我目前有一个大致如下所示的区域:
www1 A 10.0.0.1
www2 A 10.0.0.2
www3 A 10.0.0.3
我想对这些 IP 进行循环记录,当然这可以通过添加以下内容来实现:
www A 10.0.0.1
www A 10.0.0.2
www A 10.0.0.3
但这似乎非常重复,我的开发者自闭症很严重,
从概念上讲,我想做以下事情:
www CNAME www1
www CNAME www2
www CNAME www3
这显然是不受欢迎的,并且不受规范的支持,但是您将如何解决这个问题并遵守规范?
在 DNS 方面有一个优雅的解决方案吗?
假设我有 node1 和 node2,通过互联网连接。node1 上的应用程序服务器具有 node2 的 IP 的 IP acl。
出于安全原因,我在节点之间打开了一个 Wireguard 隧道。我想保持应用程序的配置相同(因此问题标题中的“透明”),但是我遇到了以下问题:
节点 2 在与节点 1 上的应用程序服务器通信时使用其 vpn 源地址,节点 1 的 ACL 中没有该 IP。
这是 VPN 设置中的常见问题,还是只是 Wireguard 的实施选择?有谁知道一个优雅的解决方案?网络级别的额外配置会很好。在这种情况下,不能在应用程序级别更改 ACL
到目前为止,我尝试的是通过引入策略 source-nat 将 node1 的公共地址用作 vpn 地址,但是在使用 Wireguard 时会严重失败,它将远程隧道端点的静态路由添加到路由表中;结果如下:
在 Linux 主机环境中:如果允许建立流,是否有办法检查每个新流(源 ip、源端口、目标 ip、目标端口)元组或类似的方法。拒绝/允许应该来自外部进程,例如(bash)脚本。
我正在运行几台服务器,它们需要非常紧凑的时间同步(<50ms),因为它们正在运行 Paxos 算法。服务器正在运行 NTP 并在某一时刻成功同步。由于hwclock启用了 11 分钟机制,因此系统时间应复制到硬件时钟。
但是,我发现在重新启动后,与重新启动前的时间相比,系统时间可以减少多达 300 毫秒。认为重启后的时间应该在重启前的 50ms 以内是不合理的吗?
要使用第三方服务,我可以使用他们的 DNS 名称来解析他们的域名。不幸的是,他们使用了一些不好的做法,例如使用他们自己编造的 TLD,我们将在tld下文中称其为。为了能够解析他们的域名,我tld在本地 DNS 服务器上设置了区域转发:
zone "tld." {
type forward;
forward only;
forwarders { x.x.x.x; };
};
x.x.x.x他们的名称服务器在哪里。不幸的是sub.example.tld,由于 DNSSEC 未能在树中获取更高的 DS,因此无法解决,因为它试图获取被拒绝的NS记录。如以下 tcpdump 所示(希望如此),并带有相应的 dig 输出:tldx.x.x.x
dig @localhost sub.example.tld
22:23:58.104635 IP (tos 0x0, ttl 64, id 11345, offset 0, flags [none], proto UDP (17), length 77)
egmaas.35308 > x.x.x.x.domain: [bad udp cksum 0x18b8 -> 0x708c!] 35515+% [1au] A? sub.example.tld. ar: . OPT UDPsize=4096 OK (49)
22:23:58.132413 IP (tos 0x0, ttl 62, id 62124, offset 0, flags [none], proto UDP (17), length 152)
x.x.x.x.domain > egmaas.35308: [udp sum ok] 35515*- q: A? sub.example.tld. 1/2/1 sub.example.tld. [10h40m] A x.x.x.1 ns: example.tld. [10h40m] NS dkp-dns001.dmz.local., example.tld. [10h40m] NS dkp-dns002.dmz.local. ar: . OPT UDPsize=4096 OK (124)
22:23:58.132924 IP (tos 0x0, ttl 64, id 11351, offset 0, flags [none], proto UDP (17), length 71)
egmaas.52511 > x.x.x.x.domain: [bad udp cksum 0x18b2 -> 0xe141!] 31932+% [1au] DS? example.tld. ar: . OPT UDPsize=4096 OK (43)
22:23:58.160128 IP (tos 0x0, ttl 62, id 62125, offset 0, flags [none], proto UDP (17), length 143)
x.x.x.x.domain > egmaas.52511: [udp sum ok] 31932*- q: DS? example.tld. 0/1/1 ns: example.tld. [10h40m] SOA dkp-dns001.dmz.local. admin.tld.org. 2015062301 10800 3600 604800 38400 ar: . OPT UDPsize=4096 OK (115)
22:23:58.174284 IP (tos 0x0, ttl 64, id 11356, offset 0, flags [none], proto UDP (17), length 63)
egmaas.57612 > x.x.x.x.domain: [bad udp cksum 0x18aa -> 0x3f69!] 19858+% [1au] NS? tld. ar: . OPT UDPsize=4096 OK (35)
22:23:58.201136 IP (tos 0x0, ttl 62, id 62126, offset 0, flags [none], proto UDP (17), length 63)
x.x.x.x.domain > egmaas.57612: [udp sum ok] 19858 Refused- q: NS? tld. 0/0/1 ar: . OPT UDPsize=4096 OK (35)
; <<>> DiG 9.10.3-P4-Ubuntu <<>> @localhost sub.example.tld
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41059
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sub.example.tld. IN A
;; Query time: 97 msec
;; SERVER: ::1#53(::1)
;; WHEN: Mon Oct 24 22:23:58 CEST 2016
;; MSG SIZE rcvd: 49
sub.example.tldx.x.x.1的实际正确解析 IP 在哪里。(错误的校验和可以忽略,因为它们是假阴性)
除了在本地 DNS 服务器上完全禁用 DNSSEC 之外,我还有其他选择吗?此外,已经验证外部方无法更改其 DNS 设置,更不用说实际正确合并 DNSSEC。
我很难监督如何将应用程序部署到新的 LXC 容器上的可能性。
假设我有一个新的 LXC 容器,我将如何使用我要部署的应用程序来配置它?
自 OSX El Capitan 以来,forticlient VPN 软件在使用水平分割时很糟糕。问题是 DNS 请求在普通主接口上发送到 VPN 隧道的 DNS。
我们如何通过正确的接口(即 VPN 隧道)发送 DNS 请求
我已经配置了 remoteip 并检查了它是否真的被加载了。remoteip.conf 也被加载。我通过在以下(正确)配置中引入格式错误的 IP 来检查后者:
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy 127.0.0.1 10.10.0.1 10.10.0.2
现在,当最终用户加载时,我可以验证我看到X-Forwarded-For值为10.10.255.100的标头是正确的。然而REMOTE_ADDRPHP 中的变量仍然是负载均衡器的 IP。
根据有关此主题的每个教程,此时应该可以正常工作。
在我的用户环境中,我/(macports)已将我的 PATH 设置为
PATH=app1/bin:app2/bin/:...:$PATH
但是,如果我有嵌套的 shell,PATH 变量总是被连接起来,当然这不是一个主要问题,但仍然没有更好的解决方案吗?