我的U-Verse调制解调器被称为“自反ACL” Reflexive ACL:当启用IPv6时,您可以启用Reflexive Access Control Lists来拒绝入站IPv6stream量,除非此stream量是由于返回传出数据包(除非通过防火墙规则configuration)。 这似乎是一个非常好的方法,不必在路由器后面的每台计算机上维护一个防火墙,从而获得IPv6地址。 这听起来像是一个NAT,这对我的小家庭networking来说就是我现在想要的。 现在我的调制解调器就像路由器一样,所以我正在configuration一个OpenBSD路由器来完成这个任务。 我已经获得了IPv6的支持,所有这些以及我的OpenBSD路由器将通过rtadvd发布IPv6地址。 现在我想让人们不能通过IPv6即时访问我的本地networking。 在OpenBSD 5.0中,我怎样才能最好的使用pf的Reflexive ACL呢?
简洁版本 服务器A(OpenBSD 4.7)连接到服务器B(Windows)。 服务器B的IP更改。 服务器A应该能够连接到服务器B旧的和新的IP。 我们无法在服务器B上configuration多个IP 长版 我们有一个OpenBSD服务器充当接入点(ssh + authpf规则),外部客户端连接,然后打开到另一个内部服务器上的服务的连接。 内部服务器IP将会改变。 为了让我们有更多的时间来重新configuration所有的客户端来使用新的IP地址,我想我们可以在OpenBSD框中实现相当于DNAT的function。 如果这是一个Linux机器,我可以使用下面的DNAT规则,这个规则可以让我从盒子本身连接到真实IP(10.68.32.215)或新IP上的远程服务。 $ sudo iptables -t nat -A OUTPUT -d 10.68.99.99 -j DNAT –to-dest 10.68.32.215 $ ssh-keyscan -t rsa 10.68.32.215 # 10.68.32.215 SSH-2.0-OpenSSH_4.3 10.68.32.215 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy/GCd47aaRkBOu72v9Ysqk48Ngd6budStvdwnvMOTLiYoz6M81cTq7SskWctXx57cz6Ijnv1sbzcmDpFMUsN5vHk+6NxfrLzO0M1zh7UezY54FakgaavSdCiy15vGw/Lifntp5kMKkjgC5o42O+RUVw5iCpR8nsu/2/kR2smcVR1G3R8EunjCZWEptOCHz3Iup7FTMd4Pw/xmt+8u+5ZyHKu+uaLWQl6I12rzLiQJNyMLVdhba54FGiJDFUfcXtgM7cFli6xlrE3dnbboQE/7/cuj/N11QwTvHuU07NtrubefZE1VahWb146ph31blsW5NSiyFwL2I7rxFFoPQMbuQ== $ ssh-keyscan -t rsa 10.68.99.99 # 10.68.99.99 SSH-2.0-OpenSSH_4.3 10.68.99.99 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy/GCd47aaRkBOu72v9Ysqk48Ngd6budStvdwnvMOTLiYoz6M81cTq7SskWctXx57cz6Ijnv1sbzcmDpFMUsN5vHk+6NxfrLzO0M1zh7UezY54FakgaavSdCiy15vGw/Lifntp5kMKkjgC5o42O+RUVw5iCpR8nsu/2/kR2smcVR1G3R8EunjCZWEptOCHz3Iup7FTMd4Pw/xmt+8u+5ZyHKu+uaLWQl6I12rzLiQJNyMLVdhba54FGiJDFUfcXtgM7cFli6xlrE3dnbboQE/7/cuj/N11QwTvHuU07NtrubefZE1VahWb146ph31blsW5NSiyFwL2I7rxFFoPQMbuQ== 我们的OpenBSD版本是4.7,但是我们可以根据需要进行升级。 如果这个DNAT不可能的话,我们可能会在防火墙上做一个NAT。 我能够在testing框中完成的最接近的是: pass out on em1 […]
我在OpenBSD 5.2上运行http_load来testing我的nginx设置是否有效,并且我注意到冷运行比温运行速度快得多,并且每次运行都performance非常显着(例如从每秒3735个回复在寒冷的冬季,到后来的2288,1804,1553)。 我注意到了netstat -n | wc -l netstat -n | wc -l运行http_load后有几千个连接,其中大部分都处于TIME_WAIT (state) 。 它可能看起来像set timeout tcp.finwait 8为pf.conf会减less一些超时值从45s到8s,但它似乎并没有影响这些TIME_WAIT连接,仍然留在netstat -n从60年代它们是通过http_load / nginx创build的。 有没有一种方法可以在60秒之前过期这些TIME_WAIT连接?
