定义 IP 覆盖/etc/hosts，我觉得这个解决方案太容易得到错误的主机名并通过错误的接口发送流量。

我正在寻找一种方法来告诉两台 Linux 机器即使eth0处理 10.0.0.0/16，当你想与 10.0.0.5 通信时，即使它在 eth0 的子网中，也可以发送数据包eth1。

我尝试添加一个主机路由规则，route add -host 10.0.0.5 dev eth1它确实在正确的接口上发送数据包，但是它来自错误的 IP 地址（直接链接的子网而不是原始子网。）

我想解决这个问题的唯一方法是在两个接口上设置相同的 IP 地址，但这会导致任何问题吗？一台机器能否在多个 NIC 上正确地拥有相同的 IP 而不会导致问题？我假设我需要正确设置路由指标，以便为连接到交换机的 NIC 提供优先级（以避免子网的所有流量被错误地发送到另一台主机），但是我还需要什么知道这个设置吗？它会导致任何其他问题或难以解决的问题吗？

还是有更好、更强大的方法来实现这一目标？

编辑：这是@AB 要求的额外内容：

$ ip -br link
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP> 
eth0             UP             ec:f4:xx:xx:xx:a4 <BROADCAST,MULTICAST,UP,LOWER_UP> 
eth1             UP             ec:f4:xx:xx:xx:a5 <BROADCAST,MULTICAST,UP,LOWER_UP> 

$ ip -br address
lo               UNKNOWN        127.0.0.1/8
eth0             UP             10.0.0.4/16
eth1             UP             10.0.99.4/24

$ ip route
default via 10.0.0.1 dev eth0 proto static 
10.0.0.0/16 dev eth0 proto kernel scope link src 10.0.0.4
10.0.0.5 dev eth1 scope link 
10.0.99.0/24 dev eth1 proto kernel scope link src 10.0.99.4

我在一个单独的子网上设置了直接链接 ( eth1)，然后尝试了route我原来帖子中的命令，这就是现在的情况。看起来我可能需要src为我的直接路线设置属性。

TL;DR OpenBSD 基于策略的路由对多宿主服务器/网关的情况有帮助吗？如果是这样，我该如何配置它？

长表

我正在管理一个带有两个 ISP 链接和通往远程路由节点的 VPN 隧道的 OpenBSD。

最初，我们使用了多个具有不同指标的默认路由——首选路由通过静态 IP 地址和 NAT 路由器，而 NAT 路由器又具有动态分配的地址（它基本上是一个电缆调制解调器）。

在实践中，这并不理想，但效果很好。从网关建立的新连接（以下简称“gw”）如果启动，将选择速度更快、延迟更低的路由；如果链路断开，则通过电缆调制解调器出去。入站连接只能通过更好的路由，因为其他 IP 地址位于 NAT 之后（无法从外部路由。

现在，我们需要通过额外的代理/VPN 路由器节点将流量路由到“云端”，以降低静态 IP 地址上的 DDoS 风险。

那些通过隧道连接到网关。

第一的。然后我们发现我们的管理员访问权限会偶尔下降。

更复杂的是，此网关具有到特定 VLAN 的附加活动接口。他们与这个问题无关，但不能被打扰。

可能的解决方案

我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为我的三个涉及的接口中的每一个创建路由表，并且其中任何一个（包括tun0隧道接口）上的任何连接都应该通过该域的表进行路由（因此每个都可以有自己的默认路由）。

我在正确的轨道上吗？

这是一个图表和一个经过清理的列表（如果接口设置）：

________
| 隧道| _______
 ~+~~~~ | GW |======++
    | ~+~+~+~ ||                   
    | _________ | | | ||                                        
    +-----| prefISP |-------------+ | | __||____ .........               
           ~~~~~~~w~ | +-----| 开关 |-----( 集群 )                           
                                    | ~~~~~~~~ ^^^^^^^^^           
           _________ .....|...... ||                              
          | fallISP |----------( LAN / WiFi )===++
           ~~~~~~~~~ ^^^^^^^^^^^^

    图：通过隧道、首选 ISP 以及访问 GW 或集群（通过 GW 或从 LAN）访问 GW 时，我想避免非对称路由。


 清理界面信息：

    em3：inet 123.45.67.118 网络掩码 0xfffffff8 广播 123.45.67.119 描述：prefISP
    em0：inet 10.1.1.100 网络掩码 0xffffff00 广播 10.1.1.255 描述：fallISP
    tun0：inet 192.168.2.2 --> 192.168.2.1 网络掩码 0xffffff00 描述：隧道
    em1: VLAN_TRUNK
          vlan1000：inet 172.29.1.1 网络掩码 0xffffff00 广播

如前所述：em3是我们到首选（更快）ISP 的链接；tun0通过它；em0与办公室 LAN/Wifi 位于同一网段，作为我们的后备 ISP；并且 GW 具有到集群和交换机的附加链接。

