タグ付けされた質問 「pfsense」

pfsenseは、ファイアウォールとして使用するために設計された、カスタマイズされたFreeBSD + pfディストリビューションです。pfファイアウォールコードの機能の多くを使いやすいWebインターフェイスでラップします。

6
SSLでHAproxyを使用してX-Forwarded-Forヘッダーを取得し、SSLが使用されていることをPHPに伝えるにはどうすればよいですか?
次のセットアップがあります。 (internet) ---> [ pfSense Box ] /-> [ Apache / PHP server ] [running HAproxy] --+--> [ Apache / PHP server ] +--> [ Apache / PHP server ] \-> [ Apache / PHP server ] HTTPは、これが機能要求のための偉大な、要求がうまく私のApacheサーバに配布されています。SSLリクエストの場合、TCP負荷分散を使用してHAproxyでリクエストを分散しましたが、HAproxyはプロキシとして機能せず、X-Forwarded-ForHTTPヘッダーを追加せず、Apache / PHPサーバーはクライアントの実際のIPアドレス。 そのため、stunnelstunnelがX-Forwarded-ForHTTPヘッダーを追加できることを読んで、HAproxyの前に追加しました。ただし、pfSenseにインストールできるパッケージはこのヘッダーを追加しません...また、これはKeepAliveリクエストを使用する機能を強制的に無効にします。しかし、そのアイデアを殺した最大の問題は、stunnelがHTTPSリクエストをプレーンなHTTPリクエストに変換したため、PHPがSSLが有効になっていることを知らず、SSLサイトにリダイレクトしようとしたことです。 HAproxyを使用して複数のSSLサーバー間で負荷を分散し、それらのサーバーがクライアントのIPアドレスと SSLが使用されていることを知るにはどうすればよいですか?そして、可能であれば、pfSenseサーバーでどうすればよいですか? または、これをすべて削除してnginxを使用する必要がありますか?

1
SIPトラフィックがスイッチに入るが出てこないのはどうしてですか?
バックグラウンド SIP電話機を新しいルーターの後ろに登録して、新しいオフィスに切り替えるのに苦労しています。PBXはオフサイトでホストされています。私はプロバイダーと協力して、いくつかの異なるアプローチを試みました。通常のNATを試して、NAT対応セッションボーダーコントローラーに接続しました。siproxd(pfSenseパッケージ)を使用して、SIP登録要求をインターセプトし、電話に代わって登録しようとしました。最後に、ローカルネットワーク上のsiproxdデーモンに登録するように電話を手動で構成しようとしました。 テストを通して、電話機が次のすべてを正常に実行することを確認しました。 ホストされたFTPサーバーにIPアドレスで連絡する 上記のサーバーから構成をダウンロードします DNSクエリを実行して、NTPサーバーのIPアドレスを解決します NTPサーバーを照会して時間を設定します DNSクエリを実行して、SIPサーバーのIPアドレスを解決します 症状 電話機がすべての事前登録タスクを正常に完了した後、登録試行がpfSenseボックスまたはプロバイダーのPBXにヒットすることはありません。私の側ではsiproxdで最高レベルのデバッグを有効にしましたが、TCP接続またはUDPパケットが見られませんでした。ただし、ワークステーションからポート5060への単純なtelnetは、予想されるログメッセージを生成します。pfSenseボックスでパケットキャプチャを実行すると、SIPトラフィックの試行はまったくありませんでした。 一体何? 私を徹底的に困惑させ、この質問をするようになった私の最後のトラブルシューティング手順は次のとおりでした。まず、電話機が接続されているスイッチポートをワークステーションのスイッチポートにミラ​​ーリングしました。インターフェイス上のすべてのトラフィックのパケットキャプチャを実行しました。驚いたことに、私は電話からSIP登録パケットが来るのを見ました。以下に例を示します。 明らかに、電話機はPBXに登録しようとしています(これらも正しいIPアドレスです)。 次のステップは、pfSenseルーターのLAN側に接続するスイッチポートをミラーリングすることでした。スイッチから出てくる172.200.22.102電話からのFTP、NTP、およびDNSトラフィックはすべて見ましたが、SIPパケットのトレースは見ませんでした。これは完全に私を困惑させます!スイッチ内でSIPトラフィックのみが消失する原因は何ですか? 環境 ハードウェア ルーター/ファイアウォール:Netgate m1n1wall 2D2 スイッチ:HP 1810G-24 電話:Polycom SoundPoint IP 501 ソフトウェア:pfSense 2.0-RC3 スイッチ構成 IPアドレス172.22.200.102の電話はこのスイッチのポート4にあり、ルーターLANリンクはポート22にあります。 必要になる可能性があるその他の設定を共有できます。
15 pfsense  sip  switch 