我的目标是什么:知道员工在互联网上看什么(页面,多长时间等等;没有caching)。 我所做的:在openBSD上安装squid 问题:我看到整个stream量(tcpdump),但我不能将它redirect到鱿鱼 我如何连接它: [ internet ] | [ switch with port mirroring ] => [ squid server ] | [ LAN ] 我的鱿鱼服务器有两个网卡:sis0 IP地址10.0.0.100(pipe理连接)和rl0没有IP地址和promisc模式(没有桥;整个stream量去那个接口)。 我的pf.conf: pass # establish keep-state block in on ! lo0 proto tcp to port 6000:6010 pass in on rl0 proto tcp from any to any port {80 443 3128 8080} […]
我如何让openBSD对Windows Server 2008 R2进行身份validation? 我目前已经安装了Unix的身份pipe理(IDMU)。 另外我已经在openbsd中安装了login_ldap。 但是我不知道在openBSD客户端和Windows Server 2008中要configuration什么。我的目标是在windows sever目录结构中创build帐户,并能够从openbsd计算机login这些帐户。
在OpenBSD下,/ dev / rsd0a表示: 访问 到第一个,或根,片( 一 ) 第一个( 0 )SCSI( sd )磁盘 r表示该设备是以原始字符模式访问的,而不是标准的块访问。 还有其他已知的特殊前缀,比如这个,还是唯一的?
这是我的第一个问题,我希望我做的一切正确。 感谢您设置serverfault – 这样一个网站很长一段时间在互联网上失踪了。 在接下来的几个星期里,我将获得我的VDSL 25连接(最好是25 Mbit下载和5 Mbit上传)。 所以现在我正在考虑为VDSL设置我自己的路由器,因为我不想使用我用VDSL 25获得的Speedport路由器。 我真的进入了OpenBSD,并且发现了一个很好的关于使用OpenBSD和VDSL的指南。 在一篇关于build立基于FreeBSD的pfSense for VDSL的文章中,我读到计算机应该有至less1 GHz的1024 MB内存。 我的机器将是一个800 MHz的奔腾3与512 MB内存,但我认为购买TCO(TCP校验和卸载)30美元的千兆网卡。 一位同事向我提出这个build议,因为他认为这将大大降低CPU负载,而我的800 MHz P3可能足够了。 那么你是否有一些关于VDSL的“硬件要求”的经验,如果有TCO的网卡可以帮助吗? 在此先感谢您的答案!
我正在使用OpenBSD 4.6 macppc上的HAProxy 1.3.15.7将一些基础架构从托pipe特定站点的多个服务器迁移到负载平衡架构。 自然,我开始为当前设置(特定服务器上的特定站点)configuration内容切换,而我的/etc/haproxy/haproxy.cfg如下所示: global log 127.0.0.1 local0 log 127.0.0.1 local1 notice #log loghost local0 info maxconn 1024 chroot /var/haproxy uid 604 gid 604 daemon #debug #quiet pidfile /var/run/haproxy.pid defaults log global mode http option httplog option dontlognull option redispatch retries 3 maxconn 2000 contimeout 5000 clitimeout 50000 srvtimeout 50000 stats enable stats auth […]
我正在设置一个环境,我有一台Linux服务器,一台OpenBSD路由器和一台Linux客户端,我希望能够限制客户端应该能够使用的带宽。 我一直在用“netcat”和“time”(使用时间来测量netcat传输的时间)执行这些testing,以及在尝试这些testing时发生了什么(使用TCP协议,队列由于某种原因不起作用与UDP)是队列是不完全的。 例如:设置10mbit的带宽限制时,客户端不能使用超过5Mbit,设置100mbit的限制时,客户端不能使用超过50mbit。 configuration看起来像(在例子中使用100mbit限制): #queue rules altq on { $int_if, $ext_if } cbq bandwidth 100Mb queue { def, low } queue def bandwidth 0Mb cbq(default) queue low bandwidth 100Mb cbq(default) #Passrules test pass out quick from $int_if to $ext_if queue low pass in quick from $ext_if to $int_if queue low pass out quick from $ext_if […]
我有openvpn运行在防火墙后面的openbsd服务器上,所以它是局域网的本地成员。 openvpn是一个网桥configuration。 防火墙内部10.0.10.1 openvpn服务器10.0.10.15 vpn客户端分配到10.0.10.240 – 10.0.10.244 我有PF设置为通过两个networking之间的stream量。 交通双向运作。 我可以从vpn客户端ping通lan,并且可以从lan上的其他计算机ping客户端。 我已经使用Bonjour来使用这个设置。 我可以在vpn'd中pipe理timecapsule,并使用其他bonjour协议function。 我注意到它不是,并试图再次得到它,它不工作。 我的pf.conf如下所示: int_if="em0" vpn_if="tun0" br_if="bridge0" all_if="{" $int_if $vpn_if $br_if "}" local="10.0.10.0/24" ssh="22" dns="53" ntp="123" mdns_one=5353 mdns_two=5354 mdns="{" $mdns_one $mdns_two "}" vpn="9999" pub_tcp="{" $ssh $mdns_one "}" pub_udp="{" $dns $ntp $mdns_two "}" set skip on lo scrub in block in pass in on $all_if proto […]