Sunny's questions

这是一个在 cron 中为具有 sudo 权限的 user1 运行的脚本

   export DISPLAY=:0 
   export XAUTHORITY=/home/user2/.Xauthority 
   scrot -q 30 "/tmp/%Y-%m-%d-%H-%M_screen.jpg" 2>/tmp/err
 

它在 Ubuntu 16.04 上运行良好。升级到 18:04 时报错：Invalid MIT-MAGIC-COOKIE-1 keygiblib error: Can't open X display。它正在运行，是吗？

文件 .Xauthority 归 user2 所有，组归 user1 所有，权限为 660。

Ubuntu 16:04 和 18:04 之间发生了什么变化？在阅读了关于 SO 的帖子后，我尝试了export DISPLAY=:1.0而不是 export DISPLAY=:0 。它给出了这个错误：giblib error: Can't open X display。它正在运行，是吗？

编辑：这是我使用代码重命名接口后的精确情况。

这是我的网络计划配置文件：

network:
  version: 2
  renderer: networkd
  ethernets:
    eno1:
      dhcp4: no
      dhcp6: no
      addresses: [192.168.1.93/24]
      gateway4: 192.168.1.91
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]

这是ip addr ls的输出

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
 2: rename2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:1e:67:d6:33:24 brd ff:ff:ff:ff:ff:ff
 3: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
   link/ether 00:1e:67:d6:33:25 brd ff:ff:ff:ff:ff:ff

当我运行sudo netplan --debug generate时，我得到以下输出：

 ** (generate:1571): DEBUG: 00:08:01.444: Processing input file //etc/netplan/10-systemd-networkd-eth.yaml..
 ** (generate:1571): DEBUG: 00:08:01.444: starting new processing pass
 ** (generate:1571): DEBUG: 00:08:01.444: eno1: setting default backend to 1
 ** (generate:1571): DEBUG: 00:08:01.444: Generating output files..
 ** (generate:1571): DEBUG: 00:08:01.444: NetworkManager: definition eno1 is not for us (backend 1)

这是systemctl status systemd-networkd的输出：

systemd-networkd.service - Network Service
   Loaded: loaded (/lib/systemd/system/systemd-networkd.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2018-08-29 23:31:20 IST; 1h 1min ago
     Docs: man:systemd-networkd.service(8)
 Main PID: 570 (systemd-network)
   Status: "Processing requests..."
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/systemd-networkd.service
           └─570 /lib/systemd/systemd-networkd

Aug 29 23:31:19 august2018 systemd[1]: Starting Network Service...
Aug 29 23:31:20 august2018 systemd-networkd[570]: Enumeration completed
Aug 29 23:31:20 august2018 systemd[1]: Started Network Service.
Aug 29 23:35:01 august2018 systemd-networkd[570]: eno1: Gained carrier
Aug 29 23:35:03 august2018 systemd-networkd[570]: eno1: Gained IPv6LL 

我正在尝试将 iptables 日志重定向到另一个文件。根据我在网上的阅读，我做了以下事情：

在我的 iptables 规则中，我有如下规则：

iptables -A INPUT -s ... -j LOG --log-prefix "iptables@@" 然后在文件夹 /etc/rsyslog.d 中，我创建了一个包含以下条目的文件：

:msg,contains,"iptables@@" /var/log/iptables.log & ~ 我也试过在上面两行之间有一个空行。我现在确实将 iptables 日志条目转到 iptables.log 文件。但他们也去 /var/log/kern.log 文件。我想压制后者。我该怎么做呢。我正在运行 Ubuntu 14.04 LTS。

我有以下设置，最小化以解释问题：

                                 _________      
                                 |Desktop |    
                                 ----------     
                          192.168.2.6|               
                                     |              
                                     |              
                                 ------------          |------------------
                   --------------| Switch   |          |  Firewall server
                   |             ------------          |------------------
                   |192.168.2.110                          |         |
           ----------------                    192.168.1.11|         |To ISP
           |   Server     |---------------     ------------|         |------------
           ---------------- 192.168.1.121      |          
                                       |       |
                                      ------------
                                      |  Switch  |
                                      ------------

我已将桌面上的默认网关设置为 192.168.2.110

我已将服务器上的默认网关设置为 192.168.1.11

我在服务器和防火墙服务器上启用了转发

我可以从桌面 ping 到服务器，反之亦然

我可以从服务器 ping 到防火墙服务器，反之亦然。

我也可以从桌面 ping 到 192.168.1.121。

我无法从桌面 ping 到防火墙服务器 192.168.1.11。 我尝试在显示的所有机器上刷新所有 iptables 规则。我错过了什么？

编辑：根据要求提供更多信息。所有机器都运行 Linux Ubuntu。桌面是开发机器。服务器运行开发服务器... Mysql、PhP、Apache 等。防火墙服务器有一组 iptables 规则，我在测试 ping 时禁用这些规则只是为了访问它。

我刚刚开始使用 STUN（用于 WebRTC）。我在 ubuntu 上安装了 STUN 客户端（sudo apt-get install stun）。我正坐在一个 NAT 上。我尝试使用可公开访问的 STUN 服务器获取我的 IP 地址和端口，例如：

stun stun1.l.google.com:19302

我也尝试过其他服务器，但我总是得到这个：

 STUN client version 0.96
 Primary: Firewall  
 Return value is 0x00000b

我找不到关于此回复的任何解释......有什么问题？令人惊讶的是，没有可用于 STUN 或 TURN 的标签。

我正在尝试通过节点代理访问节点 https 服务器。

我购买了证书并获得了一个独立的 https 服务器工作正常。最初由于一个文件中有多个证书而出现了一些问题，但这篇文章有所帮助：

 http://stackoverflow.com/questions/16224064/running-ssl-node-js-server-with-godaddy-gd-bundle-crt.

