@98i07fdsa0sy #18 发布于2024/4/18 22:22:21 很多不同的项目,有互联网直连,有VPN才能运维的,有VPN+堡垒机的,有VPN+堡垒机+跳板机的 面对这么多不同的资产,不考虑巡检的情况下,你怎么管理这些项目资产?如何记录资产上的不同的应用和他们的License是否过期? 水平有限,给个不成熟的方案: 尽可能建1个或者N个,能直接联通这些服务器的,监控vps,让这些服务器licese临期时,自动发信号到监控vps。定期检查这个或这些vps,或者让这些vps定期发邮件到指定邮箱。 以上这些,简单的python+shell可以做到。
@rui #17 发布于2024/4/18 22:19:31 zen2架构的amd核显直通怎么搞,网上没找到没有相关资料。 比如我有个2400g的mini pc用了好几年了,唯一的问题就是这个核显直通了,试过amd其他cpu的核显直通教程还是没用。 抱歉,企业用不到核显直通,我自己也只过Intel核显直通,只熟悉Intel的核显。 可以尝试加Q群904754537,这里面有很多人做到过amd的核显直通。
正好有几个疑问,不过楼主不要因为我ID旁边的标识而区别对待,就像对其他人一样回复就行。 1.一般Linux运维是怎么配置防火墙的?手敲iptables命令还是用GUI图形界面?或者是用商业公司的防火墙硬件(思科华为……)+厂商自带图形界面? 用了Openwrt之后才发现防火墙是可以把自己锁到门外面的,家用级路由器只是人为做了些限制而已,入门者用图形化方便,但高手呢,手敲命令真的能记得住么。 2.PVE虚拟机通过宿主机NAT上网,网卡里面也有防火墙开关,如果保持打开,即使数据中心和宿主机防火墙全部禁用,并且开启NAT,虚拟机也无法上网。没有设置过任何防火墙规则,全部保持默认。但取消勾选防火墙即可通信。貌似旧版本PVE没出现这个问题,最新版本8.1.10在不同的机器上都能复现。这是为啥? 而且诡异的是,LXC虚拟机刚开机可以PING通,过几秒就不行了。用的PVE里面自带的debian12的模板。 使用的NAT命令如下: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE 或者是iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE 都有问题。(宿主机WAN口为eth0) 3.关于路由,如何防止自己的路由器未经授权转发源IP为其他网络的数据包,以防止源IP欺骗? 例如(AS间)我听说在互联网交换中心,一方使用静态路由指向另一方,从而不使用BGP却蹭了对方半程路由的情况,有些商家的中国优化线路(仅回国方向)就是这么来的,去程还是普通线路。 手动设置防火墙的确可行,但是如果管理的IP众多,那些运营商怎么防止这么做?ipv6简单,通常是一个大段的,但是IPV4又杂乱又不连续,该如何自动化配置呢? 4.Openwrt的图形化防火墙确实方便一点,但如果是同一张物理网卡分成WAN和WAN6,v4/v6均使用DHCP(V6)自动获取,v4是局域网,v6是公网IP。 这时候把WAN/WAN6的防火墙区域一个设为LAN,一个设为WAN,结果防火墙则判断起来都是视为局域网,然后导致公网v6上面的端口可以直接被外网访问(不考虑上游路由器的防火墙),这怎么搞? 鸡腿已给,希望楼主有空时答疑一下。
@Just纱世里 #23 发布于2024/4/18 22:53:21 正好有几个疑问,不过楼主不要因为我ID旁边的标识而区别对待,就像对其他人一样回复就行。 1.一般Linux运维是怎么配置防火墙的?手敲iptables命令还是用GUI图形界面?或者是用商业公司的防火墙硬件(思科华为……)+厂商自带图形界面? 用了Openwrt之后才发现防火墙是可以把自己锁到门外面的,家用级路由器只是人为做了些限制而已,入门者用图形化方便,但高手呢,手敲命令真的能记得住么。 2.PVE虚拟机通过宿主机NAT上网,网卡里面也有防火墙开关,如果保持打开,即使数据中心和宿主机防火墙全部禁用,并且开启NAT,虚拟机也无法上网。没有设置过任何防火墙规则,全部保持默认。但取消勾选防火墙即可通信。貌似旧版本PVE没出现这个问题,最新版本8.1.10在不同的机器上都能复现。这是为啥? 而且诡异的是,LXC虚拟机刚开机可以PING通,过几秒就不行了。用的PVE里面自带的debian12的模板。 使用的NAT命令如下: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE 或者是iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE 都有问题。(宿主机WAN口为eth0) 3.关于路由,如何防止自己的路由器未经授权转发源IP为其他网络的数据包,以防止源IP欺骗? 