我有一个 Juniper QFX5100-48S 交换机(48 个 SFP 10G 端口,6 个 QSFP 端口),我无法加入我们的网络,因为将其连接到 HP V1810-48G 交换机上的 SFP 端口的 SFP DAC 10G 电缆不起作用( HP 交换机上的 Web 面板显示连接的端口上的链接已关闭)。一旦服务器端口通过操作系统强制为 1G,同一根电缆成功地协商 HP 交换机和具有 10G 以太网端口的服务器之间的连接,所以我的想法是以某种方式将 QFX5100 上的 SFP 端口强制为 1G 速度(取消设置自动- 不允许从 Web 面板协商 SFP 端口的 HP 交换机)。
我能在 Juniper 交换机状态上找到的唯一说明(此处),一旦登录管理控制台并进入CLI上下文,然后配置,然后编辑界面,应该可以发出set xe-0/0 /0 speed 1g强制 10G 端口 0 的 1G 协商,我不能 - 没有任何可用的速度子命令。
有人可以告诉我我做错了什么还是根本不可能?
我有一个带有 2 个 NIC 作为网关的 CentOS 7 机器;一个 NIC 连接到 Internet,而另一个 NIC 连接到我们的 LAN。
第一个 NIC 属于 firewalld 的“外部”区域,它伪装并设置为将端口 22、80 和 443 转发到内部网络中管理 SSH 和 Web 服务器的那些盒子;假设从互联网上,该框在地址“1.2.3.4”处显示为“example.com”,而在 LAN 中其名称为“gateway.lan”,地址为“192.168.1.1”。
一切正常,但有一个重要的警告;因为我们希望能够使用盒子的互联网名称(ssh example.com)通过 SSH 连接,也可以在 LAN 内(SSH 盒子名为“server.lan”,地址为 192.168.1.10),唯一的完成这项工作的方法似乎是在 firewalld 的“内部”区域中设置规则,将所有对“1.2.3.4”端口 22 的访问转发回 SSH 框的端口 22:
internal (active)
target: default
icmp-block-inversion: no
interfaces: XXXXXX
sources:
services: dns
ports:
protocols:
masquerade: yes
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" destination address="1.2.3.4" forward-port port="22" protocol="tcp" to-port="22" to-addr="192.168.1.10"
除非为“内部”区域启用伪装,否则仅此规则不起作用;不幸的是,这显然也导致外部 IP 敲击该框,试图暴力破解 root 密码,在“server.lan”的日志中显示为来自“192.168.1.1”(“gateway.lan”地址),这使得不可能在“server.lan”框上使用 Fail2Ban 来阻止每天尝试访问的数千次。
我究竟做错了什么?我认为在“内部”区域启用伪装在概念上是错误的,但我找不到其他方法使 firewalld 规则起作用。我毫不犹豫地保持伪装,但我想知道如何使 Fail2Ban 在网关后面工作......
对任何其他方式使这样的配置像我期望的那样工作有什么建议吗?