PfSense 2 szakácskönyv - 5

5. fejezet Advanced Configuration

Ebben a fejezetben megnézzük
- Létrehozva egy virtuális IP
- Szabály létrehozása 1: 1 NAT
- Készítsen kimenő NAT szabályok
- Létrehozása átjáró
- Létrehozása statikus útvonal
- Konfigurálása forgalomsimítás (QoS, Quality of Service)
- interfész áthidaló
- Létrehozva egy virtuális LAN
- Létrehozása kaptivnogo portál

bevezetés
Az alábbi receptek tekintve rashireniem hálózati képességekkel, amelyek alkalmazhatók a legtöbb, a szerkezet a termelési hálózatot. Azonban minden ilyen funkció áll rendelkezésre a legújabb verzióját pfSense.

Általában a virtuális IP konfigurálására az arány 1: 1 NAT. Ebben a forgatókönyvben szükség virtuális IP típusú egyéb, hoztunk létre ezt a receptet.

8. Használat (Alkalmazás) megváltozik, ha szükséges

Hogyan működik.
Virtuális IP (VIP) Más típusú a következő tulajdonságokkal
- Traffic csak akkor küldhető az ilyen típusú VIP; pfSense nem tudja használni ezt a fajta VIP szolgáltatásokat saját
- VIP található egy alhálózati eltér az alhálózati interfész
- VIP nem tud válaszolni a ping

-CARP
- Ezt fel lehet használni, hogy irányítsa a forgalmat a tűzfal
- Ez használ Layer 2 forgalom
- Ezt fel lehet használni a forgatókönyvek tűzfal konfigurációs feladatátvétel vagy terheléskiegyenlítés
- Ez lehet inkább ugyanazon a hálózaton, mint a felület
- Válaszolni fog a ping, ha megfelelően beállított

-Proxy ARP
- Ez csak arra használható, hogy a forgalom a tűzfal
- Ez használ Layer 2 forgalom
- Ez lehet inkább egy alhálózati eltér az alhálózati interfész
- Ez nem tud válaszolni a ping

-más
- Ez csak arra használható, hogy a forgalom a tűzfal
- Ez lehet inkább egy alhálózati eltér az alhálózati interfész
- Ez nem tud válaszolni a ping

10. Mentés (Save) változások
11. Apply (Alkalmazás) a változásokat, ha szükséges

8. Mentse (Save) változások
9. Használat (Alkalmazás) megváltozik, ha szükséges

Lásd még:
- Recept Configuration szabályai 1: 1 NAT
- A recept a kimenő NAT szabályok
- Recept létrehozása statikus útvonal
- A recept egy virtuális LAN

Egy kicsit több.
Mint sok jellemzői a fejlett hálózati menedzsment, 1: 1 NAT használatát igényli a VIP.

Lásd még:
- A recept egy virtuális IP

Készítsen kimenő NAT szabályok
Ez a recept leírja, hogyan lehet létrehozni egy szabályt, kimenő NAT.

edzés
Kimenő NAT szabályok határozzák meg, hogyan kerül adásba a forgalom elhagyja a hálózatot. Eleinte úgy tűnhet, nehéz megérteni a koncepció egy példát eset, amikor a munkát végzik csak a csomagfejlécekben, nem ahogy néznek, amikor elhagyják a hálózatot. Ez a recept írja le, hogyan kell használni a kimenő NAT szabályokat állít fel a közös forgatókönyv predpolayuschih NAT munka egy gépen több interfész. Feltételezzük, hogy van egy cél szerver két interfész - a LAN és a DMZ és a tűzfal pfSense egyaránt védi interfészek. A reguláris régi port átirányítási szabály, küldünk HTTP kéréseket a szerver a DMZ felületet, és ez jó. Azonban, ha popytaemya előre SSH kéréseket a LAN interfész, a forgalmat csinál a jobb dolog, de pytetsya válaszoljon a demilitarizált zónába. Ez hibát okoz, mivel a forgalom nem ismeri a tűzfal, és kap egy timeout, amikor megpróbál csatlakozni. A recept olyan megoldást ismertet feldolgozásra lekérdezések SSH szabályok kimenő NAT együtt szabály 1: 1 NAT.

Lásd még:
- A recept a virtuális IP
- Recept szabály létrehozása 1: 1 NAT
- Recept port átirányítási szabályok konfigurálásához

Létrehozása átjáró
Ez a recept leírja, hogyan lehet létrehozni egy átjáró a pfSense.

edzés
Általában, a hálózatok egyetlen WAN kapcsolat nem szükséges módosítani az átjáró berendezést; működik az alapértelmezett. Azonban a rendszer több mint egy Internet kapcsolat vagy használja néhány további funkciók (például a statikus útvonalak) meg kell határoznia további egyéni átjárók.