例如(AS间)我听说在互联网交换中心,一方使用静态路由指向另一方,从而不使用BGP却蹭了对方半程路由的情况,有些商家的中国优化线路(仅回国方向)就是这么来的,去程还是普通线路。 手动设置防火墙的确可行,但是如果管理的IP众多,那些运营商怎么防止这么做?ipv6简单,通常是一个大段的,但是IPV4又杂乱又不连续,该如何自动化配置呢? 4.Openwrt的图形化防火墙确实方便一点,但如果是同一张物理网卡分成WAN和WAN6,v4/v6均使用DHCP(V6)自动获取,v4是局域网,v6是公网IP。 这时候把WAN/WAN6的防火墙区域一个设为LAN,一个设为WAN,结果防火墙则判断起来都是视为局域网,然后导致公网v6上面的端口可以直接被外网访问(不考虑上游路由器的防火墙),这怎么搞? 鸡腿已给,希望楼主有空时答疑一下。 感谢信任。层主问题涉及了我的很多知识盲区,以下回答仅供参考。 1 专职的运维可以记住很多常用命令,但不常用的命令会需要经常使用-h或--help;复杂且重要的内容,会自己编写md文档,编写的过程可以帮助理解和记忆,需要用到时,也方便查阅。而且现在有了gpt,虽然经常有错,但是查找信息时快捷了很多。 2 带部分猜测: pve是安装在debian系统里的,为了方便理解,可以把pve看成是debian系统里的一个功能非常强大的巨型docker; pve在创建虚拟机的网卡时,pve外部的debian系统里也会识别到增加了一个虚拟网卡,可以理解成,这个虚拟网卡就是debian物理机原生自带的,只是让pve这个巨型docker调用了; 在debian系统里创建iptables转发规则,实现虚拟网卡和物理机之间的通讯,绕过了pve这个docker;而pve这个docker里的防火墙,默认没有任何规则,如果开启,默认不允许pve里的虚拟网卡和外部其他网络通讯。 所以导致了层主说的情况。 生产环境的大部分情况,pve的网卡和虚拟机的虚拟网卡,都直接与上层的三层交换机通信,由三层交换机控制。类似层主的需求,如果有多个虚拟机要通过宿主机的网卡NAT连接外网,且规则复杂,建议创建openwrt虚拟机,openwrt的外网访问使用NAT转发到宿主机网卡,其他虚拟机挂在openwrt下处理。 3 运营商之间的重要路由节点,尤其是与其他运营商网络连接的节点,需要提前建立路由表和规则,识别合法邻居,按规则路由转发合法邻居发来的数据。 4 https://www.youtube.com/watch?v=QtjPs5jreX0 找了个视频,会比我文字要说得更清楚一些。
@nowayhost #25 发布于2024/4/18 23:28:35 好的,鸡腿先行 ,如何不被打 世界难题。。 尽可能隐藏IP。 网站服务器套CDN,让CDN替服务器挨打;游戏或非网站业务服务器,套高防IP,让高防IP去挨打。。
@kk123 #27 发布于2024/4/19 00:59:16 @LuckyRch #0 请问一下楼主 如何在PVE中 将服务器的IPv4出口设置成其他的呢,也就是实现单个ipv6分配+1个共享ipv4出的方案 不太理解问题。。 无论IPv4和IPv6,都不能“共享”的。 如果一定要共享,要么是上层挂路由器,使用NAT;要么是上层路由器开启端口映射,把固定端口直接映射给服务器。 如果ipv4和ipv6,在上层是同一条线进来的话,需要路由器上开dmz,把ipv6直接给服务器;而ipv4通过上面说的方式“共享”。 如果ipv4和ipv6,在上层是2条线,ipv6直接插网口。ipv4插路由器,同上处理。
水平有限,给个不成熟的方案:
尽可能建1个或者N个,能直接联通这些服务器的,监控vps,让这些服务器licese临期时,自动发信号到监控vps。定期检查这个或这些vps,或者让这些vps定期发邮件到指定邮箱。
以上这些,简单的python+shell可以做到。
抱歉,企业用不到核显直通,我自己也只过Intel核显直通,只熟悉Intel的核显。
可以尝试加Q群904754537,这里面有很多人做到过amd的核显直通。
正好有几个疑问,不过楼主不要因为我ID旁边的标识而区别对待,就像对其他人一样回复就行。
1.一般Linux运维是怎么配置防火墙的?手敲iptables命令还是用GUI图形界面?或者是用商业公司的防火墙硬件(思科华为……)+厂商自带图形界面? 用了Openwrt之后才发现防火墙是可以把自己锁到门外面的,家用级路由器只是人为做了些限制而已,入门者用图形化方便,但高手呢,手敲命令真的能记得住么。
2.PVE虚拟机通过宿主机NAT上网,网卡里面也有防火墙开关,如果保持打开,即使数据中心和宿主机防火墙全部禁用,并且开启NAT,虚拟机也无法上网。没有设置过任何防火墙规则,全部保持默认。但取消勾选防火墙即可通信。貌似旧版本PVE没出现这个问题,最新版本8.1.10在不同的机器上都能复现。这是为啥?
