我遇到了一个很奇怪的问题,我想和大家分享一下。 也许你会帮我提出一些想法。 KVM驱动的主机上有3个虚拟机。 其实大概有50个虚拟机,但是他们都工作的很好,虽然这3个虚拟机的行为有点不同寻常。 下面是一个图表,说明这三个虚拟机和它们之间的两个链接: 当一切正常时,这两个之间的TCP会话(“GET / HTTP / 1.0” – “HTTP 200 OK”)如下所示: 00:58:43.885118 IP 192.168.111.2.55480 > 192.168.113.2.http: Flags [S], seq 926382744, win 14600, options [mss 1460,sackOK,TS val 277997 ecr 0,nop,wscale 7], length 0 00:58:43.885380 IP 192.168.113.2.http > 192.168.111.2.55480: Flags [S.], seq 1849545379, ack 926382745, win 14480, options [mss 1460,sackOK,TS val 3702103 ecr 277997,nop,wscale […]
我们正在尝试为azure创build一个pfSense虚拟机。 我们可以selectpfSense产品,我们可以开始为它创build一个虚拟机。 但是,当我们到达需要select我们要为机器select的尺寸的部分时,所有选项都会显示为“不可用”。 甚至没有一个单一的大小可供select。 我们已经尝试在Bizspark订阅以及付费订阅的时候这样做。 这两者都没有任何区别。 我们也尝试过selectSSD而不是HDD,以及尝试不同的地区,但都取得了相同的结果。 这里可能是什么问题?
我有两个Web服务器坐在pfsense路由器后面。 我的ISP向我发布了一个公共IP。 我在pfsense有一个LAN和OPT1接口。 是否有可能使用虚拟IP或VLANfunction将这两个networking服务器放置在单个IP后面? 如果是,那怎么办?
昨天我们运行Apache2.2的networking服务器从僵尸networking获得了DDoSed,造成九(9)小时的停机时间 。 攻击者只是创build了太多的“GET /”连接,导致我们的服务器到达CPU负载100,最终拒绝进一步的连接。 在这些web服务器的前面,有一个带有haproxy的pfsense机器,负载均衡连接到web服务器。 我们试图阻止来自pfsense的ips,但是这些连接仍然在通过。 当DDoS已经停止,当我们意识到由于已经build立的连接仍然通过, 当我们创build规则时,我们没有指定它也应该适用于已build立的连接。 我们还不知道,自从附件完成后,这样做是否会奏效。 我们在Apache上实现了modsecure,但是由于X-Forwarded-For的原因,我们意识到它没有像预期的那样工作。 Modsecure正确地识别了IPS,但是当遇到阻塞的时候,它拒绝了负载均衡器的IP(需要安装mod_remoteip)。 当我们在web服务器上使用mod_evase时,攻击完成了。 我在DDoS对策上做了一些功课,但是我仍然有一些问题,我没有设法回答自己。 1)你可以阻止来自pfsense /前端在层4级的“GET /”请求,所以连接不会到达后端? 我看到有可能限制一个IP的连接,但是当攻击者创build一个单独的连接(保持活动状态),然后通过这个连接发送所有的“GET”请求时,这会有帮助吗? 2)阻止对前端(比如防火墙 – 负载均衡)或后端的攻击是否更好?