我们有多宿主服务器。为了简化事情，我想知道我登录的接口槽的 dns。（例如，设置 PS1，因此它可以在 scp 命令中使用）

我对这些问题的解决方案似乎相当复杂。=> 有没有更容易/更简单和更便携的方式？

ORIGIN_NAME=`who -m | cut -d\( -f2 | cut -d\) -f1`
ORIGIN_IP=`getent hosts $ORIGIN_NAME | awk '{ print $1; }'`
INTERFACE_NAME=`ip route get $ORIGIN_IP | grep dev | awk '{ print substr($0,index($0,"dev")+4,4); }'`
INTERFACE_IP=`ifconfig -a $INTERFACE_NAME | grep inet | awk ' { print $2; }' | cut -d: -f2`
getent hosts $INTERFACE_IP | awk '{ print $NF; }'

这很难解释，所以请耐心等待。

我们有 2 个域控制器，每个域控制器都是多宿主的，跨越 2 个内部子网（子网 A 和子网 B）并提供 dns、dhcp 和 ldap 身份验证。

两个域控制器各有 2 个 DNS 条目。两个条目具有相同的主机名，但分别对应于子网 A 和子网 B（显示示例条目）：

dc1 主机 192.168.8.1

dc1 主机 192.168.9.1

dc2 主机 192.168.8.2

dc2 主机 192.168.9.2

我们的 dmz 也有第三个子网（子网 C），这两个域控制器都没有 IP 地址，但是我们的防火墙/路由表提供从子网 C 访问子网 A 的权限，反之亦然，但不允许访问子网B 来自子网 C。

这是我的问题。当子网 C 上的服务器按主机名查询域控制器时，如何强制/确定使用哪个 dns 条目？现在，它似乎随机选择了两个条目之一，将 IP 地址的名称换掉，仅此而已。

问题是如果它随机选择对应于 9.x 子网 B 的条目（不能从子网 C 访问），那么服务器将无法解析。如果它选择 8.x 子网 A 的条目，则它会解析（为这 2 个子网之间的通信定义的防火墙/路由表）

这是我想知道的：

• 在 DNS 服务器不存在的子网上处理 DNS 解析的最佳实践（如果有）是什么？
• 当同一主机名有多个对应于不同 IP 子网的条目时，我可以控制类似于度量值的东西来强制 DNS 解析的顺序吗？
• 我什至应该有 2 个同名的 DNS HOST 条目吗？

这是我想避免的：

• 对子网 C 上的服务器的 HOSTS 文件进行编辑，以强制将主机名的 DNS 解析到适当的子网
• 将 NIC 添加到 DC 以使它们也跨越 DMZ，从而获得对应于子网 C 的第三个 DNS 条目

再次，如果这太冗长/不清楚，我深表歉意。

谢谢！

我正在尝试使用 DHCP 来配置几台具有两个 NIC 的机器。每台机器都通过一个 NIC 多宿主连接到包含 DHCP 服务器的网络。第二个 NIC 连接到隔离网络。两个网络无法连接。我宁愿不在集群中的任何机器上使用桥接。

我可以使用哪些软件和配置（例如 iptables）来实现这一点？我读过“dhcrelay”，但这似乎是相当过时的工具。

目标发行版：Ubuntu 9.10

拓扑：

--------

网络 A：包含 DHCP 服务器 网络 B：仅连接集群中的节点

谢谢！

我们有一个闪亮的新多宿主 Windows Server 2008（64 位）集群，它表现出一些奇怪的行为。

问题：

• 一切正常，直到我们对其中一个集群组进行故障转移

• 在故障转移之前，内部客户端可以连接外部客户端。而且，所有域身份验证工作正常

• 一旦我们对集群组进行故障转移，不同子网中的内部客户端会失去连接（就像静态路由已经消失一样）并且您不能再使用域帐户登录服务器（域控制器在不同的子网中）

• 所有 DNS 查找都通过公共/互联网接口进行。就好像服务器无法再找到/解析内部/域 DNS 服务器。

• 重新启动可修复问题，直到下一次组故障转移

• 将默认网关设置为内部网络也可以，极端后果是必须为整个 Internet 建立静态路由（我没有时间）

网络适​​配器如下：

• 心跳网络（两台服务器之间的交叉电缆）

• 内部网络（基于 Active Directory 的网络，带 DNS 无 WINS）

• 公共网络（Internet 连接 -默认网关- 带 DNS）

• Microsoft Cluster Failover Virtual Adapter（这在大多数情况下是隐藏的，但您可以在执行“ipconfig /all”时看到它）

其他信息：

• 该系统必须为内部和公共网络提供服务

• 公共/互联网连接是默认网关

• 我们已经输入了到内部网络之外的几个子网的持久静态路由

• 每个集群组都有一个网络名称和关联的 IP 地址

• 网络接口的绑定顺序为：

  1 内部

  2 公众

  3 心跳

我们被难住了。我们在旧的 Windows 2K 集群上使用了这个配置。我们还在独立的 Windows 2K3 服务器中使用了此配置。任何建议将不胜感激。

托德

经过整整两天的“研究”（阅读：把我的头撞在我的键盘上）并诅咒 TeamCity/MSDN/Tomcat 文档以及幻象 IIS 绑定，我想出了一个非常令人困惑的问题的答案：如何我在运行 Windows Server 2008 以及用于必要目的的 IIS 7 的多宿主服务器上更改了 TeamCity 的 IP 地址和端口号？.

