我有一个运行有多个Hadoop VM的VMware vSphere Hypervisor。 由于我们的支持在我们的路由器上激活了端口安全,所以只有两个MAC被允许连接到路由器的一个端口。 这就是为什么我用pfsense添加了另一个虚拟机,把Hadoop虚拟机放在他们自己的子网中,而pfsense虚拟机“in-between”: 我的首选解决scheme是,pfsense工作透明,只是用自己的数据包replace所有的MAC到“外部”。 因为我不知道这是否可行,所以我正在尝试让出站NAT工作,以便至less这些虚拟机可以与外部通信。 到目前为止我有: Hadoop VM(和pfsense的LAN接口) pfsense的WAN接口与“外部”(包括DNS)之间的连接 什么不行: Hadoop虚拟机和外部(两个方向)之间没有连接 configuration细节: 我的广域网是172.1.40.1/24。 由于我原来的计划是以某种方式使局域网和广域网之间的通信变得透明,所以我configuration了pfsense,因此对于pfsense,局域网是172.16.40.128/25而广域网是172.16.40.1/25。 这是我的防火墙规则和NAT规则: WAN防火墙规则 ID Proto Source Port Destination Port Gateway Queue Schedule Description IPv4 TCP * * WAN address 80 (HTTP) * none WAN configurator access IPv4 * 172.16.40.0/24 * * * * none WAN/LAN Passthrough IPv4 * * […]
我一直在为此奋战3天,这让我有点疯狂。 我可以通过使用Ldap的用户使用以下searchfilter进行身份validation:sAMAccountName =%s 我似乎无法完成这个组,但是…我已经尝试了以下searchfilter: (&(=的memberOf CN = ProxyAccess,OU = pfsense,DC = MYDOMAIN,DC =本地)(sAMAccountName赋=%S)) (&(objectCategory =用户)(=的memberOf CN = ProxyAccess,OU = pfsense,DC = MYDOMAIN,DC =本地)(sAMAccountName赋=%S)) 在尝试进行身份validation时,我运行tail -f cache.log,但看不到任何错误 任何人都可以请帮助我吗? 有没有办法获得更详细的日志logging,所以我可以试着弄清楚发生了什么事情? 我假设它是searchfilter,因为我可以使用用户searchfilter进行身份validation 非常感谢您的帮助
我有一个pfsense盒子,我正在configuration第一次使用DNSSEC的过程。 我用这个网站来检查我的DNSSEC状态 。 当我去这个网站时,我被告知,我的“DNSSECconfiguration为”宽容模式“我希望它处于安全或validation模式。 在我的pfsenseconfiguration中,我启用了未绑定的dnssec。 我也运行Unbound-anchor,如此处所述 。 我似乎没有得到任何错误,但我没有DNSSEC。 我想拥有DNSSEC。 我只关心我收到的DNS数据,我没有把任何地址放到网上。 我很高兴使用GUI,但CLI也很好。
我正在探索我的路由器上的ntopng报告,看到我LAN上的一台计算机是flooder。 ntopng说Host XXX.XXX.XXX.XXX is a flooder [NNN new flows in the last 3 sec] 如何更详细地探索这些stream程,以了解它们是否合法? 如果我去一个给定主机的flows部分,我正在获得比NNN小得多的stream量列表。 例如,我可以提醒大约1500个stream量,而在列表中只能看到100个stream量。 UPDATE 截图
我有两个带有CARP设置的pfSense防火墙,两个WAN和HAProxy指向我的LAN中的HTTP服务器。 scheme: **pfSense server #1** ISP#1 – Public IP1.1 – pfSense#1 with HAProxy – HTTP ISP#2 – Public IP1.2 – **ISP#2 Local IP1** – pfSense#1 with HAProxy – HTTP LAN vIP – pfSense as Gateway (Master) **pfSense server #2** ISP#1 – Public IP2.1 – pfSense#2 with HAProxy – HTTP ISP#2 – Public IP2.2 – **ISP#2 […]
我configuration了一个前端logging,用一条logging引用后端服务器池。 引用的HAProxy后端服务器池包含一个logging,其最大con值设置为2000 。 在统计报告中,我可以看到这些规则的统计数字,一切看起来都不错,只是灰色后端行的聚合值包含Sessions Limit的值200,而在此之上的单个行的值为2000(在服务器中configuration池logging)。 testing也会产生最多200个会话的结果。 可能是什么问题呢? 我是否需要重新启动服务器池还有其他东西我缺less?