我是pfSense的新手,但是我的networking和监控技能还可以。 我正在尝试了解交通图。 我已阅读文档 。 据我所知,左侧的图表应显示所选接口的总吞吐量。 而右侧列表应显示使用最多带宽的主机的详细信息。 但总数不加起来。 在下面的屏幕截图中,前3个“in”主机使用1.7MB / s,一个“out”主机使用1.8MB / s。 但是在“in”图上小于500kB / s,“out”小于100kB / s。 我错过了什么? 我正在使用以下版本。 2.3.4-RELEASE (amd64) built on Wed May 03 15:13:29 CDT 2017 FreeBSD 10.3-RELEASE-p19
networking图 嗨,大家好, 任何人都可以帮我解决这个问题吗? 这里的设置: 客户:1.1.1.1 公共服务器:2.2.2.2(数字海洋) pfSense:3.3.3.3 WEBSERVER:4.4.4.4 公共服务器(Linux)通过IPSEC VPN&StrongSwan(Linux)连接到pfSense。 build立: 公共服务器有一个IPtables的端口转发HTTP(S)请求到Web服务器 -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 -j DNAT –to-destination 4.4.4.4:80 -A PREROUTING -i eth0 -p tcp -m tcp –dport 443 -j DNAT –to-destination 4.4.4.4:443 假设客户端1.1.1.1正在通过HTTP访问公共服务器,该请求将请求转发给WEBSERVER 4.4.4.4。 基于apache日志,我得到公共服务器IP是2.2.2.2,我的目标是获得客户端IP 1.1.1.1而不是? 有什么build议么? 我也尝试使用Haproxy,但获得相同的结果。 有无论如何,我可以通过IPsec VPN获得客户IP? 非常感谢!
我需要一些帮助,让我知道IPsec隧道的一些指示灯。 在这里我将解释我目前的设置。 站点A <——- IPSEC ——>站点B(HUB)<—— IPSEC ——>站点C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24 从站点A到站点B和站点B到站点C的隧道工作正常。 但是,站点A无法直接到达站点C,反之亦然。 在站点A阶段2条目:本地:LAN子网NAT / BINAT:无远程:networking(10.2.2.1/24) 在站点C阶段2条目:本地:LAN子网Nat / Binat:无远程:networking(10.2.2.1/24) 在站点B有2个IPSec隧道: 站点A阶段2条目:本地:LAN子网Nat:无远程:networking(10.1.1.1/24) 站点C阶段2条目:本地:LAN子网Nat:无远程:Networ(10.3.3.1/24) 注意:仅供参考,我们无法访问站点C.因此,只能在站点A和站点B进行任何调整。 请让我知道,如果你可能需要任何其他信息。 先谢谢你。
美好的一天! 我会尽量让这个简短而甜美。 我目前的设置是: XS708T NETGEAR 10gbE交换机 ESXi计算机1: 2个Intel 10gbE 一个vSwitch上带有WAN的pfSense(VM),另一个vSwitch上的LAN,每个上面的NIC都是分别的。 pfSense,Ubuntu服务器(x2),FreeNAS服务器,Windows Server虚拟机 ESXi机器#2: 1x Intel 10gb(SFP +) Ubuntu服务器(x2),FreeNAS服务器,Windows Server虚拟机 VLAN的:设置在pfSense和交换机上 10 = VM的 20 = LAN_OTHER 30 = WIFI 99 =pipe理员 所以问题就出在这个问题上:在同一个ESXi机器上的两个Ubuntu VM之间使用iperf时,在同一个VLAN上能够达到全部10GB / s的吞吐量。 我也跑了两个方向。 观察pfSense上的systat -ifstat,我可以validation没有stream量通过pfSense传播。 如果我尝试在同一个或不同的ESXi计算机上使用两个Ubuntu虚拟机,但使用不同的VLAN(即:10和99),则会降低到大约2-3 GB / s的吞吐量。 在这个testing中,我可以看到所有通过pfSense传输的stream量。 所以我的思维过程就是这样。 我的交换机已经被validation可以在同一个VLAN上处理10GB / s的吞吐量。 我在所有的testing过程中都监测过pfSense,以确认我没有遇到任何硬件(CPU)限制。 那么这是我的设置,或者可能是我的pfSense虚拟机的问题? 任何和所有的帮助表示赞赏! 谢谢!
我已经在VM内部安装了PFsense,并使用了两个以太网卡,正如他们的手册中所描述的那样。 我的WAN IP = 10.0.11.113我的LAN IP = 192.1768.2.1 现在安装后,我只有DOStypes的接口。 现在我怎样才能通过PFsense将互联网分享给其他虚拟机
我的电脑仍然可以访问互联网,虽然鱿鱼inatalled。 如果我手动把代理设置,然后互联网也可以。 如果没有input代理服务器,如何停止互联网