我们在每个位置都有一个 OpenBSD 路由器,目前在 4U 服务器机箱中的通用“自制”PC 硬件上运行。由于可靠性问题和空间考虑,我们正在考虑将它们升级到一些适当的服务器级硬件,并提供支持等。
这些盒子用作每个站点的路由器、网关和防火墙。在这一点上,我们非常熟悉 OpenBSD 和 Pf,因此对于从系统转移到其他东西(例如专用 Cisco 硬件)犹豫不决。
我目前正在考虑将系统移至某些 HP DL 系列 1U 机器(型号尚未确定)。我很想知道其他人是否在他们的业务中使用这样的设置,或者已经迁移到或离开了。
编辑:将其重新格式化为问答。如果有人可以将其从社区 Wiki 更改为典型问题,那也可能更合适。
如何针对 Active Directory 验证 OpenBSD?
在OpenBSD 5.2,Tomcat的7.0.29默认安装的似乎是记录所有的错误到两个catalina.out及catalina.YYYY-MM-DD.log。
Cns# ll /var/tomcat/logs/catalina.*
-rw-r--r-- 1 _tomcat _tomcat 3067 Jan 16 20:47 /var/tomcat/logs/catalina.2013-01-16.log
-rw-r--r-- 1 _tomcat _tomcat 1313285 Jan 17 21:47 /var/tomcat/logs/catalina.2013-01-17.log
-rw-r--r-- 1 _tomcat _tomcat 19668 Jan 18 17:33 /var/tomcat/logs/catalina.2013-01-18.log
-rw-r--r-- 1 _tomcat _tomcat 2479 Jan 23 15:25 /var/tomcat/logs/catalina.2013-01-23.log
-rw-r--r-- 1 _tomcat _tomcat 1580 Jan 26 22:58 /var/tomcat/logs/catalina.2013-01-26.log
-rw-r--r-- 1 _tomcat _tomcat 48165 Jan 27 19:30 /var/tomcat/logs/catalina.2013-01-27.log
-rw-r--r-- 1 _tomcat _tomcat 34526 Jan 28 16:41 /var/tomcat/logs/catalina.2013-01-28.log
-rw-r--r-- 1 _tomcat _tomcat 141985 Jan 29 23:56 …我已经使用 FreeBSD 大约 5 年了——服务器/桌面——我倾向于带着我的 apt-get/yum 升级一切习惯(我也管理 Debian/RHEL/Cent 盒子——我知道,我知道......无论平台如何,都应该更加挑剔)。所以它通常是:
portsnap fetch
portsnap update
portmanager -u
对于端口
有时后跟一个:
freebsd-update fetch
freebsd-update install
对于系统...等。然后在之后清理任何混乱......如果它们发生。
我意识到,这是一种相当过度的非 BSD 做事方式。您对 BSD 盒子的理念是什么?您是否运行 portaudit/portversion -- 检查输出然后在仔细考虑后更新(make deinstall ...等)?
我对 OpenBSD 还很陌生,我承认。我看到自己 cvsupping 端口树,运行“过时”脚本,然后只是升级关键端口——但不理会内核/二进制文件,每六个月升级一次。您是否修补/重新编译/重建内核、二进制文件 --- 为什么?
对于 BSD 机器上的关键服务(相当关键——这不是没有银行或医院),什么是保守的方法?您是否在 Linux 机器上使用类似的方法?我通常不会接触任何服务器上的内核,除非安全警报让我感到恐惧。
是的,有大量的文档和书籍——你们这些人实际上是做什么的?假设我们知道基础知识——智慧是什么?用例/环境和场景各不相同,利益相关者/利益相关者/用户也是如此。书籍和手册页涵盖了工具和用途,但缺乏实际应用。如果您知道涵盖它的书,请推荐一本书!
谢谢阅读!
