Questions tagged «pfsense»

pfsense是定制的FreeBSD + pf发行版,旨在用作防火墙。它在易于使用的Web界面中包装了pf防火墙代码的许多功能。

6
如何将HAproxy与SSL结合使用并获取X-Forwarded-For标头,并告诉PHP正在使用SSL?
我有以下设置: (internet) ---> [ pfSense Box ] /-> [ Apache / PHP server ] [running HAproxy] --+--> [ Apache / PHP server ] +--> [ Apache / PHP server ] \-> [ Apache / PHP server ] 对于HTTP请求,这很好用,请求可以很好地分配到我的Apache服务器。对于SSL请求,我让HAproxy使用TCP负载平衡来分发请求,但是它起作用了,因为HAproxy不充当代理,它没有添加X-Forwarded-ForHTTP头,并且Apache / PHP服务器也不知道客户端的真实IP地址。 因此,我stunnel在HAproxy前面添加了内容,阅读了tunnel可以添加X-Forwarded-ForHTTP标头的信息。但是,我可以安装到pfSense中的软件包不会添加此标头...而且,这显然使我无法使用KeepAlive请求,而我确实希望保留该请求。但是,使该想法无效的最大问题是隧道将HTTPS请求转换为纯HTTP请求,因此PHP不知道启用了SSL并试图将其重定向到SSL站点。 如何使用HAproxy在多个SSL服务器上实现负载平衡,从而使这些服务器既知道客户端的IP地址又知道正在使用SSL?如果可能的话,如何在pfSense服务器上做到这一点? 还是应该放弃所有这些,而仅使用nginx?

1
什么会导致看到SIP流量进入交换机却没有流出?
背景 我一直在努力让我的SIP电话在崭新的路由器后面注册并在崭新的办公室中切换。我们的PBX在异地托管。我已经与我们的提供者一起尝试了几种不同的方法。我们已经尝试将常规NAT连接到他们的支持NAT的会话边界控制器。我们尝试使用siproxd(pfSense软件包)来拦截SIP注册请求并代表电话注册。最后,我们尝试手动配置电话以在我的本地网络上的siproxd守护程序中注册。 在整个测试过程中,我们已经看到手机成功完成了以下所有任务: 通过IP地址联系托管的FTP服务器 从上述服务器下载配置 执行DNS查询以解析NTP服务器的IP地址 查询NTP服务器设置时间 执行DNS查询以解析SIP服务器的IP地址 病征 电话成功完成所有预注册任务后,我们再也看不到注册尝试会打到pfSense框或提供商的PBX。我已经在siproxd中启用了最高级别的调试,并且没有看到任何TCP连接或UDP数据包。但是,从工作站到端口5060的简单telnet将生成预期的日志消息。在pfSense盒上执行数据包捕获显示绝对没有SIP流量尝试。 有没有搞错? 我最后的疑难解答步骤使我很困惑,并让我提出以下问题。我首先将电话插入的交换机端口镜像到我的工作站交换机端口。我执行了接口上所有流量的数据包捕获。令我惊讶的是,我看到了来自电话的SIP注册数据包。这是一个例子: 显然,电话正在尝试向PBX注册(这些也是正确的IP地址)。 我的下一步是镜像馈送到pfSense路由器LAN端的交换机端口。我看到来自172.200.22.102电话的所有FTP,NTP和DNS通信都从交换机中流出,但没有发现SIP数据包的踪迹。这完全让我感到困惑!是什么导致仅 SIP流量在交换机内消失? 环境 硬件 路由器/防火墙:Netgate m1n1wall 2D2 开关:HP 1810G-24 电话:Polycom SoundPoint IP 501 软体:pfSense 2.0-RC3 开关配置 IP地址为172.22.200.102的电话在此交换机的端口4中,路由器LAN链接在端口22中。 我可以共享可能需要的其他任何设置。
15 pfsense  sip  switch 

1
在Linux / FreeBSD下使用一个Wifi适配器连接到多个AP?
如何使用单个无线适配器同时连接到多个Wifi接入点? 我目前正在使用pfSense作为我的家庭路由器,并且希望它无线连接到多个AP。你知道有没有可能 另外,我们如何在Ubuntu下做到这一点?请给我一些启示:) 有趣的注意事项: pfSense以及许多路由器发行版均支持将单个无线适配器用作多个AP,但是(对我而言)尚不清楚它们是否可以充当多个客户端 Windows 7中的“虚拟Wifi适配器”显然可以做到这一点 对于有线网络,可以轻松地创建接口别名(例如eth0:1)并使用ifconfig获得多个IP。这有什么帮助吗?

