我最近购买了一台服务器来运行 m0n0wall 或 pfSense,但从那时起我了解到这两种防火墙产品都基于 FreeBSD 的版本,但与我的新服务器中的 NIC 不兼容。
我购买的 SuperMicro 服务器有双 Intel 82574L 千兆 LAN NIC,我想找到一种方法在它们上安装某种防火墙,这将通过使用 GUI 来简化防火墙管理。
我知道我可以简单地使用 pf 但既然我们想要一个 GUI 前端,我们有什么选择?我是否需要退回此服务器并找到销售兼容旧硬件的供应商,或者我可以以某种方式使该硬件正常工作?
标题是不言自明的。
我想在 OpenBSD 4.9 上运行的 pf 中为特定的 MAC 地址创建规则,例如
pass in on eth0 from mac 00:04:34:5f:34:33 to mac 34:32:34:06:5e:22
我读过这个,但它没有帮助!!
I am running a web and mail server on FreeBSD 9.1. The system is installed on a KVM vServer. Everything works fine - until I enable pf(4). My weblog becomes unconscionably slow. So does all the other traffic, but this is not that annoying.
So it would be great if someone can tell me where the problem might be.
Thanks in advance!
A test with benchmarks/iperf returns the following results:
Disabled pf:
Client connecting to 109.193.XXX.XXX, TCP port 5001
TCP …我需要破解 OS X pf 以将所有 ssh 连接从用户重定向到这台机器。我想要,在做的时候
$ ssh google.com
得到相同的结果
$ ssh localhost
即连接到我本地运行的 sshd。
在最近的 Linux 下,这将是:
# iptables -t nat -A OUTPUT -p tcp --dport 22 -m owner --uid-owner theuser -j REDIRECT
在 OS X 10.8 下,似乎有 2 种方法 - ipfw 和 pf。两者都不起作用。ipfw:
# ipfw flush
# ipfw add 50 fwd 127.0.0.1,22 tcp from any to any 22 uid theuser
如果我删除该uid theuser部分,重定向将起作用,减去用户的东西。如果我把uid指令留在那里,网络堆栈就会死掉,系统很快就会变得无法使用;没有了ipfw,没有了ps,没有了kill。
根据手册页,不推荐使用 ipfw,因此应改用数据包过滤器:
# sysctl -w …我想在 24 小时内从运行 FreeBSD 9 的主机发出 17500 个请求(已建立连接)的阈值后,阻止使用PF访问 Google 搜索。
pass out on $net proto tcp from any to 'www.google.com' port www flags S/SA keep state (max-src-conn 200, max-src-conn-rate 17500/86400)
注意:86400 是以秒为单位的 24 小时。
该规则应该有效,但 PF 足够聪明,知道 www.google.com 可以解析 5 个不同的 IP。所以我的pfctl -sr输出给了我这个:
pass out on vte0 inet proto tcp from any to 173.194.44.81 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)
pass …我想在 PF 防火墙上阻止特定的 MAC 地址。我知道 PF 防火墙在第 3 层上工作,即它在 IP 地址而不是 MAC 地址上运行。但是有什么方法可以阻止 pf 防火墙上的 MAC 地址
我正在尝试使用 pf重新创建这个 iptables 设置(来自https://github.com/darkk/redsocks):
iptables -t nat -A REDSOCKS -p tcp -d 10.0.0.0/8 -j REDIRECT --to-ports 12345
iptables -t nat -A OUTPUT -p tcp -j REDSOCKS
我想将所有去往 10.0.0.0/8(无论是什么端口)的连接重定向到本地端口 12345。在 linux 中,这适用于上述指定的规则。现在我正在尝试在 Mac OS X 上重新创建它。目前我没有尝试过,例如
rdr inet proto tcp from any to 10.0.0.0/8 port 0:65535 -> 127.0.0.1 port 12345
我已经设置了sysctl net.inet.ip.forwarding=1
我不确定甚至 rdr 规则是否等同于 iptables nat 重定向。Redsocks 要求连接保持目标 IP/端口,以便通过代理正确转发。所以我想包中的目的地不应该更改/重写为 127.0.0.1:12345。
将基于策略的路由应用于 pfSense 内部流量(源自防火墙本身)的当前正确方法是什么?使用选定的 WAN 接口、方向 OUT 和定义的网关创建浮动规则不再起作用。
我启用了此规则的日志记录,它显示流量始终来自 WAN1 的地址,即使规则上的网关设置为 WAN2。WAN1 是 pfSense 的默认网关。
我现在使用 FreeBSD 并使用 pf+ALTQ。
有些东西不起作用,我需要一个工具来查看哪些请求被标记并移动到队列“queue_name”
需要类似 pftop 但显示队列的东西。任何人都可以帮忙吗?