1
Linux / FreeBSDで1つのWifiアダプターを使用して複数のAPに接続しますか?
単一のワイヤレスアダプターを使用して複数のWifiアクセスポイントに同時に接続するにはどうすればよいですか? 現在、pfSenseをホームルーターとして使用していますが、複数のAPにワイヤレスで接続したいです。可能かどうか知っていますか? 別の方法として、Ubuntuでどのように行うことができますか?光を当ててください:) 興味深いメモ: pfSenseは、多くのルーターディストリビューションと同様に、単一のワイヤレスアダプターを複数のAPとして使用することをサポートしていますが、それらが複数のクライアントとして機能できるかどうかは明確ではありません Windows 7の「仮想Wifiアダプター」は明らかにそれを行うことができます 有線ネットワークの場合、インターフェイスエイリアス(eth0:1など)を簡単に作成し、ifconfigで複数のIPを取得できます。これは助けになりますか?

3
ルーターを仮想化することは危険ですか?
私はpfSenseについてのいくつかのフォーラムで、pfSenseを仮想化することは危険だと言っていました。述べられた理由は、攻撃者がpfsenseをハイパーバイザーへの攻撃の踏み台として使用し、それを使用して他の仮想マシンにアクセスし、最終的にすべてをオフラインにする可能性があるためです。 私には夢中に聞こえますが、そのアイデアには現実が刻まれていますか?仮想サーバーでルーターを実行するのは悪い考えですか?

6
モノウォールvs pfsense
Mini-ITX pc +コンパクトフラッシュカードのセットアップからルーターを構築しています。適切なディストリビューションを選択しようとしています。私の基準は次のとおりです。 CFカードから実行できる必要があります(したがって、過度のディスク書き込みはありません) 私は主に、トラフィックシェーピングを目的とした高出力ルーターを持っていることに興味があります。 とはいえ、これを使用してルーティング/ネットワークがどのように機能するかについても学ぶことに興味があります(私の当初の計画は、LFSのような基本的なベアボーンディストリビューションを使用し、ルーティングソフトウェアを自分の上に置くことでした)私から内部の仕組みを隠すディストリビューション 私もSSHが欲しいです MonowallとpfSense(pfSenseはMonowallの分岐点)の2つに絞り込んだと思います Monowallにはフラッシュカードをターゲットとするという利点がありますが、pfSenseにはもっと興味のあるトラフィックシェーピングやその他の機能があります。 私はまた、それらが表紙で異なるメカニズムを使用していることを理解していますが、情報に基づいた決定を下すための違いについて私がそれを理解しているとは言えません。 誰かがそれらのいずれか(または私がまだ検討していない別の選択肢)についてアドバイス/情報を持っていますか
11 router  pfsense 