3
虚拟化路由器有危险吗?
我在一些有关pfSense的论坛上读过,说虚拟化pfSense很危险。所说的原因是攻击者可以使用pfsense作为对虚拟机管理程序进行攻击的跳板,然后使用它来访问其他虚拟机,并最终使所有内容脱机。 对我来说这听起来很疯狂,但是这个想法有没有切入现实?在虚拟服务器中运行路由器不是一个好主意吗?

6
单壁vs pfsense
我正在使用Mini-ITX PC +紧凑型闪存卡设置构建路由器,并且正在尝试选择合适的发行版。我的标准是: 必须能够从CF卡运行(因此不会过多写入磁盘) 我最感兴趣的是拥有高功率路由器以进行流量整形 就是说,我也有兴趣使用它来学习有关路由/网络工作原理的更多信息(我最初的计划是使用像LFS这样的基本准系统发行版,然后将路由软件放在自己的首位),所以我不会一个隐藏了我内心运作的发行版 我也想要SSH 我认为我已将其缩小到两个-Monowall和pfSense(pfSense是Monowall的分支) Monowall具有针对闪存卡的优势,而pfSense具有更多的流量整形和我感兴趣的其他功能。 我也了解到他们在封面之下使用了不同的机制,但是我不能说我对所做的差异能够做出明智的决定非常了解。 是否有人对其中任何一个有任何建议/信息(或我尚未考虑的另一种选择)
11 router  pfsense 

1
我如何使FreeNAS和pfSense使用SNMP报告更多信息?
我有两台运行FreeBSD变体的服务器:一台是pfSense路由器,一台是FreeNAS 8服务器。这两个服务器都运行SNMP,并且我正在使用第三台Cacti服务器收集和绘制其信息。 来自pfSense服务器和FreeNAS服务器的SNMP数据不包括内存使用情况,CPU使用情况或平均负载。 pfSense服务器的流量图看起来不错。FreeNAS服务器的磁盘使用情况报告看起来很漂亮。我只是没有获得有关内存使用率,CPU使用率或平均负载的任何数据。我知道这两个服务器都应该能够提供此数据,因为在pfSense和freeNAS网络管理员中,我可以查看图表。但是我更希望Cacti中具有所有图形,以便于管理。 如何获取pfSense服务器以通过SNMP提供内存使用率,CPU使用率和平均负载数据?如何获得我的FreeNAS服务器以通过SNMP提供内存使用率,CPU使用率和平均负载数据?我假设相同的过程将适用于两台服务器。


