我们有一个相对较小的networking,所有的PS在一个子网中。 一台安装有两个NIC和pfSense的 PC可用作防火墙/路由器。 有一个到远程位置的OpenVPN隧道,作为到另一个pfSense盒子的站点到站点的连接。 我有一个任务来捕获,存储和显示(通过Web界面)每个主机在我们的子网上产生的stream量(传入和传出)的信息,并以多个视图显示: 兆字节每日历小时/天/月/年(也就是说,不只是“一个月前”,而是“2010年12月”等)。 每个目标的兆字节数:VPN到远程位置/其他目标/ Google Apps服务器。 我尝试了pfSense中提供stream量监控的软件包,但似乎他们没有存储按月计算的信息,而是显示了从当前计算出的时段(日/月/年)产生的stream量。 我也有兴趣了解什么是最好的方式来分解主机和目的地的stream量。 我愿意接受所有的build议,即使它们意味着我将不得不去了解一些新的东西。
我在pfsense上有一个一对一的NAT,将公共IP分配给内部IP(运行Web服务器)。 当我从内部机器打开公共IP时,它不会parsing到内部IP,而是打开路由器网页。 当我从局域网外部打开公共IP时,它将通过运行Web服务器的内部IP。 为什么我不能在内部开放公共IP?
当提供程序无关的地址空间或ISP分配的静态前缀都不可用,并且委托前缀(通过DHCPv6)是唯一的选项… configurationActive Directory和域控制器以支持IPv6的“最佳实践”是什么?
我正在进行一个networking重组,它有三个地理位置,但将共享一些服务。 其中两个地点有工作站,一个只有服务器(在CoLo设施中)。 我们将运行PfSense防火墙,几台主机将在局域网内提供服务,并通过端口转发到互联网。 在绑定中运行4个不同的DNS视图似乎并不值得麻烦,但是听起来好像PfSense中使用NATreflection的负载和configuration开销是相当大的。 每个方面有哪些警告,还是有其他的select?
我在CARP / XMLconfiguration集群中设置了一对pfSense防火墙/路由器。 在LAN方面,交换机也有一对运行corosync / pacemaker / drbd的服务器。 这些在不同的ipnetworking上,但仍然生成多播数据包。 对于我的生活,我不能让pfSense允许数据包。 我尝试使用简单的规则button,但失败了。 我还添加了一个规则,允许所有端口,所有地址与多播地址的目的地,并启用“allowopts”和“nostate”; 一切都无济于事。 stream量仍然由默认规则停止。 任何想法我可能做错了什么? 这是规则的一个镜头(是的,他们已经被重新加载了几次: 我也尝试过“没有状态”。 标题下的规则是Easy-Rule,它select源地址和目标地址。 src端口是*,目的端口是5405。 这里是显示拒绝的默认规则的日志: 值得注意的是,它最初显示清理规则也是阻塞的,所以我禁用了数据包碎片清理。
我们正在尝试VMWare在刀片中心所谓的“完全折叠的DMZ”。 基本上我们的DMZ直接进入vSwitch,所有的安全设备都是虚拟化的。 我花了好几天的时间来阅读为什么这是一个好主意,为什么这是一个坏主意,需要做些什么来使其安全等等,但是我一直无法find的一件事是关于最佳容错方法。 我们select的边缘防火墙是支持CARP的pfSense 。 我们在集群中有10个刀片服务器,因此在两个甚至三个pfSense防火墙的情况下启用VMWare HA并在内部使用CARP进行内部configuration,在发生刀片服务器故障时接pipe其他服务器是十分可行的。 但是,这看起来像是一个很大的pipe理开销,我是一个不信任的人,所以这意味着我将每周login到多个防火墙,以确保我们所有的规则等镜像。 但是当VMWare的FT(即使是单个vCPU短缺)将提供CARP的所有function,并为我所知道的远远超出我的工作的pipe理,压力和关注时,为什么还要打扰CARP。 TL;博士: 是否有任何令人信服的理由使用CARP over FT,反之亦然,对于基于软件的防火墙?
