问题[passthrough](server)

我使用流模块来传递无法反向代理的 tls 流量，例如因为我没有证书（本地 3CX 安装）或者它破坏了东西（带有客户端证书的 ssl vpn）。然后我将“rest”转发到同一主机（127.0.0.1）上的不同 IP 以进行反向代理。问题是 remote_addr 并不总是 127.0.0.1 并且似乎没有办法设置“真实”远程地址。为了规避这一点，我启用了 proxy_protocol 并使用了 $proxy_protocol_addr。

然而，这打破了所有直通网站，我还没有找到一种方法来有条件地只为“默认”启用 proxy_protocol

我这样做是为了在 sni 上进行匹配，并为所有网站使用一个 IP。

我并没有完全以这种方式做事，如果有人知道如何以不同/更好的方式实现这一目标，我会全力以赴。

stream {
  map $ssl_preread_server_name $targetBackend {
    3cx.example.com  192.168.1.2:443;
    vpn.example.com  192.168.1.3:443;
    default  127.0.0.1:443;
  }
  server {
    listen 192.168.1.100:443;
    proxy_connect_timeout 1;
    proxy_timeout 3s;
    resolver 192.168.1.1;
    proxy_protocol on;
    proxy_pass $targetBackend;
    ssl_preread on;
  }

所以......如何使proxy_protocol有条件（如果只是在流上下文中不起作用）或以另一种方式解决它？

我的电子邮件 VPS 已经到了极限，但它的专用 IP 得到了很好的培养，我就是不能放弃它。我正在尝试设置一个测试环境，在该环境中，我在 VPS 上建立了一个 VPN 服务器，只是为了将传入和传出流量传递回 VM，目标是使用 VPS 上的外部 IP 进行所有 Internet 通信，同时将该流量通过隧道返回到一个虚拟机。我的麻烦在于 iptables。我无法弄清楚这一点，我确定这只是我在这种程度上缺乏使用 iptables 的知识。我的 VPS 和 VM 都在运行 Debian 10。

我尝试了一些不同的规则变体，这些变体是从这里的各种帖子中找到的。

变化（我在使用这些规则时更改了适配器名称和端口）

iptables -A FORWARD -m conntrack --ctstate NEW -s $PRIVATE_SUBNET -m policy --pol none --dir in -j ACCEPT
iptables -t nat -A POSTROUTING -s $PRIVATE_SUBNET -m policy --pol none --dir out -j MASQUERADE
iptables -A INPUT -p udp --dport $SERVER_PORT -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS

我也尝试过编写自己的规则，但即使在观看了一些很棒的教程视频之后，这些视频涵盖的内容不仅仅是过滤表。我似乎对交通如何流动没有正确的心理画面。

另外因为我想从 VPN 服务器接收新流量，我知道我必须对“客户端”VM 上的 iptables 进行更改，这很可能也是我的问题所在。我希望有人能阐明一些我可能缺少的基本概念来解决这个难题。

我正在尝试使用 kvm 和 libvirt 将我的显卡传递到虚拟机。当我尝试通过卡而不将似乎在同一个 IOMMU 组中的以太网卡绑定到 vfio-pci 驱动程序时，我收到一条错误消息。

我想在主机上使用那个以太网端口，所以我想知道我是否可以拆分 IOMMU 组。这些东西的参考似乎是这篇博客文章，它在底部附近提到

比本示例使用的新内核将拆分此 IOMMU 组，因为已添加支持以公开此芯片组的隔离功能，即使它不直接支持 PCIe ACS。

但我在内核 4.10 上，这篇博文是 2014 年的，所以我想知道这个领域是否有任何新的发展。

我的基本问题是我能否找出 IOMMU 组是可拆分的，如果可以，我该如何拆分它？

我已经使用 XenServer 7 将服务器从物理迁移到虚拟。不过，出于安全目的，我们现在需要一个 USB 加密狗，但还没有找到将其正确传递到虚拟机的方法。

大多数资源都指向通过以太网使用 USB，但这不是一个选项，因为我们没有更多的硬件，这必须保留在 CPD 上。

必须有办法做到这一点。此外，我们还有另一台设备通过 RS232 连接到旧服务器。我们已经为它购买了一个 USB 适配器，也想通过它...让我们交叉手指。

过去我在使用 Proxmox 时对此没有任何问题，但我们很惊讶像 XenServer 这样的“更商业化”的产品没有提供开箱即用的这种机制。:S

关于如何做到这一点的任何手册？

提前致谢

我正在设置一个带有 hyper-v 的 Windows Server 2012，它将用于运行 3-5 个虚拟机。服务器有两个 pci GPU，由于 hyper-v 不启用 GPU 直通，我想在父分区中使用一个 gpu，一个用于 remoteFX。

由于父母可以直接访问硬件，因此我可以将 GPU 用于图形要求高的应用程序（用于开发）。但这需要在父分区内安装应用程序。这是一个坏主意吗？我是否应该创建一个单独的 VM 并使用 RDP 从父级访问它？

我有一个7100 系列 Arista 直通交换机。在我的配置中，交换机将 1G 以太网作为输入，并将其路由到 10G 输出。

在这个 1G 到 10G 的配置中，Arista 交换机是否仍然充当直通交换机，因为信息的传出速度比传入的速度快？

我的部门为购买我们软件的人进行转换，以便将他们的数据从他们的旧系统中取出并输入到我们的系统中。他们通常会运行奇怪或陈旧的系统，将数据提供给我们的唯一方法是磁带备份。

目前，我们在多台计算机的多个硬盘驱动器上安装了各种操作系统。我们想对此进行虚拟化，但是我们的许多磁带驱动器（我们有很多，因为它们可以在阳光下向我们发送任何东西）是 IDE 而不是 SCSI。我过去曾成功地通过 VMWare 完成 SCSI 直通以使 SCSI 磁带驱动器工作（这是在 VMWare Server 2 中完成的），但是当时没有 IDE 直通支持。

由于互联网的长尾，当我尝试搜索并查看是否有任何较新的 VM 产品提供 IDE 直通时，我不断收到 2007 年的结果说“不，你不能这样做”

任何当前的 VM 软件都可以为磁带设备执行 IDE 直通吗？我愿意接受 Type 1 或 Type 2 虚拟机管理程序，但首选支持 Windows 作为主机操作系统的 Type2。

我需要设置 IIS 6 和 7 以将所有请求传递给 Glassfish v2.x。是否有一个简单的教程可以让 IIS 和 Glassfish 之间的交互正常工作？

IT 部门正在考虑允许将 Google Chrome 浏览器安装和自动部署到 100 多个桌面。要求之一是要传递域凭据。所需的行为与 Internet Explorer 相同。

浏览内网资源时出现问题。需要 Active Directory 身份验证的 Intranet 站点显示“需要身份验证”对话框。

对于每个站点，您必须输入您的域凭据。

问题：Google Chrome 目前或计划是否支持直通 Windows 身份验证？如果是这样，您如何配置此安全设置？