因此,我们的云提供商之一在 VM 之间提供了一个低延迟、零评级的“内部网络”选项。内部网络上的接口位于 10.xxx IP 空间中。当我们的一台服务器查询内部网络上另一台服务器的主机名时,我们希望它解析为内部网络上的地址,而不是导致传输记帐的公共可路由地址。
我们已经实现了一个小型服务器来执行此操作,当源 IP 是 10.xxx IP 时,它将返回内部地址。
我们不想做的是让我们的内部服务器成为我们虚拟机的唯一主 DNS 服务器。我们会让它成为客户端列表中的第一个服务器,然后是一个公共 dns 服务,如 1.1.1.1。
因此,如果在内部 DNS 中查询 google.com(我们不拥有),我们应该返回给客户端的正确响应是什么?我们应该简单地忽略请求还是应该返回 NxDomain 响应?
感谢您的任何建议!
我有一个必须重建的wireguard VPN 服务器。旧服务器有一个在虚拟接口上运行的内部 DNS 服务器,172.16.0.1. 我真的不需要/不想在此运行 DNS,有没有办法可以使用 iptables 拦截 DNS 查询172.16.0.1并将它们发送到1.1.1.1?
如果配置:
wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 10.19.49.1 netmask 255.255.255.0 destination 10.19.49.1
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet xxx.xxx.xxx.xxx netmask 255.255.240.0 broadcast xxx.xxx.xxx.xxx
这是我在wireguard中的postup/down规则:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
systemd 是否允许像 authbind 这样的功能?在哪里可以允许非 root 用户绑定到 priv 端口?
我浏览了手册页并进行了相当多的谷歌搜索,找不到答案。谢谢!
因此,我正在深入研究 systemd 的复杂性,以及它使用 cpu、io 和内存等 cgroup 来计量资源的能力。
还有一种方法可以控制进程可以使用 systemd 访问的目录吗?例如,/usr/bin通常标记为o+rX,我希望将网络服务器进程锁定在该目录之外。已经有很多软件漏洞,您可以从磁盘读取任意文件,这将增强分层的安全性方法。
我确信这可以通过一些非常花哨的文件系统权限来完成,但想知道是否有更好的方法。感谢服务器故障!
在我得到 FreeRadius、samba winbind、带 ECDSA 证书的 XCA、Active Directory 和 Ubiquiti Unifi 之后,我感觉就像跳上跳下一样。
下一个问题,ActiveDirectory 中的任何有效帐户当前都将进行身份验证。如何将此限制为特定 AD 组的成员?
我想到的一种糟糕的方法是在 post-auth 模块中执行一个 bash 脚本,该脚本执行快速 LDAP 搜索。这会发生什么不好的事情吗?
这是让一切正常工作的指南!https://gist.github.com/exabrial/368c279aad65cefd8c5f
我们目前在单个节点上运行 FreePBX。我想要一个星号实例集群来共享负载,但主要用于故障转移。我很好奇其他人是如何解决这个问题的。理想情况下,我想使用“免费”(如啤酒)软件。
谢谢你的帮助!
要求提供更多信息......但老实说,如果这是一个好的解决方案,我们会尝试任何事情:)
我们并不关心在故障转移期间呼叫是否中断。这将是理想的,但我可以想象,由于必须在节点之间复制大量的状态,因此实现这一点将非常复杂。
我不认为我们不使用 SIP 重新邀请。尽管运行 freepbx 一年多了,但我从未真正遇到过这个术语。我们的用例只是允许人们使用软电话拨打外线电话,并根据 DID 路由一些内线电话。
现在我们在 LXC 容器中运行 FreePBX。这是因为我们的上游运营商也是 SIP(不是 ISDN)。我们有使用 KVM 的经验,但出于效率原因,我们最好希望在 LXC 容器中运行。