早些时候，我通过基于节点的反向代理 nodejitsu 的 http-proxy 模块进行了所有连接，该模块有效地代理了 http -> http。

现在，正如预期的那样，将目标服务器更改为 https 后，代理基本上无法正常工作：

 client -> http-proxy(public IP) -> https connection(local IP)

这实际上是 https 试图消除的中间人场景。

此外，我从 https 服务器收到以下错误：

 Error: Hostname/IP doesn't match certificate's altnames

证书很好，因为 https 在没有中间代理的情况下运行良好。通过阅读一些帖子，我意识到以下应该有效：

 client -> https-proxy (Public IP) -> http connection (local IP)

实际本地服务器运行 http 和公共 https 的位置。这是基于 http-proxy 文档中的解释：

 https://github.com/nodejitsu/node-http-proxy

在这篇文章中：

 https://nadeesha.silvrback.com/creating-a-https-proxy-in-node-js

在 http-proxy 模块文档中，似乎有一个客户端的解释-> https（公共 IP 上的代理）-> https（本地 IP 上的代理）。如果是这样，我需要在目标 https 服务器上设置哪些证书？

在尝试任何这些可能性之前，我想知道：处理此要求的标准最佳实践是什么，以及如何在 node.js 下实现它/它们。我不想仅仅为了处理这个问题而介绍 Nginx 或 Apache。我在这里完全偏离轨道了吗？

为什么以下简单的 IPtable 规则不起作用？

iptables -A INPUT -s 192.168.1.88 -m mac --mac-source 00-27-0E-33-4B-B2 -j DROP

其实我想逆转比赛。像这样的东西：

iptables -A INPUT -s 192.168.1.88 -m mac ! --mac-source 00-27-0E-33-4B-B2 -j DROP

当我在那里遇到错误时，我试图删除！只是为了看看我是否在放置 ! 时在语法上做错了什么。我看到这个问题与！因为删除它没有帮助。

我得到的错误是：

 iptables v1.4.21: ether
 Try `iptables -h' or 'iptables --help' for more information.

我有以下规则，用于测试的规则就是我所拥有的：

  iptables -F
  iptables -A INPUT -p tcp --dport 22 -j DROP
  iptables -A OUTPUT -p tcp --sport 22 -j DROP
  iptables -A INPUT -i em1 -p tcp --dport 22  -j ACCEPT
  iptables -A OUTPUT -o em1 -p tcp --sport 22 -j ACCEPT

我取消了连接状态匹配以简化规则。但是，我无法从 em1 接口连接到 ssh。为什么？

如果我去掉最后四行，我就可以轻松地 ssh。我有两个接口。我在 em1 接口上的 LAN 上。iptables 系统的 Em1 接口的 IP 地址设置为 192.168.1.22，我正在尝试从 192.168.1.13 进行 ssh

我可以使用以下 snat 规则让 NAT 工作：

    iptables -t nat -A POSTROUTING -o em2 -j SNAT --to 192.168.2.2

我的问题是：为什么我发出命令时不显示此规则：

   iptables -L

甚至

   iptables -L -v

在 iptables 中，我正在记录某些公共 IP 地址......比如说从不同工作站访问的网站，具体取决于目标端口号......所有这些都与问题无关，但我只是在这里陈述，以便我的目标变得清晰。

现在我想分析数据...我只有IP地址...获取域名的最佳方法是什么。好的，我知道您可以使用 nslookup 和 dig，但显示的域名可能是 DNS 数据中的 A 记录，通常不是您要查找的域名...

我对细节有点模糊......但我需要的是，例如，有人访问 cnbc.com，我查看记录的 ip 地址，并获得从亚马逊网络服务到 facebook.com 的各种域。记录 IP 的最近域是 nbcuni.com...

是否有一些“服务”、API、软件、第三方解决方案可用于获取给定 IP 的“最接近”的可识别域名？

编辑：还有另一个问题......监控系统似乎可以处理它们。代理系统（如下所示）无法区分指定的 URL 和访问页面中内容的 URL。或者他们可以吗？任何访问的 URL，明确地在浏览器中指定或间接地显示在页面中的任何内容的 URL 都将显示为访问的 URL。有没有办法区分？通过代理日志或其他方式？

我安装了 Ubuntu 服务器 14.04.. 为了获得最小的桌面，我安装了带有 no-install-recommends 选项的 Unity 桌面。桌面安装最少，但缺少终端应用程序。

我如何获得这一应用程序？

这个问题以前在网上有人问过，但答案根本不令人信服，甚至不准确。我得到以下 ppp0 设备的 ifconfig 输出（当然，x、y、a、b 是整数）。

 ppp0 Link encap:Point-to-Point Protocol  
     inet addr:x.y.172.234  P-t-P:a.b.145.65  Mask:255.255.255.255

如果以下理解有误，请纠正我我试图理解其背后的理论。xy172.234 是机器的公共 Internet 地址。因此，所有离开机器的数据包都将其作为 SRC IP。

我的阅读告诉我 ab145.65 是默认网关地址。因此，所有数据包都将无条件发送出去以通过该地址路由（环回除外）。

但是只有一种设备。是否分配了多个地址？如果是这样，怎么做？我是否需要阅读 PPPoE 协议才能理解这一点？

如果我使用 eth0 端口将交换机连接到这台机器，并希望使用 IPTables 将这台机器用作防火墙，那么对于内部 LAN 上的机器，默认网关地址是什么？在 Eth0 上分配的 IP 地址？然后来自 Eth0 的数据包被 NAT，如果不是防火墙，则发送到哪个地址？ab.. 地址还是 xy.. 地址？这里有点让人困惑。

任何澄清将不胜感激。

谢谢