Записи с меткой ‘ext_if’

Использование ALTQ для управления нежелательным трафиком

До сих пор мы фокусировались на очередях, как способе позволяющем убедиться, что

конкретные  виды  трафика  обрабатываются  настолько  эффективно,   насколько  это возможно с учётом условий вашей сетевой среды и вне её.  Теперь мы рассмотрим два

Продолжение …

Распределение полосы пропускания для небольших сетей на основе классов

Максимально производительная сеть в основном работает хорошо. Однако, вы  можете

обнаружить, что у вашей сети существуют другие потребности. Например, для некоторых видов трафика -почты в частности и других необходимых сервисов,  может быть важно достичь базовой пропускной способности в любой момент  времени, в то время как для других сервисов, типа P2P, должны быть  установлены определённые ограничения на потребление пропускной способности.

Продолжение …

Обработка немаршрутизируемых адресов где-то в другом месте

Даже при правильной настройке шлюза для обработки фильтрации и, возможно, NAT для

вашей собственной сети, вы можете оказаться незавидном положении,  нуждающемся в компенсировании    неправильной    настройки    других     людей.     Один    удручающе

Продолжение …

Степень разделения: введение в DMZ

                                     В  предыдущем разделе, вы увидели как настроить сервисы в вашей  локальной  сети и сделать их  выборочно  доступными  из  внешнего  мира  посредством  разумного  набора правил PF. Для более точного контроля над доступом к вашей внутренней сети, а также сервисам, которые вам нужно  сделать видимым для остального мира, добавить степень физического  разделения. Даже отдельные виртуальные локальные сети (VLAN) будут делать это красиво.

Продолжение …

DMZ с NAT

                                                                                  Во всех установках, где есть NAT пул доступных адресов выделяемый для DMZ, вероятно, будет больше, чем в нашем предыдущем примере, но применяются те же принципы. Когда вы перемещаете серверы в физически  отдельную сеть, вы должны будете проверить в наборе   ваших   правил,    что        макро   определения   являются   по   определению здравомыслящими и отрегулировать значения, если это необходимо.

Продолжение …

Брандмауэр в случае моста

                                                      Ethernet   мост  состоит  из   двух  или  более  интерфейсов   сконфигурированных  в соответствии Ethernet фреймами прозрачно, и  которые  видимы не напрямую, а через несколько верхних слоев, таких как TCP/IP стек. В контексте фильтрации, конфигурация моста часто считают  привлекательной, поскольку это означает, что фильтрация может быть  выполнена на машине, которая не имеет своего собственного IP адреса. Если  на машине, о которой идет речь, запущена OpenBSD или столь же способная операционная

Продолжение …

Веб сервер и почтовый сервер внутри – случай NAT

            Давайте немного вернемся и начнем снова с базовым сценарием, где пример клиентов из главы 3 получающих трех новых соседей: почтовый сервер,  веб-сервер и файловый сервер. На этот раз адреса внешне видимые либо  отсутствуют, либо слишком дороги и запускать ряд других служб на машине, которая в первую очередь является брандмауэром нежелательно. Это означает, что мы вернулись назад, к ситуации где мы делаем наш NAT шлюзом. К счастью, механизмы перенаправления в PF делют его относительно простым в поддержке на внутренней строне шлюза, который выполняет роль NAT.

Продолжение …

Набор правил PF для точки доступа

                                       Когда интерфейсы настроены, пришло время приступить к настройке пакетного фильтра шлюза точки доступа. Вы можете начать с копирования базовой конфигурации сделаной для шлюза в Главе 3. Включите шлюз посредством  внесения записей в файлы sysctl.conf или rc.conf, а затем скопируйте файл pf.conf. Некоторые части, зависимые от предыдущей главы, могут быть весьма полезны, и ваш файл pf.conf может выглядеть примерно так:

Продолжение …

Точка доступа с тремя и  более интерфейсами

                      Если  дизайн вашей сети требует, чтобы ваша точка доступа являлась.  кроме  всего прочего,  шлюзом  для  проводной  сети,  или  нескольких   беспроводных  сетей,  вам необходимо произвести незначительные изменения  набора правил. Вместо того, чтобы просто изменить макрос int_if, вы можете добавить ещё одно (описательное) определение

Продолжение …

Перенаправление для балансировки нагрузки

                      Перенаправление  основанное  на  балансировке  нагрузки  из  предыдущего   примера работает равно хорошо в режиме NAT, где публичный  адрес это внешний интерфейс

шлюза и перенаправление адресов происходит в частном диапазоне.

Продолжение …