我已经使用 Alpine Linux 设置了一个非常简单的 Hypervisor，我的 VM 看到所有流量都来自 hypervisor 的 IP。

这也意味着如果 fail2ban 试图阻止攻击，它总是会阻止虚拟机管理程序 IP

如何让 VM 看到真实的 IP 地址，而不仅仅是管理程序的 IP？

接口设置

在 HV ( 192.168.5.5) 上，我有一个br0工作正常的桥接接口

# tun1 setup script on Hypervisor
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -P FORWARD ACCEPT
ip tuntap add dev tap1 mode tap user root
ip link set dev tap1 up
ip link set tap1 master br0

qemu-system-x86_64 [..non related parameters removed ..] \
-device virtio-net-pci,netdev=network0,mac=02:1f:ba:26:d7:56 \
-netdev tap,id=network0,ifname=tap1,script=no,downscript=no

VM 可以访问 Internet，但它看到的所有流量都来自管理程序的 IP。

虚拟机只看到 HV IP

有人甚至试图使用我的服务器进行 DNS 放大攻击（尽管在我的 PFSense 防火墙上阻止了传出）

Fail2ban 也阻止了错误的 IP

自 4 年多以来，我一直在使用带有几个 VLAN 的 PfSense 防火墙，在过去的几天里，我注意到两个 VLAN 中的网络连接问题。

使用 Web 界面，我看到这两者的流量曲线相同：

在 PfSense 的“流量图”页面上，我看到此流量来自广播 IP？

使用 Wireshark，我看到了数以千计的 ARP 请求，其中大部分来自同一个 IP

在这些流量高峰期间，互联网非常无响应，甚至 ping 同一网络（但不同的 vlan）中的设备也会导致大约40% 的包丢失

我正在使用单线查看哪些 IP 正在进行这些战斗，似乎基本上是 3 个 IP，其中包含最多包的 IP 是 pfsense防火墙本身（10.11.11.18）。在大约 4 秒内记录了 100,000 个包裹。

# tcpdump -c 100000 -l -i em1.107 -n arp | egrep 'who-has' | cut -d ' ' -f 7 | sort | uniq -c | sort -n

100000 packets captured
113803 packets received by filter
0 packets dropped by kernel

8774 10.11.11.110,
8774 10.11.11.117,
69291 10.11.11.18,

还有几个指针：

1. 流量峰值出现 ~ 每分钟 2 次，但没有明确的间隔
2. 有时它可以工作几个小时而没有问题
3. 有时流量高峰会持续 2-5 分钟，大部分时间只有几秒钟
4. 流量峰值通常约为 8MB/s，但我看到它们高达 50MB/s
5. 两个 VLAN 都有规则，允许进出所有其他 VLAN 的流量

你们有人见过这样的事吗？

我试图为这个问题找到一个解决方案好几个星期，我希望有人能帮助我。

我有一个相当简单的网络：

• 具有多个 NIC 的 Windows Server 2012R2
• DHCP 的路由器选项设置为该子网上服务器的相应 NIC 的几个子网 (VLAN)
• 在每个子网中的所有 NIC 上启用（并工作）DHCP 和 DNS

每个 vlan 在 192.168.x.0 空间中都有自己的子网。

我想要的是：

我希望所有子网的客户端都能够连接到互联网，但不能连接到任何其他子网。

例如。客户端 192.168.4.12 应该能够 ping google.com 但不能 ping 192.168.3.0/24

我做了什么：

1. 由于我希望服务器进行路由，因此我将 RRAS 功能安装为 LAN 路由器。之后，子网的客户端可以 ping 通子网，但无法访问 Internet。
2. 我在 RRAS 中添加了 NAT，它们能够相互 ping 通，也可以 ping 通互联网。

我努力了：

• RRAS 中每个子网接口上的入站/出站过滤器 - 启用 NAT 时不执行任何操作
• 阻止跨子网流量的静态路由 - 也没有反应。我可能做错了，但我尝试了各种配置
• 使用 Windows 高级防火墙，但没有找到阻止来自特定子网的流量流向特定子网的方法

有没有办法做到这一点，我错过了什么或者你是怎么做到的？

我有一个非常奇怪的问题。

我是一名系统管理员，管理着数十台 Xeon 服务器，但其中一台（用户负载低）的行为非常奇怪。

服务器规格：

CPU: Intel Xeon E3 1230 V2
MB: Gigabyte Z77N-WIFI, Bios Version F2 (08/13)
RAM: 16GB DDR3 Dualchannel NON-ECC (2x Kingston 99U5471-037.A00LF)
OS: Windows Server 2012 R2 Standard

此服务器托管两台 Hyper-V 机器。一个是 Linux Debian，另一个是 Windows 7

问题： 服务器每隔一小时左右随机冻结 5-40 秒。冻结是指不再有来自服务器的 IO，重置 RDP 连接，重置来自 VM 的远程 SSH 连接，并且所有活动连接都超时。

当服务器重新联机时，我可以在任务管理器中看到 CPU 在冻结时下降到 0%。

事件日志永远不会有来自冻结的任何条目，之后不会记录来自任何服务或系统的错误消息。

关于冻结我能说的：

• 冻结中没有模式
• 冻结同样随机发生，CPU 利用率高或低
• 它们发生在 RAM 利用率低和高的情况下
• 这不是 NIC 问题，因为 CPU 降至零，甚至在未插入时也会发生这种情况
• 硬盘状态良好

