标签: pfsense

我有以下设置：

(internet) ---> [  pfSense Box  ]    /-> [ Apache / PHP server ]
                [running HAproxy] --+--> [ Apache / PHP server ]
                                    +--> [ Apache / PHP server ]
                                     \-> [ Apache / PHP server ]

对于 HTTP 请求，这很好用，请求被分发到我的 Apache 服务器就好了。对于 SSL 请求，我让 HAproxy 使用 TCP 负载平衡分发请求，但是它可以工作，因为 HAproxy 没有充当代理，它没有添加X-Forwarded-ForHTTP 标头，并且 Apache/PHP 服务器不知道客户端的真实IP地址。

所以，我stunnel在HAproxy前面加了，读到stunnel可以加X-Forwarded-ForHTTP头。但是，我可以安装到 pfSense 中的包没有添加这个标头......而且，这显然会扼杀我使用 KeepAlive requests 的能力，我真的很想保留它。但是扼杀了这个想法的最大问题是 stunnel 将 HTTPS 请求转换为普通的 HTTP 请求，所以 PHP 不知道 SSL 已启用并试图重定向到 SSL …

如何使用单个无线适配器同时连接到多个 Wifi 接入点？

我目前使用 pfSense 作为我的家用路由器，我希望它以无线方式连接到多个 AP。你知道这可能吗？

或者，我们如何在 Ubuntu 下做到这一点？请给我一些启发:)

有趣的笔记：

1. pfSense 以及许多路由器发行版都支持将单个无线适配器用作多个 AP，但（对我而言）它们是否可以充当多个客户端尚不清楚
2. Windows 7 中的“虚拟 Wifi 适配器”显然可以做到这一点
3. 对于有线网络，可以轻松创建接口别名（例如 eth0:1）并使用 ifconfig 获取多个 IP。这有什么帮助吗？

背景

我一直在努力让我的 SIP 电话在全新的路由器后面注册并切换到我们全新的办公室。我们的 PBX 托管在异地。我与我们的提供商合作尝试了几种不同的方法。我们已尝试使用常规 NAT 连接到他们的 NAT 感知会话边界控制器。我们已经尝试使用 siproxd（pfSense 包）来拦截 SIP 注册请求并代表手机注册。最后，我们尝试手动配置电话以在本地网络上注册 siproxd 守护程序。

在整个测试过程中，我们看到手机成功地完成了以下所有操作：

• 通过 IP 地址联系托管的 FTP 服务器
• 从所述服务器下载配置
• 执行 DNS 查询以解析 NTP 服务器的 IP 地址
• 查询NTP服务器设置时间
• 执行 DNS 查询以解析 SIP 服务器的 IP 地址

症状

在电话成功完成所有预注册任务后，我们再也看不到注册尝试击中 pfSense 框或提供商的 PBX。我已经在 siproxd 中启用了最高级别的调试，并且没有看到 TCP 连接或 UDP 数据包。但是，从工作站到端口 5060 的简单 telnet 将生成预期的日志消息。在 pfSense 盒上执行数据包捕获显示绝对没有 SIP 流量尝试。

有没有搞错？

我彻底难倒我并让我提出这个问题的最后故障排除步骤如下。我首先将电话插入的交换机端口镜像到我的工作站交换机端口。我对接口上的所有流量执行了数据包捕获。令我惊讶的是，我看到来自电话的 SIP 注册数据包。下面是一个例子：

很明显，电话正在尝试向 PBX 注册（这些也是正确的 IP 地址）。

我的下一步是镜像馈入 pfSense 路由器 LAN 端的交换机端口。我看到来自交换机的 172.200.22.102 电话的所有 FTP、NTP 和 DNS 流量，但没有看到 SIP 数据包的踪迹。这对我来说完全莫名其妙！是什么导致 …

我在一些关于 pfSense 的论坛上读到过，说虚拟化 pfSense 很危险。之所以这么说，是因为攻击者可以使用 pfsense 作为对管理程序进行攻击的跳板，然后使用它来访问其他虚拟机并最终使所有内容脱机。

