我的networking上有一些路由器/防火墙(pfSense,TMG 2010,ISA 2006),这些路由器/防火墙是有状态的。 现在他们都在与大多数最终用户设备和服务器相同的子网上有一个接口。 我会做一些改变,把一些服务器放在这些防火墙后面的自己的子网中,所以我想知道是否应该为路由器build立一个专用的子网,将数据包路由到对方。 没有路由协议,只有静态路由。 我试图避免asynchronous路由,这可能是有状态防火墙的问题,因为stream量stream入和stream出networking的path不同。 如果stream量通过不同的path回stream,并且该path中的防火墙在状态表中没有logging,则stream量可能会被阻塞。 我的基本问题是:这是解决这个问题的理想方法吗? 为什么或者为什么不? 在最佳实践方面,我还没有find太多的东西,但是这种方法只会在每个子网上留下一个路由器,这样我就可以避免不同机器具有不同默认网关的情况。 当前 Router 1 Router 2 Router 3 192.168.1.1/24 —— 192.168.1.2/24 —— 192.168.1.3/24 —— All other devices | | | VVV 10.10.10.1/24 10.20.20.1/24 10.30.30.1/24 build议 Router 1 Router 2 Router 3 192.168.1.1/24 —— All other devices 10.200.200.1/24 —– 10.200.200.2/24 —– 10.200.200.3/24 —— Routers/Firewalls only | […]
我有一个2networking适配器的系统:一个WiFi卡(atheros)和一个以太网卡。 这两个networking适配器都可以被pfsense 2.1认可,但是我不知道如何configuration它: 我想使用无线网卡作为局域网接口,以太网卡作为广域网(DSL调制解调器将连接到它)。 在pfsense的第一次启动过程中,我可以将无线网卡分配为LAN接口,但当然由于WLAN本身尚未configuration,所以我无法访问pfsense系统。 那么,去这里的路是什么?
我有一个盒子,我刚刚安装了pfSense 2.1。 这个盒子有16GB的内存,是一个四核处理器(是的,我们打算做一些严重的stream量,并使用代理filter与很多客户端)。 BSDshell报告正确,安装了16GB的RAM: dmesg | grep memory real memory = 17179869184 (16384 MB) avail memory = 2604027904 (2483 MB) 我的假设是,BSD报告的内存使用情况与其他Unix系统大致相同 – 机器已经提前并“保留”了近14GB的RAM,这就是为什么只有2GB报告可用。 混乱: 在pfSense仪表板上,它只报告“可用内存”,除了“系统信息”小组件中的“内存使用情况”之外: 内存使用量2534 MB的10% 这关系到我。 我需要pfSense来查看所有16GB的RAM,以便我可以给代理内容filter(SquidGuard)一个适当的金额。 这有什么好担心的吗? 为什么或者为什么不? 如果有什么担心的话,我该如何解决?
我有两个运行PFsense的Linux机器,其中一个是主机,另一个是备份。 主站IP为192.168.1.2,备份IP为192.168.1.3。 我创build了一个VIP 192.168.1.1,这是LAN中所有系统的默认网关。 在主服务器和备份服务器中,我有两个接口WAN1和WAN2,它们连接到另外两台Linux机器(不运行PFSense),而这两台机器又连接到ISP。 我已经创build了用于负载平衡和故障转移的网关组。 即使任何ISP系统或防火墙系统(PFSense)发生故障,LAN中的所有系统都能够访问互联网。 以下体系结构对ISP和故障转移之间的负载平衡很有效。 SSH连接发生问题。 如果任何系统closuresSSH连接中断,所以我必须重新启动连接。 在架构中需要做什么更改,以便SSH连接即使在任何系统出现故障时也不会中断?
在旅行时,我不得不与一些破坏性的门户网站实施互动,我听到其他乘客在iPad,电话,计算机方面存在可用性问题,这取决于所使用的强制门户技术。 例如,带有popup式窗口的圈套式门户与没有这种popup式窗口的门户似乎更成问题。 在一个用户与一个设备之间以及一个用户与多个设备之间实施强制门户“会话”的最可靠方法是什么? 它是一个cookie或MAC维护会话? 似乎每个会话支持多个活动设备的一些门户网站引入了一组全新的互操作性挑战,因此维护会话的最佳方式是不同的。
我在工作networking上的pfsense防火墙的带宽图上注意到了这种奇怪的模式: 如果我正在读它, 从本地networking到LAN端口有6 Mbps的数据stream,但似乎没有任何地方。 我第一次注意到它是上午10点30分,现在还在进行中,下午14点45分。 对于什么可能导致它的好奇,我检查bandwidthd日志,但没有发现任何明显的可疑主机日志(间隔4分钟)。 然后我试图用ntopng获得更多的信息,而这一点非常突出: 这两台主机是唯一由MAC地址而不是IP地址标识的主机。 两者都使用近6 Mbps。 其中一个只发送,另一个只接收。 其中一个似乎是一个无效的MAC地址。 另一个,根据在线数据库,似乎是一个TP-Link设备。 我在我的工作站和pfsense root帐户上执行了arp -a ,并在pfsense仪表板上检查了“诊断:ARP表”部分。 没有以64:70:02开头的条目。 这里可能会发生什么?
我有一个特定的主机,我需要通过SSH(称之为“工作”)。 我在我的客户端有一个静态IP(称之为“客户端”)来启用对这个远程“工作”框的访问。 “工作”的人然后创build了一个防火墙规则,允许我的“客户”静态IP进入他们的networking。 这当然意味着,如果我旅行,我不能进入我的“工作”networking,因为我将拥有与我的客户站点上的静态IP不同的IP。 我已经使用OpenVPN(在客户端)启用了PFSense 2.2.3框, 我将如何通过我的“客户端”(通过静态IP)将安全连接路由到我的“工作”框中? (所以看起来好像我来自客户端的静态IP)
我刚刚在PC Engines APU1D4上安装了pfSense,作为基于Soekris 5501 + OpenBSD的设置的替代品,我有一个PPPoE WANconfiguration。 pf规则,NAT和PPPoEconfiguration看起来和我的OpenBSD框一样,但是一些网站却无法加载,比如twitter.com。 我认为这可能是与广域网MTU,我试图改变这个1492年和1452年,但没有什么区别,我也跟着所有的build议在这里无济于事。 https://doc.pfsense.org/index.php/Unable_to_Access_Some_Websites 整个会话的数据包捕获在这里: https : //dl.dropboxusercontent.com/u/249827/packetcapture-twitter-wan.cap https://dl.dropboxusercontent.com/u/249827/packetcapture-twitter-lan.cap 任何想法可能会发生什么?
我们要用大量的连接和stream量来压力testing我们的pfsense盒子。 现在我们正在使用iperf,但是达到了超过300个并行连接的数量,testing客户端达到了打开tcp连接的极限。 但是我们需要模拟〜4000个客户端,每个客户端至less运行一个TCP连接。 最好的做法是什么?
我有一个pfSense上的OpenVPN服务器。 隧道在私网10.21.4.0/24上,但局域网在10.21.1.0/24上。 如何将VPN客户端从隧道路由到LAN? 我目前的设置包括: 一个开放的VPN服务器(使用向导) 防火墙规则在OpenVPN允许来自所有协议,在所有目的地和来源,所有他们各自的端口和所有网关的stream量 防火墙NAT出站规则将任何源地址映射到隧道networking(10.21.4.0/24) 我还没有启用OPT1接口