而且诡异的是,LXC虚拟机刚开机可以PING通,过几秒就不行了。用的PVE里面自带的debian12的模板。
使用的NAT命令如下:
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j MASQUERADE
或者是
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
都有问题。(宿主机WAN口为eth0)
3.关于路由,如何防止自己的路由器未经授权转发源IP为其他网络的数据包,以防止源IP欺骗?
例如(AS间)我听说在互联网交换中心,一方使用静态路由指向另一方,从而不使用BGP却蹭了对方半程路由的情况,有些商家的中国优化线路(仅回国方向)就是这么来的,去程还是普通线路。
手动设置防火墙的确可行,但是如果管理的IP众多,那些运营商怎么防止这么做?ipv6简单,通常是一个大段的,但是IPV4又杂乱又不连续,该如何自动化配置呢?
4.Openwrt的图形化防火墙确实方便一点,但如果是同一张物理网卡分成WAN和WAN6,v4/v6均使用DHCP(V6)自动获取,v4是局域网,v6是公网IP。
这时候把WAN/WAN6的防火墙区域一个设为LAN,一个设为WAN,结果防火墙则判断起来都是视为局域网,然后导致公网v6上面的端口可以直接被外网访问(不考虑上游路由器的防火墙),这怎么搞?
鸡腿已给,希望楼主有空时答疑一下。
@LuckyRch #22
ok! 3q!
群满了
好的,鸡腿先行 ,如何不被打
感谢信任。层主问题涉及了我的很多知识盲区,以下回答仅供参考。
1 专职的运维可以记住很多常用命令,但不常用的命令会需要经常使用-h或--help;复杂且重要的内容,会自己编写md文档,编写的过程可以帮助理解和记忆,需要用到时,也方便查阅。而且现在有了gpt,虽然经常有错,但是查找信息时快捷了很多。
2 带部分猜测:
pve是安装在debian系统里的,为了方便理解,可以把pve看成是debian系统里的一个功能非常强大的巨型docker;
pve在创建虚拟机的网卡时,pve外部的debian系统里也会识别到增加了一个虚拟网卡,可以理解成,这个虚拟网卡就是debian物理机原生自带的,只是让pve这个巨型docker调用了;
在debian系统里创建iptables转发规则,实现虚拟网卡和物理机之间的通讯,绕过了pve这个docker;而pve这个docker里的防火墙,默认没有任何规则,如果开启,默认不允许pve里的虚拟网卡和外部其他网络通讯。
所以导致了层主说的情况。
生产环境的大部分情况,pve的网卡和虚拟机的虚拟网卡,都直接与上层的三层交换机通信,由三层交换机控制。类似层主的需求,如果有多个虚拟机要通过宿主机的网卡NAT连接外网,且规则复杂,建议创建openwrt虚拟机,openwrt的外网访问使用NAT转发到宿主机网卡,其他虚拟机挂在openwrt下处理。
3 运营商之间的重要路由节点,尤其是与其他运营商网络连接的节点,需要提前建立路由表和规则,识别合法邻居,按规则路由转发合法邻居发来的数据。
4 https://www.youtube.com/watch?v=QtjPs5jreX0 找了个视频,会比我文字要说得更清楚一些。
@LuckyRch #0 请问一下楼主 如何在PVE中 将服务器的IPv4出口设置成其他的呢,也就是实现单个ipv6分配+1个共享ipv4出的方案
世界难题。。
尽可能隐藏IP。
网站服务器套CDN,让CDN替服务器挨打;游戏或非网站业务服务器,套高防IP,让高防IP去挨打。。
@LuckyRch #28 楼主看看私聊?
不太理解问题。。
无论IPv4和IPv6,都不能“共享”的。
如果一定要共享,要么是上层挂路由器,使用NAT;要么是上层路由器开启端口映射,把固定端口直接映射给服务器。
如果ipv4和ipv6,在上层是同一条线进来的话,需要路由器上开dmz,把ipv6直接给服务器;而ipv4通过上面说的方式“共享”。
如果ipv4和ipv6,在上层是2条线,ipv6直接插网口。ipv4插路由器,同上处理。