1
FreeNASとpfSenseがSNMPを使用してより多く報告するようにするにはどうすればよいですか?
FreeBSDのバリアントを実行する2つのサーバーがあります。1つはpfSenseルーターで、もう1つはFreeNAS 8サーバーです。これらのサーバーは両方ともSNMPを実行しており、3番目のCactiサーバーを使用して情報を収集してグラフ化しています。 pfSenseサーバーとFreeNASサーバーの両方からのSNMPデータには、メモリ使用量、CPU使用量、負荷平均は含まれません。 pfSenseサーバーのトラフィックグラフは正常に見えます。FreeNASサーバーからのディスク使用レポートは美しく見えます。メモリ使用量、CPU使用量、負荷平均のデータを取得できません。pfSenseとfreeNASのWeb管理者はグラフを表示できるため、これらのサーバーの両方がこのデータを提供できるはずです。ただし、管理を容易にするために、すべてのグラフをCactiに含めることをお勧めします。 pfSenseサーバーに、メモリ使用量、CPU使用量、およびロード平均データをSNMP経由で提供させるにはどうすればよいですか?FreeNASサーバーにメモリ使用量、CPU使用量、およびロード平均データをSNMP経由で提供するにはどうすればよいですか?同じ手順が両方のサーバーで機能すると思います。


2
Hyper-Vホスト接続に影響を与える仮想化pfSense 2.0.1?arp?
セットアップ Hyper-VのホストとしてpfSense 2.0.1(64ビットAMDイメージ)をセットアップしました。他のブログで説明されているように、ネットワークを稼働させるには、「ifconfig down deX」、「ifconfig up deX」を実行する必要がありました。 サーバー(Windows 2008 R2を実行するHP)には2つの物理NICが搭載されています。 最初の物理NIC(ポート1)はホストで構成されていません(Hyper-Vスイッチとしてのみ、下を参照)。 2番目の物理NIC(ポート2)は、リモート管理用のネットワーク(標準Cクラスネットワーク)で構成されています。両方のNICが同じスイッチとVLAN = defaultに接続されていると思います(物理的な配線はコロケーションプロバイダーによって行われました)。 Hyper-Vでは、次の仮想ネットワークが定義されています。 internal:VM間の通信に使用される仮想マシンの内部ネットワーク(Windowsサーバーを接続する「LAN」)。 インターネット:pfSenseのWAN接続として使用される仮想ネットワーク。このネットワークは、サーバーの最初の物理NIC(ポート1)に割り当てられます。仮想ネットワークはHyper-V専用であり、ホストと共有されません。 私のセットアップでは、同じHyper-Vホストで実行されているいくつかの仮想マシン(Windowsサーバー)のインターネットに面するファイアウォールとしてpfSenseを使用しています。 WindowsボックスはデフォルトゲートウェイとしてpfSenseを使用しており、pfSenseファイアウォールを介してすべてのVMにWindows更新を正常にダウンロードしました。 着信サービスをリダイレクトするために、pfSenseは、ISPのIPアドレスをWindowsボックスの内部172.16.0.0/16アドレスにマップするように1-1 NATでセットアップされています。 問題 私が抱えていた問題は、管理ネットワーク(ポート2)を介したRDP接続を正常に処理した後、接続が停止し、サーバーとVMへのすべてのネットワーク接続が失われることです。問題が発生する前に、2つの構成変更を行いました。 管理IPアドレスをポート1からポート2に移動しました。この変更は、1時間後に新しいインターフェイス(上記のポート2)でRDPを再接続することで確認されました。 pfSenseの仮想IPの一部の構成(1-1 NATに必要)。 数分後、マシンへの接続が失われました。 私を困惑させるのは、Hyper-Vと統合されていないため、管理ネットワーク接続(ポート2)はHyper-Vによって変更されないことになっているということです。ただし、pfSenseからのエラー伝搬があるようです(ポート1でNICを使用)。 今日の初めに、NICを1つだけ使用するときに同様の問題がありました(Hyper-V / pfSenseとホスト間で共有されるポート1)。そのとき得られた問題は、pfSenseが停止したときにホストにpingを実行でき、ホストが再度開始されたときにpingが機能しなくなったことです(IPの競合がないことがわかっています)。 pfSenseはISOからインストールされ、「MACアドレススプーフィング」はデフォルト=オフです。 2つの物理ポート間で伝搬するシームの問題から、これはARPが正しく機能していないことに関係している可能性があると推測しています。 洞察はこれについて非常に高く評価されています。 / J

