我们有一个小型办公室,我们75%的基础设施都是基于云计算的,包括我们用于远程访问的pfSense部署以及目前面向公众的站点到站点连接。 我们决定部署一个支持Firepower的思科ASA作为我们的内部部署的外围防火墙。 有没有人有使用安装了Suricata软件包的Firepower许可和/或pfSense附带的IPSfunction的经验,以及如何处理VPNstream量? 由于我们正在连接到由pfSensepipe理的VPN服务器,为了满足合规性需求,我们需要确定发生数据包检查的确切位置。 使用从本地ASA连接到pfSense的IPsec VPN客户端,ASA是否可以解密数据包,并在路由之前将其转发给Firepower模块进行检查,或者在数据包发送之前或之后在pfSense / Suricata端处理从VPN服务器到ASA?
我们使用PfSense作为内部路由器/防火墙(不连接到WAN)。 使用Web-GUI,在状态—>接口下,有一个特定的接口,我有一些错误: In/out errors 3513/0 然后我SSH到防火墙validation由WebGUI提供的信息,这里的输出: # netstat -ni -I bce2 Name Mtu Network Address Ipkts Ierrs Opkt Oerrs Coll bce2 1500 <Link#3> 00:23:7d:cd:a2:a2 1404522323 3513 749797131 0 0 bce2 1500 10.42.1.0/24 10.42.1.24 6 – 6 – – 正如你所看到的,两者都呈现相同的信息(传入数据包上的错误)。 我切换电缆,更换网卡,更换开关端口,我仍然看到错误。 我的两个问题确实是: 1)有什么方法可以获得有关这些错误的性质的更多信息? 或者这是我能得到的吗? 2)我应该担心这个吗? 正如您所看到的,错误是所有传入数据包的极低百分比。 换句话说,在高stream量的千兆接口上这是正常的吗? 谢谢! JFA
我在这里进行了一些search,没有发现任何与我相关的东西。 我会尽可能简短。 我目前有OSX服务器,其中三个。 我正在转向虚拟化环境,因为苹果取消了Xserve。 我没有以前的虚拟化经验,但我是一个快速学习者 , 自1997年以来我一直在pipe理服务器 。 所以,在新的数据中心新的专用服务器。 Kickass硬件,安装了VMware ESXi,并在其中创build了两个networking“VM Network”和“Switch”。 “VM Network”连接到物理网卡,“Switch”是虚拟交换机。 然后,我创build了一个名为“FW”的VPS,它具有两个虚拟网卡,一个连接到VMware的每个networking,在该虚拟机上安装pfSense,并使用内部交换机桥接“真实”网卡。 完成。 然后,我打算在“Switch”networking上创build我的资源池,并让pfSense负载平衡它。 我的Web应用程序目前包含在一个单一的目录中,大约有300GB的数据,我的数据库大约是50GB。 他们目前在Xserve 1和Xserve 2上。 我目前的思维过程在这些VPS机器上有我: 1.主服务器(10.0.0.10)包含两个虚拟硬盘驱动器,一个用于Linux,另一个用于我的Web应用程序。 更大的是作为“/ Atlas”(我的CMS的名称)安装在Linux内部,然后是NFS导出。 VPS有2GB的RAM和2个CPU 2.数据库服务器(10.0.0.11)这是主数据库服务器 3.networking服务器(10.0.0.20 – 10.0.0.30)十台Linux服务器,每台服务器有5GB高清,5GB RAM和4个CPU。 每个从#1挂载NFS导出,并可以读写我的地图集。 我的问题是: 我应该在3的每个Web服务器上运行MySQL从站吗? 我只有约900GB的服务器,所以空间是一个问题。 如果不是,我应该在同一个VMware中有独立的MySQL从属故障切换服务器,以防#2发生什么情况? 我会rsync备份主服务器到异地的位置,但有没有比NFS更好的方式让每个Web服务器读取和写入这些数据。 使用集群文件系统会导致空间问题,是否可行? 我应该使用VPS进行负载平衡并使用Apache自己的LB? 对于Web应用程序来说,这比使用pfSense的LB更好吗? 我这里有其他弱点吗? 我将使用这个作为我的主要服务器,但我将有一个故障转移服务器在另一个位置设置相同,并使用DNS服务器重新路由stream量时(自动或手动)。 我不是在这里build造Fort Knox,但是我需要比现在更好的冗余,我想尽可能地做到“正确”。 任何帮助/意见都非常appriciated!