首先，一点背景。我们的构建服务器在一个 NIC 上运行具有两个 IP 地址（192.168.1.30 和 192.168.1.31）的 Windows Server 2008。我已将 IIS 配置为将其唯一的站点显式绑定到端口 80 上的 192.168.1.30。此时我认为 192.168.1.31 已完全开放并准备好用于 TeamCity ......不完全是。

第一个烦恼：安装 TeamCity 时，它完全忽略了与该服务器关联的多个 IP 地址这一事实，只询问它应该绑定到哪个端口。对于服务器级软件，这是相当令人惊讶的。

第二个烦恼：TeamCity 默认使用端口 8080（什么？？）。由于第一个烦恼，端口选择有点模棱两可：TeamCity 是否会绑定到两个 IP 地址上的端口 8080？将端口选择更改为 80 会产生一个警告，表明另一个服务已经绑定到端口 80。嗯，IIS 应该只绑定到 192.168.1.30 上的端口 80；192.168.1.31 上不应有任何约束。显然，TeamCity 在 192.168.1.30 上与 IIS 竞争。

完成 TeamCity 的安装，选择端口 80 并忽略绑定警告后，我打开“C:\TeamCity\server.xml”。旁注：“C:\TeamCity\”是 TeamCity 的默认安装目录，而“C:\Users\.BuildServer”是默认数据目录。无论如何，“server.xml”是配置文件，您可以在其中设置 TeamCity Web 界面的端口和 IP 地址等内容。经过一番研究，我想出了在端口 80 上绑定 IP 地址 192.168.1.31 的配置：

寻找任何一个

<Connector
    port="8080"
    protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="8443" />

或者

<Connector
    port="80"
    protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="8443" />

取决于您在安装过程中选择的端口。更改为（注意：更改IP地址！）

<Connector
    port="80"
    protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="8443"
    address="192.168.1.31" />

应该就这么简单吧……对吧？好吧，重新启动 TeamCity 的 Web 服务器（通过 Windows 的服务管理器）在 192.168.1.31 上没有任何结果。啊。

事实证明，即使 IIS 的唯一一个站点已明确绑定到端口 80 上的 192.168.1.30，IIS 仍然侦听所有IP 地址。当然，这会导致 TeamCity 的 Web 服务器 (Tomcat) 在上线之前就停止运行。在从命令行手动启动 Tomcat 以剖析其标准输出错误并进行更多研究后，我偶然发现了 StackOverflow 的这个小宝石：如何控制 IIS7 使用的 IP 地址？

因此，从我运行的管理命令行（注意：再次更改 IP 地址！这次是您希望绑定 IIS的 IP 地址）

netsh http add iplisten ipaddress=192.168.1.30

现在我重新启动 TeamCity 的 Web 服务器，瞧，它可以工作了！！我可以浏览到 192.168.1.31而无需指定端口号，TeamCity 的 Web 界面就会出现。快速健全性检查显示 IIS 仍正确绑定到 192.168.1.30。一切都很好。

对于这么简单的修复，很抱歉这么长的帖子。我希望这对其他人有所帮助，因为它肯定会为我节省数小时的恶化时间。

编辑：使用 TeamCity 一段时间后，我注意到与 TeamCity 一起安装的 Build Agent 没有被正确识别。为了解决这个问题，我必须将 Build Agent 指向 TeamCity 的新 URL。此配置更改在“C:\TeamCity\buildAgent\conf\buildAgent.properties”中完成。同样，这是默认安装 TeamCity 的路径，可能会有所不同，具体取决于您自定义 TeamCity 安装的方式。

在“buildAgent.properties”中确保“serverUrl”指向新的 TeamCity URL。就我而言，我将其更新为：

serverUrl=http\://192.168.1.31

进行此更改后，重新启动 TeamCity Web Server 和 TeamCity Build Agent。

我在带有两个 NIC 的 W2k8 机器上安装了 Exchange 2007。如何告诉 Exchange 通过特定 NIC 将所有传出 SMTP 流量路由出去？

编辑：我可以通过 W2k8 防火墙/路由来做到这一点吗？

多宿主是我听说过的一个术语，它指的是在连接到 LAN 的同时通过无线连接等方式连接到 Internet。

我听说这非常严重，以至于我听说过的某些大公司将其定为可立即解雇的罪行。

解释的方式是，Joe Hacker 将通过 Internet 连接破坏机器，然后访问 LAN。

我的问题是，

1. 这真的是一个巨大的安全漏洞吗？
2. 这与连接到 VPN 有何不同（如果有）？那不是一回事吗。
3. 这与同时连接到 LAN 和公共无线网络有何不同（如果有）？
4. 对于连接到 LAN 和无线连接以及 VPN 场景，您如何保护？