2
Hyper-Vでの仮想化ファイアウォール?
現在、コンテンツフィルター、キャプティブポータル、および一般的なファイアウォールとして機能するように、Hyper-V R2ベースのサーバーにpfSenseのインスタンスをインストールすることを検討しています。 ファイアウォール/ゲートウェイを仮想化することは通常悪い習慣ですが、時々あなたが持っているもので作業しなければならないことがあります!:) 2つの物理NICがあります。1つはインターネット(WAN)に面し、もう1つは内部LANに面しています。 すべてのインターネットアクセスがpfSense VMを通過することを確認するにはどうすればよいでしょうか。 pfSense VMをバイパスしてLAN NICにトラフィックが入る可能性を排除する構成はありますか? ばかげた質問なら申し訳ありませんが、私は毎日開発者です:D

2
パブリックIPアドレスをpfSenseに渡す
複数のパブリックルーティングされたIPアドレスを持つデータセンターにサーバーがあり、それを管理するためにESXiを実行しています。 以前は、ネットワークを作成するホストの下でいくつかのVMを実行していました。 inet [x.x.x.210] -- Host OS |-- .211 -- VM 1 \-- .212 -- VM 2 ここで、pfSenseとVMwareで次のことを実行したいと思います。 inet lan [x.x.x.210] -- (NAT) -- [192.168.1.1] |-- .211 -- VM1 |-- .2 -- VM3 \-- .212 -- VM2 \-- .3 -- VM4 VM3とVM4がpfSenseによってNAT処理されたプライベートIPを取得している場所、およびVM1とVM2が同じアダプターで引き続き通過している場所で、独自のパブリックIPを取得している場所。 これを行う方法を理解するためにpfSenseのインターフェイスをナビゲートするのに問題があります。できれば、パブリックIPをDHCP経由で引き渡したいので、pfSenseでサポートされたらIPv6トンネルを追加できます。また、ファイアウォールとしてpfSenseを使用できることも最善です(そうでない場合は、一種の目的に反します)。

4
Intel 82574LギガビットLAN NICと互換性のあるGUIを備えたOpenBSD / FreeBSDファイアウォール
最近m0n0wallまたはpfSenseを実行するサーバーを購入しましたが、それ以来、これらのファイアウォール製品は両方とも、新しいサーバーのNICと互換性のないバージョンのFreeBSDに基づいていることがわかりました。 購入したSuperMicroサーバーには、Intel 82574LギガビットLAN NICが2つ搭載されており、GUIを使用してファイアウォールの管理を容易にする何らかのファイアウォールをインストールする方法を探しています。 単純にpfを使用できることはわかっていますが、GUIフロントエンドが必要なので、どのようなオプションがありますか?このサーバーを返却して、互換性のある古いハードウェアを販売しているベンダーを探す必要がありますか、それともこのハードウェアを何らかの方法で機能させることができますか?

1
Pfsenseのハリケーン電気トンネル?
サーバーにv6アドレスを設定できるように、PFsenseを経由するようにHEネットトンネルを設定するにはどうすればよいですか?私はすでに彼らの側でトンネルのセットアップをしていますが、PFsenseの指示はありません。