我制作了一个记录响应时间的 ping 脚本（500 表示超时）并让它在最后一天运行。

有没有人遇到过这样的事情？

我显然在路由方面存在一些知识空白，也许您可​​以帮助我：

我的 ISP 给了我 8 个外部 IP，但我必须自己路由它们。第一个 IP 是通过 DHCP 发布的，其他 7 个是固定的。

这是我的网络现在的样子（所有服务器都是 Windows Server 2012）：

我要做的是将外部 IP 之一路由到“服务器 1”，因此所有传出流量都将具有该 IP，并且我可以连接到它的 VPN 服务器。

这就像魅力一样。服务器获得了 IP 并且可以正常连接，但任何子网 (VLAN) 中的客户端都无法连接。他们都可以 ping 服务器 1，即使在 10.12.0.2 IP 上，但他们无法连接到互联网，也无法 ping 防火墙 (10.12.0.1)。

在每个子网中，服务器 1 是网关（LAN 路由）。DNS 请求已成功转发，但任何其他包都丢失了。

那么什么工作：

Server 1 -> Firewall -> Internet

什么不起作用：

Client -> Server 1 -> [x] Firewall -> [x] Internet

万一我在配置中犯了一些错误：以下是服务器的一些屏幕截图（这是德语，抱歉，所有内容都应该在英文版中）

是的，我知道这不是防火墙或 AV，因为我尝试禁用所有内容。

服务器配置为在 WAN 接口上充当 NAT

服务器已配置地址池

我已将 211 IP 绑定到服务器 1

我会很感激任何指示

Windows Server 2008R2 和 2012 有一个非常奇怪的问题

我有两个（未连接的）位置有类似的问题：

我在这两个位置都有一个工作 Windows AD 域，并且 WDS 服务器在 DHCP 服务器上运行。启用 VLAN 后，我无法通过 PXE 引导安装任何机器。

一个位置只有 Windows Server 2008 R2 服务器和另一个 Windows Server 2012（不是 R2）

自从我添加 VLAN 以来，服务器已经重新启动了几次，并且我尝试在这两个位置重新配置 DHCP 和 WDS。

WDS 服务器启动时没有问题，使用 netstat -a 我可以看到它们正在侦听所有接口，但我总是收到以下两条错误消息之一：

错误场景 1：当我让 DHCP 服务器也成为 WDS 时，它说明了 DHCP 代理超时

错误场景 2：当我将 WDS 放在同一子网中的不同服务器上并相应地更改 DHCP 选项 66 和 67 时，客户端启动并且似乎被重定向但随后说 WDS 没有回答他（Windows 部署没有响应服务服务器）

由于新的虚拟网卡，我觉得我需要重新初始化服务器 - 但不知道如何。

在第三个位置，我使用带有 8 个 VLAN 的 Server 2008 R2 并且没有任何问题。

网络事实：

• 交换机尚未重新配置，因此 VLAN 目前仅在服务器上
• 在添加 VLAN 之前，PXE 安装在两个位置都正常工作
• 我已经尝试了所有我能找到的解决方案，比如删除 Mgmt 文件夹，使用命令行和 gui 重新配置 DHCP，但没有任何改变
• 甚至无法安装虚拟机 (Hyper-V)
• 我已禁用两个位置的所有内部防火墙
• WDS 的日志没有显示任何错误。他们看到有人从 TFTP 请求某些东西，它总是告诉我它是成功的
• 其他一切仍然像以前一样糟糕（网络打印、网络共享、网络登录、AD 身份验证、RADIUS 身份验证）
• 这两个位置都有一个 Windows Server 作为启用了 NAT 的路由器。这可能是个问题吗？
• [更新] 我已经使用 Broadcom Advanced Control Suite 4 在两台服务器上创建了 VLAN

我错过了什么吗？

我最近在两个不同的位置设置了两个不同的交换机，在连接网络打印机时，它们都遇到了类似的问题。

开关：

交换机一：Netgear GS724T 24口千兆智能交换机

配置有 5 个不同的 VLAN。一个端口是主干，所有其他端口都没有标记。风暴控制和环回检测已启用。

交换机2：D-Link DGS-1210 24口千兆智能交换机

大部分未配置（无 VLAN）。风暴控制和环回检测已启用。

每个位置都有几台打印机，两个站点都有一台打印机在连接时甚至不会激活新开关的 LED，但在连接到旧开关时就像魅力一样工作。

在一个位置，不工作的打印机是一台大型 Xerox 复印/打印机，而在第二个位置，它是一台旧的 HP 网络打印机。

在我尝试过的两个位置：

• 交换机的固件更新
• 启用/禁用 VLAN
• 不同的端口
• 不同的电缆（Cat5e，Cat6）
• 重置打印机和开关

有没有人经历过类似的事情？

我最近发现我的 Windows 网络中的 DNS 服务器（Windows Server 2008 R2 也是 DC）将两个请求转发到外部 DNS 服务器。

如果我输入如下命令：

nslookup google.com dc1.mycompany.local

域控制器接收它并转发两个请求：

[+] google.com.mycompany.local
[+] google.com

有谁知道如何禁用它，因为它不必要地使 DNS 请求加倍

问候