我正在使用静态IP的VPS上使用Debian,使用dynamicIP的PPP后面使用我的家庭networking。 我的pfSense路由器/防火墙应通过RFC2136风格更新来更新我的主机home.mydomain.tld 。 大量阅读不同的教程后,我仍然不知道如何正确地设置。 在我的区域文件中有一些主机,我想只允许一个主机的密钥更新。 Debian会自动创build文件/etc/bind/rndc.key 。 我想使用第二个键,并保持本地更新的关键,我改变了所有区域。 如何configurationBIND来允许这个? 通过pfSense中的DynDNSconfiguration概述: http : //doc.pfsense.org/index.php/Dynamic_DNS#2.0_Behavior
我很痛苦。 我们正在转向基于SIP的VOIP系统,无论出于何种原因,我们无法让我们托pipe的Asterisk解决scheme与我们的Sonicwall一起工作。 我们的VOIP提供商放弃了,正在推荐一个开源供应商pfSense。 一点背景: 我们的networking中有大约30个用户。 我们为远程networking使用几个IPSec VPN连接。 我想,但不需要,应用程序层过滤。 我们是活跃的互联网用户,所以适当的stream量整形可能是一个问题。 如何判断一个开放源代码的防火墙是否可以顺利处理VOIP设置,并托pipeAsterisk系统? 目前与Sonicwall的尝试安装 我们正在使用运行SonicOS增强版4.2的TZ 190 一致的NAT被启用 我们没有使用SonicWall的自动SIP转换。 图片链接: http : //cl.ly/1Q3A3K3C1M1Z322I1M2L 防火墙已经打开,允许我们的VOIP提供商,以及所有的SIP UDP和TCP:图片链接: http ://cl.ly/310b07271R0c2s2c3L1g(@汤姆奥康纳很好,这可能是一个问题。) 稍后更多细节…
我正在尝试设置一个IPsec家庭VPN,因为我已经阅读了有关安全问题和过时的PPTP。 我在网上find一篇文章,告诉你如何在这里设置一个IPsec VPN,但是当我去连接它的时候,我无法做到。 我尝试从局域网端口扫描路由器,并使用局域网之外的计算机,两次扫描都得出结论:端口500(VPN端口)已closures。 还有什么我不得不做的设置它听客户端可以连接? 我检查了错误日志,一切都很干净,所以我很困惑。 另外,从我所知道的IPsec应该是一个L2TP的包装,所以我应该首先设置L2TP,然后configuration我的IPsec与L2TP的工作,这将解释为什么它不“听”? 如果是这样的话,你能不能和我分享一个能帮助我完成的链接? 我已经走了,虽然谷歌的头几页,我似乎可以挖掘是PPTP指南。 非常感谢!
我在pfSense 2.0.1 32位上有以下设置: WAN_IF (Physical Interface Connected to ISP)—–\ /—–DMZ (Physical Interface of External Servers) \ / \ / WAN_BR (Bridge of the Two Physical Interfaces, Used as WAN Connection) | pfSense Firewall | LAN (Physical Interface Connected to LAN) 我想允许stream量在服务器和ISP之间交叉而不中断,但是我不想要访问我的局域网。 我应用了哪些防火墙规则来允许这样做?
我正在考虑使用双NIC卡(一个有两个NIC端口)的计算机作为在线stream量整形器/ URLfilter/stream量分析器等(可能使用pfSense),但我担心,如果这台计算机无论出于什么原因,没有交通可以通过。 有什么可以做的,让stream量在两个NIC端口之间自由通过,如果发生断电或机器崩溃?
我有一个目前正在使用的防火墙软件,但是我正在考虑用PfSensereplace它。 我期待有效地复制当前防火墙上的一些设置。 我碰到的墙壁是通过特定的网关路由主机。 目前我们使用的软件能够简单地提供源IP,然后select将要使用的网关。 工作完成,去wimi,变化是直接的。 我需要用PfSense做同样的事情,因为我有四个接口。 3万和1兰。 3个WAN连接在其所连接的路由器范围内具有静态IP,默认网关为WAN1。 在访问wimi.com时,我正确接收WAN1网关路由器的WAN IP,所以这一方面工作正常。 我需要通过WAN2静态路由几个人,然后WAN3专用于脚本等(所以这个接口只是一些防火墙规则)。 所以我的问题是我如何可以在局域网上指定一个networkingIP,并设置哪个网关用于连接到互联网。 我可以在系统 – >网关路由选项卡中看到,我可以添加一个主机(我正在通过别名执行此操作),然后select一个网关。 但是,当我这样做时,我把自己locking在局域网之外,无法ping通/访问PfSense gui。 禁用规则访问后返回。 我误解了这一节,如果是的话,我该如何去实现这一点。 作为一个说明,我不能说使用负载平衡,因为我需要testing某些服务,我必须来自一个特定的IP。 因此,我的机器必须在90%的时间内通过WAN2路由,除非我需要切换到testing另一个服务。 非常感谢 更新请参阅请求的信息: 这是来自各个页面的截图的集合。 http://imgur.com/987moz3 我有两台机器连接172.26.0.10 172.26.0.11 CPE是目前默认的网关,当wimi上网时,机器显示正确的IP。 我需要路由我的机器(172.26.0.10)v ia ADSL网关,但是,wimi上的ip和tracert显示与所有其他机器相同。 我有高音检查NIC的IP,确保释放和更新每次更改等,并closures重新打开cmds再次执行tracert之前。 我也重新启动了几次pfsense服务器。
我想知道是否有可能将pfsense日志(包括snort)转发到一个graylog2服务器? 而这又如何实现呢?