Архивы рубрики ‘OpenBSD’

Обработка немаршрутизируемых адресов где-то в другом месте

Даже при правильной настройке шлюза для обработки фильтрации и, возможно, NAT для

вашей собственной сети, вы можете оказаться незавидном положении,  нуждающемся в компенсировании    неправильной    настройки    других     людей.     Один    удручающе

Продолжение …

Часто задаваемые вопросы (FAQ) о PF

Этот раздел основан на вопросах, которые мне задавали по электронной почте или на конференциях,  а  так  же  тех,  которые  появились  в  списках  рассылки  и  форумах. Некоторые из наиболее общих вопросов рассматриваются здесь в формате FAQ8.

Могу ли я запустить PF на своей Linux машине?

Продолжение …

Управление IPSec VPN

                                                             Вы   можете  устанвить  виртуальную  частную  сеть  (VPN),   используя   встроенные инструменты IPsec, OpenSSH и некоторые другие. Однако, с учётом относительно низкого уровня безопасности беспроводных сетей  в целом, вы,  вероятно, захотите настроить

Продолжение …

Степень разделения: введение в DMZ

                                     В  предыдущем разделе, вы увидели как настроить сервисы в вашей  локальной  сети и сделать их  выборочно  доступными  из  внешнего  мира  посредством  разумного  набора правил PF. Для более точного контроля над доступом к вашей внутренней сети, а также сервисам, которые вам нужно  сделать видимым для остального мира, добавить степень физического  разделения. Даже отдельные виртуальные локальные сети (VLAN) будут делать это красиво.

Продолжение …

Вещи которые вы можете изменить и те, которые вероятно следует оставить в покое

Сетевые конфигурации по своей природе весьма настраиваемы. При просмотре страницы man pf.conf или другой документации, легко быть ошеломленным количеством опций и настроек, которые вы, вероятно, можете настроить, для того чтобы получить прекрасно оптимизированных настроек.

Продолжение …

Распределение нагрузки: перенаправление на пул адресов

После того, как вы создали сервисы, которые будут доступны для всего мира, вероятно

один  из  возможных  сценариев,  то,  что  ваши  сервисы  будут  расти  и  станут  более сложными и ресурсоемкими, или просто привлекут больше трафика чем тогда, когда вы

Продолжение …

Получение права балансировки нагрузки посредством relayd

После  того,  как  вы  запустили  распределение  нагрузки  посредством   round-robin

перенаправления, вы могли заметить, что перенаправление присходит не автоматически, а адаптируется к внешним условиям. Для примера, если не приняты специальные меры,

Продолжение …

Храним состояния синхронизироваными: добавление pfsync

Последняя часть конфигурирования – настройка синхронизации таблиц состояний между

хостами  отказоустойчивой   группы.  Синхронизация  таблиц  состояний  на   резервных брандмауэрах позволит избежать очевидных перерывов в трафике во время отказов. Это достигается  с  помощью  группы  верно   настроенных   интерфейсов   pfsync.  (Как  уже отмечалось ранее, на момент написания главы, NetBSD не поддерживала pfsync).

Продолжение …

Точка доступа с WPA на FreeBSD

                                            Переход с точки доступа WEP которую мы построили ранее, на более безопасную с WPA, достаточно прост. Поддержка WPA в FreeBSD осуществляется в виде hostapd (программа которая несколько похожа на hostapd OpenBSD, но не является той же самой). Мы начнём с редактирования файла /etc/start_if.rum0 чтобы удалить информацию аутентификации. Отредактированный файл должен выглядеть примерно так:

Продолжение …

DMZ с NAT

                                                                                  Во всех установках, где есть NAT пул доступных адресов выделяемый для DMZ, вероятно, будет больше, чем в нашем предыдущем примере, но применяются те же принципы. Когда вы перемещаете серверы в физически  отдельную сеть, вы должны будете проверить в наборе   ваших   правил,    что        макро   определения   являются   по   определению здравомыслящими и отрегулировать значения, если это необходимо.

Продолжение …