2
虚拟化的pfSense 2.0.1是否会影响Hyper-V主机连接?阿普?
设置 我在Hyper-V中将pfSense 2.0.1(64bit-amd映像)设置为主机。如其他博客所述,我必须执行“ ifconfig down deX”,“ ifconfig up deX”来使网络正常运行。 该服务器(运行Windows 2008 R2的HP)配备了两个物理NIC。 主机中未配置第一个物理NIC(端口1)(仅作为Hyper-V交换机,请参阅下文)。 第二个物理NIC(端口2)配置有用于远程管理的网络(标准C类网络)。我认为两个NIC都连接到同一交换机,并且VLAN = default(物理布线是由我的托管服务提供商完成的)。 在Hyper-V中,定义了以下虚拟网络: internal:虚拟机内部网络,用于VM之间的通信(连接Windows服务器的“ LAN”)。 Internet:虚拟网络用作pfSense的WAN连接。该网络已分配给服务器的第一个物理NIC(端口1)。虚拟网络专用于Hyper-V,并且不与主机共享。 在我的设置中,我将pfSense用作面向Internet的两个虚拟机(Windows服务器)的防火墙,这些虚拟机也运行在同一Hyper-V主机上。 Windows盒使用pfSense作为默认网关,并且我已通过pfSense防火墙成功将Windows更新下载到所有虚拟机–运行流畅。 为了重定向进入的服务,pfSense设置了1-1 NAT,以将ISP的IP地址映射到Windows框上的内部172.16.0.0/16地址。 问题 我遇到的问题是,在管理网络(端口2)上成功使用RDP连接后,该连接将终止,并且所有网络连接都将丢失到服务器和VM。在问题发生之前,我做了两次配置更改。 将管理IP地址从端口1移动到端口2。此更改已通过在一个小时后在新接口(如上所述的端口2)上重新连接RDP来成功验证。 在pfSense中的虚拟IP上进行了一些配置(1-1 NAT所需)。 几分钟后,与机器的连接断开。 令我感到困惑的是,Hyper-V应该不会管理网络连接(端口2),因为它没有与Hyper-V集成。但是,似乎从pfSense传播了错误(在端口1上使用NIC)。 今天早些时候,当仅使用一个NIC(Hyper-V / pfSense与主机之间共享的端口1)时,我们也遇到了类似的问题。然后我们遇到的问题是,当pfSense停止时,我们可以对主机执行ping操作,而当再次启动时,ping会停止工作(我们所知道的没有IP冲突)。 pfSense是从ISO安装的,“ MAC地址欺骗”默认为= off。 由于问题接缝在两个物理端口之间传播,因此我猜测这可能与ARP无法正常工作有关。 任何对此的见解评论都非常感谢。 / J

2
Hyper-V下的虚拟防火墙?
我们目前正在考虑在基于Hyper-V R2的服务器上安装pfSense实例,以充当内容过滤器,强制门户和通用防火墙。 尽管虚拟化防火墙/网关通常是不好的做法。.有时您必须使用已有的东西!:) 我们有2个物理NIC。1个面向Internet(WAN),另1个面向内部LAN。 如何确保所有互联网访问都通过pfSense VM? 是否有配置消除了pfSense VM绕过LAN NIC的流量的可能性? 抱歉,如果这是一个愚蠢的问题,我今天是开发人员:D

2
通过公共IP地址传递给pfSense
我的数据中心中有一台服务器,该服务器具有多个公共路由的IP地址,现在正在运行ESXi进行管理。 以前,我在创建网络的主机下运行了一些VM: inet [x.x.x.210] -- Host OS |-- .211 -- VM 1 \-- .212 -- VM 2 现在,我想在pfSense和VMware下执行以下操作: inet lan [x.x.x.210] -- (NAT) -- [192.168.1.1] |-- .211 -- VM1 |-- .2 -- VM3 \-- .212 -- VM2 \-- .3 -- VM4 其中VM3和VM4正在获得pfSense NAT转换的专用IP,而VM1和VM2仍在同一适配器上通过,但是现在获得了自己的公共IP。 我在导航pfSense的界面以找出应该如何完成时遇到了麻烦。优先地,我希望仍通过DHCP分发公共IP,以便一旦pfSense支持它就可以添加IPv6隧道。另外,仍然能够将pfSense用作防火墙也是最好的(否则会破坏目的)

4
具有与Intel 82574L千兆位LAN NIC兼容的GUI的OpenBSD / FreeBSD防火墙
我最近购买了一台运行m0n0wall或pfSense的服务器,但是从那以后我才知道这两种防火墙产品都基于FreeBSD的版本,而这些版本尚未与新服务器中的NIC兼容。 我购买的SuperMicro服务器具有双Intel 82574L千兆位LAN NIC,我想找到一种在其上安装某种防火墙的方法,这将通过使用GUI简化防火墙管理。 我知道我可以简单地使用pf,但是既然我们想要一个GUI前端,那么我们有什么选择?我是否需要退回该服务器并找到销售兼容旧硬件的供应商,还是可以使该硬件正常工作?