我一直负责构build一个防火墙/ VPN设备,它需要支持多达100个同时VPN连接以及光线路由(主要是自定义NAT映射)。 这将面向50M互联网连接,导致5台服务器共运行40台虚拟机。 大多数stream量将是虚拟机的RDP会话和相对较轻的httpstream量。 VPN会话可能会很长寿,但很less使用。 我的计划是使用pfsense + OpenVPN,除非其他人强烈build议其他发行版。 目前stream量峰值约为20Mbps,95%为10Mbps。 基本上,我正在寻找的是,我需要多大的服务器来保持多个同时开启的VPN连接,而不会影响性能。 我们现在有一台至强5504四核服务器,内存为12G,如果可能,我想使用它。
我们的数据中心有一个pfSense防火墙。 默认情况下,pfSense只存储500K的防火墙过滤日志,这对我们来说只有几个小时。 我怎样才能增加这个? pfSense使用阻塞而不是通常的BSD newsyslog。 我只需要日志来debugging防火墙规则,而不是遵从规则,而且防火墙有100GB的备用磁盘空间,所以我宁愿在防火墙本身上设置日志,而不是build立一个syslog服务器。
与业主协会的另一位成员一起,我负责为我们的公寓楼devise和设置共享的高速互联网接入。 我们有很less的预算,希望能够做到这一点,硬件已经在手边(意思不是最先进的)。 作为一个系统pipe理员,我有十多年的经验值得关注,但重点放在了服务器端。 虽然对大多数条款并不陌生,而且至less有一些设置小型networking的实际经验,但devise这样的设置绝对不在我的主要能力之内。 我对如何做到这一点有一个想法,但是我可能没有把所有的事情都考虑进去,而且第二个意见和理智检查当然是受欢迎的。 虽然这个问题是基于我的具体挑战,但我认为这些答案将形成一个基本合理的方法,在紧张的预算下build立公平,分段,多租户的互联网接入。 我希望这是可以接受的这个网站。 这最好的做法是什么? 范围 环境 现有CAT5e布线的54间公寓 公寓大约分成50/50两个补丁房间,之间有一根CAT5e电缆(以后可能会增加一个) 基于光纤的互联网连接,最初封顶在300 Mbps,将终止在一个补丁房间 没有Internet路由器的pipe理访问权限 硬件软件 所有的硬件至less5岁。 有些是我们前段时间买的,有些是给我们的,因为那个公司的生产使用(昂贵的服务,性能和所有这些)太旧了。 HP Proliant DL380 G6,双Xeon CPU,32 GB RAM,4个千兆网卡 2台Dell PowerConnect 5324千兆pipe理型交换机 2台HP ProCurve 2524pipe理型100 Mbit交换机 由于现有的知识和经验,pfSense作为网关/防火墙是首选 由于可pipe理性(快照,完整映像备份,硬件抽象),在VMWare ESXi上首选运行防火墙虚拟化,并且可以运行小型Web服务器,而无需额外的套件 要求和目标 我们必须共同能够利用我们支付的互联网带宽 我们希望将来能够支持更高的带宽 作为100 Mbps交换机,我们需要能够从HP到Dell交换机中至lessconfiguration两个上行链路 公寓之间不得进入 IP地址必须通过DHCP发送到公寓 我们也会运行一个networking服务器和邮件服务器,这个服务器必须能够从内部和外部访问 有什么明显的缺失? 粗糙的devise理念 物理networking 在每个修补室安装一个戴尔千兆交换机 通过在补丁室之间运行的单根电缆连接两台Dell交换机 使用链路聚合将两台上行链路连接到一台HP 100 Mbit交换机到每台Dell交换机 将所有服务器网卡连接到千兆位端口,保留一些额外的千兆位端口以供将来使用 将尽可能多的公寓连接到可用的千兆位端口,其余的连接到100兆位端口 局域网设置 为每个公寓创build一个VLAN […]
我们正在运行Xenserver hyper-visor,并为pfSense创build了5个虚拟机和1个虚拟机,因此所有虚拟机都位于pfSenese LAN接口上的172.16.0.0/24范围内。 pfSense有两个接口:局域网(172.16.0.100作为所有虚拟机的网关)和带故障转移IP(公共IP)的广域网。 我使用我们的Failover_IP(公共IP)注册域名,并且他们都在ping。 我们的一个域名是chineesmetal.com。 该域驻留在我们的主机OracleLinux1.Onlinenics.net的VPS OracleLinux1.Onlinenics.net 现在我尝试了pfSense,如下所示: 服务=> DNS转发器 选中Enable DNS forwarder并Register DHCP leases in DNS forwarder 服务=> DNS转发器=>高级=>地址= / coldrol.com / 172.16.0.1 服务=> DNS转发器=>主机覆盖并执行以下操作: 但是当我在浏览器中访问chineesmetal.com时没有出现以下错误: Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding Try accessing the router by IP address instead of by hostname. 我只是从pfSense中删除了BIND,并简单地将端口53(DNS)转发给相关的VPS,故障转移IP上的所有域都开始工作,但是我的问题是,这对于一个特定IP上的一个vps工作,但pfSense如何识别其他vps域在每个服务器上是相同的,例如端口80,8443,25,587,110等 在这种情况下如何configurationpfSense? 请指教