出于测试目的,我经常在 VmWare 中运行 OpenBSD,在 2.0.x 版之前,调整 vm 类型并使用 Freebsd 兼容模式完成了这项工作,但这不再适用于 VmWare 服务器 2.0.x。
有人知道一种使 vmware 工具在带有 VmWare 服务器 2.0.x 的虚拟化 OBSD 主机上工作的方法吗?
提前致谢。
如何使用 Postfix 设置垃圾邮件陷阱,以防止发送到受困地址的客户端向我发送更多垃圾邮件?
我想部署一个虚拟机来为我的基础架构中的其他 *nix 系统提供 DNS 和文件(通过 NFS)。
由于我无法控制的原因,我需要一个非常轻便的操作系统,所以我自然选择了*BSD系列。
你能推荐哪个 *BSD 是最好的 VMware 来宾吗?
我的 ISP 默认提供 IPv6。但是,我的 ISP IPv6 设置似乎有点奇怪,因为默认 IPv6 网关位于我的服务器子网之外。在 linux 下,可以使用ip -6 route add <gateway ip> dev <interface>. 但是,这在 openbsd 上不起作用,有人知道 openbsd 上该命令的等价物还是有人知道解决此问题的另一种方法?
尝试在 LAN 上的两台主机之间使用 IPSEC。不涉及 VPN
使用 OpenBSD 5.8(在 VirtualBox 中)。我更喜欢使用 OpenBSD 对 IPSEC 和密钥交换的内置支持,而不是第三方。
两个主机:(10.0.2.10主机“A”)和10.0.2.11(主机“B”)
他们可以在尝试设置 IPSEC 之前互相 ping/ssh。
更新:我想也许 OpenIKED (IKE v2) 不支持transport模式,所以我也会接受 isakmp (IKE v1) 的答案
复制A/etc/iked/local.pub到B/etc/iked/pubkeys/ipv4/10.0.2.10
复制B/etc/iked/local.pub到A/etc/iked/pubkeys/ipv4/10.0.2.11
双方:
echo "ikev2 esp from any to any" > /etc/iked.conf
chmod 640 /etc/iked.conf
echo "ipsec=YES" > /etc/rc.conf.local
echo "iked_flags=" >> /etc/rc.conf.local
检查配置:
/sbin/iked -n
Configuration OK
我对接下来要做什么感到困惑。我想我需要设置/etc/ipsec.conf,但我只找到了 IKEv1 文档。
重新启动了两台机器。没有错误。说 iked 守护进程启动了。如果我将公钥重命名为任何内容,仍然可以互相 ping 通,因此 IPSEC …
TL;DR 基于 OpenBSD 策略的路由对多宿主服务器/网关情况有帮助吗?如果是这样,我该如何配置它?
长表
我正在管理一个带有两个 ISP 链接和 VPN 隧道到远程路由节点的 OpenBSD。
最初,我们使用了多个具有不同指标的默认路由——通过静态 IP 地址的首选路由是 NAT 路由器,而 NAT 路由器又动态分配了地址(它基本上是一个电缆调制解调器)。
在实践中,这并不理想,但效果很好。从网关(以下简称为“gw”)建立的新连接,如果已启动,将选择速度更快、延迟更低的路由;如果链路断开,则通过电缆调制解调器出去。入站连接只能通过更好的路由,因为其他 IP 地址在 NAT 之后(无法从外部路由。
现在,我们需要通过一个额外的代理/VPN 路由器节点将流量路由到“云端”,以降低我们静态 IP 地址上的 DDoS 风险。
那些通过隧道连接到网关。
第一的。然后我们发现我们的管理员访问权限会偶尔下降。
使问题进一步复杂化的是,该网关具有到特定 VLAN 的额外活动接口。他们与这个问题无关,但不能被打扰。
可能的解决方案
我的印象是我们应该使用基于策略的路由rdomains。我想这意味着我为三个涉及的接口中的每一个创建路由表,并且任何这些接口(包括tun0隧道接口)上的任何连接都应该通过该域的表进行路由(因此每个都可以有自己的默认路由)。
我在正确的轨道上吗?
这是一个图表和一个清理列表,如果接口设置:
________
| 隧道| _______
~~~+~~~~ | GW |======++
| ~+~+~+~ ||
| _________ | | | ||
+-----| prefISP |------------+ | | __||____ ... ...
~~~~~~~w~ | +-----| 交换机 |-----( 集群 )
| ~~~~~~~~ ^^^^^^^^^
_________ .....|...... || … 在 Atom 450 上的 OpenBSD 上,在 BIOS 中配置了 HPET 而不是,还有超线程/ACPI 开关,似乎没有什么区别。
这是我的 vmstat -iz
# vmstat 2
procs memory page disk traps cpu
r b w avm fre flt re pi po fr sr wd0 int sys cs us sy id
0 0 0 3488 981792 429 0 0 0 0 0 35 295771 906 89 1 51 48
0 0 0 3492 981788 12 0 0 0 0 0 0 278490 37 10 0 50 50
^C
# vmstat …我需要在 Linux 和 *BSD 的防火墙中应用相同的规则(具有允许和删除规则的 IP 列表)。你知道一些应用程序 (CLI) 来转换每个防火墙的特定格式的规则列表吗?。
转换规则的应用程序只是一个想法。欢迎使用该问题的其他解决方案。
我想在 PF 防火墙上阻止特定的 MAC 地址。我知道 PF 防火墙在第 3 层上工作,即它在 IP 地址而不是 MAC 地址上运行。但是有什么方法可以阻止 pf 防火墙上的 MAC 地址
我正在设置一个 OpenBSD 系统作为路由器,我有一个接口作为上游,然后另一个配置了 vlan:
上游(em0):
inet 10.0.2.20 255.255.255.0 NONE description upstream
下游(em1):
up
VLAN10:
inet 172.18.10.1 255.255.255.0 NONE vlan 10 vlandev em1
当我从静态 IP 为 172.18.10.10 的客户端 ping 172.18.10.1 并在我的 OpenBSD 机器上运行 tcpdump 时,我得到了 ARP 查询:
Jun 20 16:40:16.170853 08:00:27:9c:0c:38 ff:ff:ff:ff:ff:ff 0806 60: arp who-has 172.18.10.1 tell 172.18.10.10
所以它显然正在接收arps,但没有响应。
有人有任何想法吗?
编辑: 这是路由表
openbsd ×10
freebsd ×4
bsd ×2
netbsd ×2
networking ×2
firewall ×1
gateway ×1
ikev2 ×1
interrupts ×1
ipsec ×1
ipv6 ×1
kernel ×1
linux ×1
multi-homed ×1
performance ×1
pf ×1
postfix ×1
routing ×1
spam ×1