我正在为学生宿舍创build一个ISP。 局域网已经在那里工作,有几台CISCO交换机。 我想通过安全和自动的方式提供互联网给那些支付(每月)的人。 在不久的将来,也可能会有一个接入点(CISCO)在一个“不太私人的”地方(主要是学生,但他们可能不住在这个住所)连接到networking,所以连接必须是担保和限制在居民(只有付费用户无线接入networking是可以接受的)。 这是我的愿望: login应该是直截了当的,并适应一个不断变化的社区(每年150-200个class次/到达) 在订阅结束后自动断开用户与Internet的连接(他仍然可以使用LAN) Internet网关的pipe理界面(带宽,连接用户…) 强制门户(或其他)解释如何订阅非付费用户想访问互联网 然而,我有一个很大的限制:人们(付费用户)不得不能够在他们之间进行通信(同一个VLAN)。 对于1.我认为802.1x PEAP是正确的解决scheme,它使用服务器上的证书和客户端部分只有用户名/密码。 我不必把证书放在每个设备上。 对于2.我正在考虑从LDAP radiusProfile objectClass使用“过期”,并在用户订阅时更新此值。 对于3.和4.解决scheme之一可能是pfSense。 由于802.1x和用户在同一局域网上的限制,还有另外一种可能性,使得非付费用户有一个RADIUS“用户帐户”? 我假设不是。 据我所知,在networking设备(AP或交换机)上configuration了802.1x,并直接与RADIUS服务器进行通信,因此pfSense如何知道用户何时在其中一个networking设备上进行身份validation,以便绕过强制门户? 我不希望我的用户必须login他们的设备,并再次在强制门户网站上login,它必须是透明的。 下面是我看到的实现: User NP: non-paying user = access to LAN but not to Internet; access to captive portal when asking for Internet; User P: paying user = access to LAN and Internet until suscription expires; […]
我很抱歉无法在此发布networking图,但是因为这是我第一次在这里提出问题,所以我不被允许。 所以这里是场景: 我们有一个网站是build立在一个花哨的前端和工作马后端。 前端执行索引和规则处理等后端工作的地方。 前端能够处理所有负载,无任何问题。 后端需要多个服务器来处理负载。 两台服务器都处理对最终用户的HTTP请求,并拥有公共IP地址。 我的想法是内部负载均衡后端服务器。 这将允许前端服务器将负载分散到后端服务器。 第二个想法是将负载均衡IP的外部地址NAT转换为外部地址,供最终用户访问。 所以我的问题是: 1)您可以将负载平衡到同一子网上的服务器吗? 2)我可以将外部IP转换为负载均衡IP吗? 我了解负载平衡function是使用NAT实现的。 因此,我想知道是否有任何冲突,因为我将NAT作为NAT地址。 该站点当前正在运行,没有负载平衡,我有点担心在生产环境中进行这些更改。 在此先感谢您阅读本文的时间以及可能想到的任何build议。 懥
我有一个工作多年的光纤到NAT路由器到客户端的设置。 客户端通常是任何types的廉价NAT路由器。 像这样安装 Fiber from ISP | Router, pfsense -WAN – xxxx /29 (public IP) -LAN – 10.0.0.1 /21 | Switches (with port-security to clients cannot "see" each other) | Clients (typically local Wifi Routers) -behind each client is typically a 192.168.0.1 /24 -some clients are in bridge mode forward main routers 10.0.0.x IP's 问题是,越来越多的客户是报告“双重NAT”的Apple路由器(Time […]
我试图在一些退役的防火墙设备上安装PFSense。 我已经安装了PFSense就好了,除了两个NIC卡在旁路模式。 我在BIOS中看不到任何选项来编辑这些设置。 我能够进入PF的web界面,看到这些网卡,并打开它们。 但是,他们仍然在旁路,不允许我使用它们。 目前,我可以通过pipe理端口访问机器。 (SSH /的WebGUI) PFSense看到网卡,但没有显示上行链路,链路指示灯熄灭。 该设备似乎基于Portwell NAR-5530-320-450平台; 这里有一些图片: 任何想法我怎么能得到这个工作? 我们从这些设备上购买这些设备的公司已经不在业务中了,我们无法发回这些设备,也没有得到这些设备的支持。