4
无线AAA,适用于带宽有限的小型酒店
我们(我和我本人一起工作的技术)生活在偏远的北部城镇,那里的互联网访问有些奢侈,带宽非常有限。在这里,超额收费从每月几百美元到几千美元不等。我本人仅通过自己在家中的常规互联网使用就承担每月的定期费用(允许10G的价格为60CAD!) 作为我工作的一部分,我发现自己参与了几家对此感到满意的酒店。我知道我可以提出一些解决该问题的方法,但是我对系统管理还比较陌生,我不希望自己的梦想克服现实。 因此,我将这些想法传递给您,他们的经验比我多得多,希望您能分享一些想法和疑虑。 该系统必须具有成本效益,是的,这里的收费很高,但是对技术的信任是我见过的最低的。 必须能够帮助客户减少使用量(鱿鱼) 允许有限数量(吞吐量和总使用量)的免费Internet,因为这通常是特许经营政策。 允许用户跟踪其带宽使用情况 允许(可选)更高的速度和/或使用,需要额外付费。可以在结帐时在前台获得这笔费用,并且不需要使用PayPal或信用卡。 不幸的是,某些特许经营具有荒谬的政策,要求使用 第三方远程服务来验证网络中的访客身份。这意味着WPA已用完,也意味着我在使用Internet之前不进行身份验证,这将是他们的工作。但是,如果酒店没有此政策,我确实要求ABILITY对Internet访问执行身份验证。我仍将必须跟踪带宽(默认情况下使用来宾帐户),并提供相同的限制,但是就来宾而言,来宾通常需要完整的“无限”访问权限,而不是吞吐量。 为没有隔离,没有办公室和访客网络隔离的酒店提供防火墙功能(其中一些人在访客网络上运行他们的办公室,没有加密,只有一个简单的TOS即可使用!) 阻止来宾与其他来宾建立连接,但是要提供一种方法来允许这种情况发生。IE浏览器 每个来宾都连接到一个页面并允许另一个来宾,例如,这写了一个iptables规则(使用python-netfilter),并允许两个房间玩游戏。 我对如何实现这一点的想法。一个体面的盒子(我们现在称其为路由器),带有很多ram和3个NIC: 互联网 办公室 来宾(AP +室内以太网) 路由器防火墙规则 访客只能与路由器通信,通过路由器将其路由到需要去的地方,包括Internet服务。 如果没有现有的解决方案,则可以使用Office将Office桥接到Internet,否则,它仅适用于可通过网络访问的Web(webmin + python-webmin?)界面。 路由器软件: OpenVZ为我不真正信任的一些服务提供虚拟化。Squid,FreeRADIUS和Apache。访客可以直接访问的唯一服务是Apache。 Apache具有mod_wsgi和django,因为我可以使用django快速编写并且我的需求很低。它也可能具有FreeRADIUS mod,但是对此似乎有些警告。 防火墙规则是使用iptables在路由器上处理的。 Webmin(或定制的django应用)可以对员工可能需要访问的任何功能提供抽象控制。 Python,如果您还没有猜到它是我最喜欢的语言,那么我几乎会用它。 最后,这是否完成了,这是一个过于庞大的项目,不值得一个人承担吗,和/或是否缺少一些我可以让自己的生活更轻松的工具? 作为记录,我对Python相当满意,但是对许多其他语言不是很熟悉(我可以通过PHP苦苦挣扎,这是一个表面问题)。我也是Linux的狂热用户,对配置文件和命令行很满意。 感谢您的宝贵时间,我期待着您的回复。 编辑:我很抱歉,如果这不是某些人所期望的问答,那么我只是在寻找想法,并确保我不尝试做已完成的事情。我现在正在寻找pfSense作为我所需的可能起点。

4
2个网关之间的故障转移路由
我在机柜中有2个路由器,并且想为我们的服务器在这两者之间设置故障转移,就像BGP,但不是BGP :)。我需要设置系统以实现网关1处于(关闭)或受到攻击并通过网关2路由。如何做到最好?如果您需要知道的话,我们将使用Vyatta或PFsense作为我们的边缘路由器。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.