4
帯域幅が限られた小規模ホテル向けのワイヤレスAAA
私たち(私と一緒に仕事をしている技術)は、インターネットアクセスが多少贅沢であり、帯域幅が非常に限られている遠隔の北部の町に住んでいます。ここでは、月に数百ドルから数千ドルの範囲の超過料金は珍しくありません。私自身、自宅での通常のインターネット使用だけで月額料金が発生します(60Gドルで10Gが許可されています!) 私の仕事の一部として、私はこれを感じているいくつかのホテルに関わることに気づきました。私はこの問題を解決するために何かを考え出すことができることを知っていますが、私はシステム管理に比較的慣れていないので、私の夢が現実を乗り越えてほしくありません。 ですから、私はこれらのアイデアを、私よりもはるかに多くの経験を積んでいる皆さんに伝えます。皆さんの考えや懸念を共有していただければ幸いです。 このシステムは費用対効果が高いはずです。そうです、料金はここで高くなりますが、技術への信頼は私が今まで見た中で最も低いものです。 クライアントが使用量を削減できるようにする必要がある(イカ) これは多くの場合フランチャイズポリシーであるため、限られた(スループットと合計使用量)の無料インターネットを許可します。 ユーザーが帯域幅の使用状況を追跡できるようにする 追加料金で(オプションの)高速化および/または使用を許可します。この料金はチェックアウト時にフロントデスクで取得でき、PayPalやクレジットカードの使用は必要ありません。 残念ながら、一部のフランチャイズにはばかげたポリシーがあり、 ネットワークへのゲストを認証するためにサードパーティのリモートサービスを使用する必要があります。これは、WPAが停止していることを意味し、インターネット使用の前に認証を行わないことも意味します。ただし、ホテルにこのポリシーがない場合は、インターネットアクセスの認証を実行する必要があります。帯域幅(デフォルトではゲストアカウントの下)を追跡し、同じ制限を提供する必要がありますが、ゲストはスループットではなく、存在という観点から、完全な「無制限」アクセスを必要とすることがよくあります。 何もないホテル、オフィス、およびゲストネットワークの分離を備えたホテルにファイアウォール機能を提供します(これらの何人かは、暗号化せずに、簡単なTOSを利用して、ゲストネットワークでオフィスを運営しています!) ゲストが他のゲストに接続できないようにしますが、これを可能にする手段を提供します。IE。各ゲストはページに接続し、他のゲストを許可します。これにより、iptablesルール(python-netfilterを使用)が書き込まれ、2つの部屋でゲームをプレイできます。 これを実装する方法についての私の考え。多くのRAMと3つのNICを備えた適切なボックス(ここではルーターと呼びます): インターネット オフィス ゲスト(AP + In Room Ethernet) ルーターのファイアウォールルール ゲストはルーターとのみ会話でき、インターネットサービスを含め、必要な場所にルーティングされます。 既存のソリューションが導入されていない場合、Officeを使用してOfficeをインターネットにブリッジできます。それ以外の場合は、ネットワークアクセス可能なWeb(webmin + python-webmin?)インターフェイスで機能します。 ルーターソフトウェア: OpenVZは、私が本当に信頼していないいくつかのサービスに仮想化を提供します。Squid、FreeRADIUS、Apache。ゲストが直接アクセスできる唯一のサービスはApacheです。 Apacheはmod_wsgiとdjangoを持っています。なぜなら、私はdjangoを使って素早く書くことができ、私のニーズは低いからです。FreeRADIUS modも含まれている可能性がありますが、これにはいくつかの注意点があるようです。 ファイアウォールルールはiptablesを使用してルーターで処理されます。 Webmin(または多分カスタムdjangoアプリ)は、スタッフがアクセスする必要のある機能を抽象化して制御します。 Python、あなたが推測していないなら、それが私が最も快適だと思う言語であり、私はほとんどすべてにそれを使用しています。 そして最後に、これは行われましたか、それは一人の男にとっては取るに値しない過度に大規模なプロジェクトですか? ちなみに、私はPythonにはかなり慣れていますが、他の多くの言語にはあまり詳しくありません(PHPに苦労することもありますが、表面的な問題です)。私は熱心なLinuxユーザーでもあり、設定ファイルとコマンドラインに慣れています。 お時間を割いていただき、ありがとうございます。 編集:これが一部の人が期待していた意味でのQ&Aでない場合は、申し訳ありません。アイデアを探しているだけで、行われたことを行わないようにしています。私は今、pfSenseを、私が必要とするものの可能性のあるスタートとして見ています。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.