这对我来说听起来很疯狂，但这个想法是否有一点现实意义？在虚拟服务器中运行路由器是个坏主意吗？

在哪里可以找到和查看 pfsense 日志文件？

我已经搜索了文档，但它没有指出 pfsense 各种组件的日志文件位置。

我正在用 Mini-ITX pc + 紧凑型闪存卡设置构建路由器，我正在尝试选择合适的发行版。我的标准是：

• 必须能够从 CF 卡运行（所以没有过多的磁盘写入）
• 我最感兴趣的是拥有一个用于流量整形的高功率路由器
• 也就是说，我也有兴趣使用它来了解有关路由/网络如何工作的更多信息（我最初的计划是使用像 LFS 这样的基本准系统发行版并将路由软件放在自己的上面），所以我不是在追求一个对我隐藏内部运作的发行版
• 我也想要 SSH

我想我已经把它缩小到两个 - Monowall 和 pfSense（pfSense 是 Monowall 的一个分支）

Monowall 具有针对闪存卡的优势，而 pfSense 具有更多我感兴趣的流量整形和其他功能。

我也明白他们在封面下使用不同的机制，但我不能说我对做出明智决定的差异有太多了解。

有没有人对其中任何一个（或我尚未考虑的其他替代方案）有任何建议/信息

我有两台运行 FreeBSD 变体的服务器：一台是 pfSense 路由器，另一台是 FreeNAS 8 服务器。这两个服务器都运行 SNMP，我正在使用第三个 Cacti 服务器收集和绘制它们的信息。

来自 pfSense 服务器和 FreeNAS 服务器的 SNMP 数据不包括内存使用、CPU 使用和负载平均。

pfSense 服务器的流量图看起来不错。来自 FreeNAS 服务器的磁盘使用报告看起来很漂亮。我只是没有得到任何关于内存使用、CPU 使用和负载平均的数据。我知道这两个服务器都应该能够提供这些数据，因为在 pfSense 和 freeNAS 网络管理员中我可以查看图表。但为了便于管理，我更愿意将所有图表都放在 Cacti 中。

如何让我的 pfSense 服务器通过 SNMP 提供内存使用情况、CPU 使用情况和负载平均数据？如何让我的 FreeNAS 服务器通过 SNMP 提供内存使用、CPU 使用和负载平均数据？我假设相同的过程适用于两台服务器。

我将如何设置 HE 网络隧道以通过 PFsense 进行路由，以便在我的服务器上拥有 v6 地址？我已经在他们的一端设置了隧道，但没有关于 PFsense 的说明。

我家里有一个带有 PFSense 软件防火墙的网络。大约有 2 台 PC 和 3 台笔记本电脑通过此防火墙连接到 Internet。

我想使用防火墙规则来阻止网络上这些设备之一的互联网访问。我想阻止的那个确实分配了一个静态 IP 地址，我也知道它的 MAC 地址。

我似乎无法弄清楚如何创建一个规则来有效阻止该设备的互联网访问。但是我仍然希望该设备能够在内部访问网络，例如网络打印机共享驱动器等。

设置

我已将 pfSense 2.0.1（64 位 amd 图像）设置为 Hyper-V 中的主机。正如其他博客中所述，我必须执行“ifconfig down deX”、“ifconfig up deX”才能启动并运行网络。

服务器（运行 Windows 2008 R2 的 HP）配备了两个物理 NIC。

• 第一个物理网卡（端口 1）未在主机中配置（仅作为 Hyper-V 交换机，请参见下文）。

• 第二个物理网卡（端口2）配置了远程管理网络（标准C级网络）。我认为两个 NIC 都连接到同一交换机并且 VLAN=default（物理接线由我的主机托管提供商完成）。

在 Hyper-V 中定义了以下虚拟网络：

• internal：用于 VM 间通信的虚拟机内部网络（连接 Windows 服务器的“LAN”）。

• Internet：用作 pfSense 的 WAN 连接的虚拟网络。该网络分配给服务器的第一个物理网卡（端口 1）。虚拟网络专用于 Hyper-V，不与主机共享。

在我的设置中，我使用 pfSense 作为面向 Internet 的防火墙，用于同样运行在同一 Hyper-V 主机上的几个虚拟机（Windows 服务器）。

Windows 机器使用 pfSense 作为默认网关，我成功地通过 pfSense 防火墙将 Windows 更新下载到所有虚拟机 - 工作顺利。

为了重定向传入的服务，pfSense 设置了 1-1 NAT，以将 ISP 的 IP 地址映射到 Windows 机器上的内部 172.16.0.0/16 地址。

问题

我遇到的问题是，在通过管理网络（端口 2）成功使用 RDP …