布诺夫
结论~ 感谢所有花时间回答这篇文章的人。我现在的总体策略是遵循两个 BSD 的邮件列表,并且比过去更有选择性/更敏锐地进行更新。
FreeBSD ~ Portaudit 是一个很好的答案。有了邮件列表和勤奋的审计,我认为这将在这里很好地发挥作用。有趣的是,OpenBSD 和 FreeBSD 之间对端口的重视程度不同。
OpenBSD ~ 将遵循邮件列表并在认为关键的地方使用软件包工具( pkg_info 和 pkg_add -u )。升级:看起来您每年至少需要升级一次。他们支持最新版本加一个版本——所以现在是 4.8 和 4.7。
再次感谢。
我有多个 VPN 连接使用相同的网关 IP(我无法更改它,因为它不受我的控制)。这些 VPN 都提供对不同网络的访问,并且网络至少在上游一两跳,因此在所有情况下都需要网关 IP。使用 Linux,要路由到网络,我可以简单地执行以下操作:
ip route add $destination_1 via $gateway_ip dev $interface_1
ip route add $destination_2 via $gateway_ip dev $interface_2
ip route add $destination_3 via $gateway_ip dev $interface_3
等等。
然后 Linux 会将每个目标网络的流量放置到正确的接口上,前往正确的网关,因此每个接口的网关 IP 是否相同都没有关系。
我的问题是,如何在 OpenBSD 中实现这一目标?我尝试过但失败了。我的发现是,对于特定目的地,我可以:
但我不知道如何指定两者。
我最近购买了一台服务器来运行 m0n0wall 或 pfSense,但从那时起我了解到这两种防火墙产品都基于 FreeBSD 的版本,但与我的新服务器中的 NIC 不兼容。
我购买的 SuperMicro 服务器有双 Intel 82574L 千兆 LAN NIC,我想找到一种方法在它们上安装某种防火墙,这将通过使用 GUI 来简化防火墙管理。
我知道我可以简单地使用 pf 但既然我们想要一个 GUI 前端,我们有什么选择?我是否需要退回此服务器并找到销售兼容旧硬件的供应商,或者我可以以某种方式使该硬件正常工作?
我正在将 OpenBSD 设置为 HyperV 2012 中的 VM。对我来说,在 vm 上创建一个接口并让 OpenBSD 负责设置 vlan 会更容易。
是否可以告诉 HyperV 将所有流量发送到一个端口,无论它是否被标记?
如果我取消选中“启用虚拟 LAN 标识”,则 HyperV 似乎只向端口发送未标记的流量。
我目前正在使用 linux box 来使用 iptables 处理我的防火墙/NAT。它有两个 NIC,一个连接到 LAN 交换机,一个连接到我们的出口 Internet 提供商。我正在考虑将这个盒子升级到两个盒子以实现冗余,并向解决方案添加第二个 Internet 提供商。这意味着我需要四个我相信的端口(如果我错了,请纠正我)
我读过 carp+pfsync 是一个很好的解决方案。这是目前你们大多数人正在使用的吗?linux中是否有等效的解决方案?
对于与上述类似的设置,截至今天,对于易于配置的热故障转移有哪些建议?
几年前,我们通过在外部防火墙前放置一个水龙头,通过 IDS 盒传输 DS1 上的所有流量,然后将结果发送到运行 ACiD 的日志服务器来设置 IDS 解决方案。这是大约 2005 年左右。我被要求改进解决方案并对其进行扩展并环顾四周,我发现 ACiD 的最后一个版本是 2003 年,我似乎找不到其他任何看起来甚至是最新的。虽然这些东西可能是功能完整的,但我担心库冲突等。谁能给我一些使用现代工具的基于 Linux/OpenBSD 的解决方案的建议?
明确地说,我知道 Snort 仍在积极开发中。我想我更喜欢现代开源 Web 控制台来整合数据。当然,如果人们对 Snort 以外的 IDS 有很好的体验,我很高兴听到它。
标题是不言自明的。
我想在 OpenBSD 4.9 上运行的 pf 中为特定的 MAC 地址创建规则,例如
pass in on eth0 from mac 00:04:34:5f:34:33 to mac 34:32:34:06:5e:22
我读过这个,但它没有帮助!!