Dmitriusan's questions

我正在尝试Cisco VPN client在 Docker 中运行控制台。我这样启动容器：

docker run -it -v /srv/vpn/keys/:/root/keys/ --network=host --cap-add=NET_ADMIN  --device=/dev/net/tun -v /dev/net/tun:/dev/net/tun vpn-vpnc-client_img

然后vpnc在 Docker 容器中运行客户端

vpnc-connect /root/keys/vpnc.conf --local-port 0

它产生以下输出：

Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
Cannot open "/proc/sys/net/ipv4/route/flush": Read-only file system
VPNC started in background (pid: 257)...

vpnc连接并创建正确的路由，因此 VPN 似乎可以工作。我担心的是警告信息。根据文档，对于/proc/sys/net/ipv4/route/flush

写入此文件会导致路由缓存刷新。

我不明白这个说法。路由缓存没有被刷新是否很重要？

另外，据我了解，我可以发出

echo 1 > /proc/sys/net/ipv4/route/flush

容器启动后手动。但我monit在 docker 容器内使用重新启动vpncif 连接丢失。我可以/proc/sys/net/ipv4/route/flush 以某种方式从容器内的主机绑定挂载，并发出命令从容器内的监控脚本刷新路由缓存吗？

在我的服务器上，我有一条到 interface 的默认路由eth0。它具有公共互联网地址并面向 ISP 网络。我启用了数据包转发，并且很少有具有私有10.x.x.x地址的本地接口/网桥。此外，所有传出到 ISP 网络的包都被伪装了。问题：如果我理解正确，任何到不存在192.168.x.x地址的数据包都将通过公共服务器接口（上行链路）转发到我的 ISP。这是不希望的。

如何配置 linux 以防止通过公共网络接口转发任何具有私有网络地址目标的数据包？我想仅仅添加一个 iptables 规则是不够的，因为有多个标准的专用网络空间（10.xxx、192.16.xx、172.16.xx 可能还有其他。除了 ipv6 地址）。是否有任何 iptables 插件/系统策略来实现这一点？我希望一些系统策略将接口标记为面向互联网的上行链路。

推理：我的 ISP 不喜欢任何带有专用网络范围目标的软件包。我正在使用通过 VPN 访问我的工作的 DNS 服务器。因此，当 VPN 出现故障时，我的 ISP 会收到对专用网络地址的 DNS 请求并锁定整个互联网连接。他们说这样做是为了安全（仅适用于某些病毒将我的系统 DNS 覆盖为自定义 DNS 的情况）。

我有一个设置了 LDAPS (openldap) 的 Centos 6.3 virtualbox VM 快照。几天前，我根据不同来源的提示设置了它，然后写下了所有内容。但是当我尝试重复安装（按照我自己的说明）时，我没有这样做：SSL 握手被丢弃，就好像服务器完全错误地配置了 SSL 证书一样。看起来如果我将服务器配置指向不存在的证书文件。我在本地运行所有检查（使用 ldapsearch 和“openssl s_client”）。更糟糕的是，我的快照中的 LDAPS 在重新启动后停止处理相同的问题。重新启动 slapd/nslcd/nscd 服务而不重新启动不会破坏它 0_o复制准确的配置和证书以清理（未设置 LDAPS）同一 VM 的快照和正确的配置不起作用。这就是为什么这个问题似乎与配置和证书无关。我已经花了 10 多个小时进行挖掘，但仍然强烈希望了解原因。

对我来说，了解为什么仅在重新启动后而不是在服务重新启动后才会出现此问题是主要（教育）。请随时发布有关在 Linux 主机重新启动时重置为默认/粉碎/混乱的事物的任何想法。换句话说，在 VM 快照中捕获的单独服务的范围内，系统重启与服务重启有何不同？

我已经检查过：

• 当然，logs/netstat/ps
• 一个 tmp 目录（每次重新启动时都会清理它，但不包含任何相关文件）
• 环境变量
• 日期（在快照中，日期是错误的。修复日期和重新启动服务不会破坏 LDAPS）
• 主机名/IP（我为此实例使用手动分配的 IP。重新启动并恢复网络设置后，我尝试重新启动服务但没有成功）
• /var/run 目录中的服务参数和 slapd.args 文件
• 将垃圾写入服务的配置文件并重新启动它以查看是否确实使用了该文件。
• /etc/env / .bashrc / .bash_aliases 文件没有被修改并且不应该干扰。

也许 SELinux 是一个原因（也许它在快照中被禁用，明天在工作中检查它）

还有其他建议吗？今天太累了，不想再打了……

我需要在两个文本片段之间打印文本。我找到了这样的例子，它完全符合我的要求，但我不明白它是如何完成的。谷歌搜索很困难，因为命令不包含字母）

sed -n '/hostname/,/$/p' /tmp/ambari-agent.ini

主机名=本地主机

据我了解，我在这里打印hostname行尾之间的文本。p选项打印模式输出。但是为什么我在这里有三个组，这里的昏迷是什么意思？