Hogyan működik.
Gateway - olyan portál, ami összeköti a két hálózatot. Két hálózat között, mint a LAN és az internet, lesz értékesítése a kapun. Ha van több WAN kapcsolatok (több kapcsolatot az internetre), akkor meg kell határoznia az átjárók mindegyikre.

Egy kicsit több.
Mint látni fogjuk a következő recept, gateway létrehozásához szükséges statikus útvonalakat. Statikus útvonal - nehéz megadott utat az egyik hálózatból a másikba, és az összes hálózati forgalmat át kell haladnia az átjáró.

gateway-csoport
pfSense 2,0 valósít meg új koncepció nevezett csoport az átjáró (gateway csoportok). Gateway csoport - ez a gyűjtemény az átjárók amely lehet tekinteni, mint egy egység együtt más rendszer funkcióit. Shluzy csoport szükség esetén jelennek meg a legördülő menüben, kapuk, mint például a meghatározása a tűzfal szabályokat.

Lásd még:
- Recept létrehozása szabályzat 3. fejezet tűzfal
- Recept konfigurálása WAN interefysa 1. fejezet
- A recept egy statikus útvonal

Létrehozása statikus útvonal
Ez a recept leírja, hogyan lehet létrehozni egy statikus útvonalat használ pfSense.

edzés
A statikus útvonalak használják a hálózatokhoz való hozzáférést, hogy nem lehet megoldani a szokásos WAN átjáró, de nem oldja meg közvetlenül különböző felületek. Általában forgatókönyv, építünk egy irodában egy közös hálózati hozzáférés nyomtatókat. Bármilyen hálózati kapcsolatra képes egy közös hálózatra, hogy csak meg kell, hogy hozzon létre egy statikus útvonalat. Tudjuk használni pfSense hogy hozzon létre egy statikus útvonalat iinterfeysa egészére, és nem kell állítani egy statikus útvonalat minden egyes számítógépen.

Hogyan működik.
Alapértelmezésben egy statikus útvonalat pontot, hogy az út a hálózati nyomtatót. Most kap hozzáférést a hálózathoz ezen a statikus útvonal, és biztosítja az átjáró más felhasználók a tűzfal.

Lásd még:
- A recept egy átjáró

9. Egyenrangú (P2P) Hálózat lehetővé teszi, hogy csökkentse a kiemelt valamennyi forgalmi és visszafogni P2P, vagy a 20 előre definiált népszerű P2P. Mi továbbra kattintva gombra.

10. Hálózati Games pozvolet generál forgalmat a hálózati játékok. 20 előre a legnépszerűbb fajta játék. Kattintson a Tovább gombra

11. Az utolsó oldal, egyéb alkalmazások, pozvolet más formában közös típusú forgalmat. Itt kell beállítani a zászló engedélyezése más alkalmazás alakítására és állítsa MSDRP magas prioritású értéket (magasabb prioritású). Kattintson a Tovább gombra a folytatáshoz

12. Befejezés kattintani, hogy az új beállításokat.

Hogyan működik.
A mester forgalom alakítója, már meghatározott szabályai RDP telepítése adatforgalom rangsorolását. Még ha a hálózat nagy terhelés alatt a forgalom web, VoIP, vagy bármilyen más típusú forgalom, a távoli kapcsolat megfelelően fog működni, és folyamatosan, ahogy kiemelten kezeli.

Áthidalása (áthidalása)
Ez a recept írja le, hogyan kell kombinálni a két felület pfSense hídon. A híd révén egyesíteni a két hálózat. Például egy hálózati rendszergazda kell kombinálni egy híd vezetékes és vezeték nélküli hálózatokhoz.

Hogyan kell csinálni.
1. Ugrás az oldalra interfészek | (Hozzárendelése)
2. Nyomja a fület Bridges
3. Nyomja meg a [+] gombot, hogy hozzon létre egy új híd
4. Válassza tagfelületekre (Interface résztvevő) a Ctrl + kattintással
5. hozzáadása leírása (Description), mint a LAN DMZ-híd

6. Mentés (Save) változások

Hogyan működik.
A híd köti össze a két tûzfalfelületet egy másodlagos hálózathoz. A LAN és DMZ interfészek most csatlakozik.

Egy kicsit több.
Kattintson a Speciális beállítások (mutat opció), hogy a következő beállításokat

- RSTP / STP: feszítőfákat között szerepel a lehetőségek
- Protocol (Protokoll)
- STP interfészek (STP interfészek)
- érvényes idő
- Előre idő
- szia idő
- Priority (Prioritás)
- tartás száma
- interfész prioritás
- út költsége
- A gyorsítótár mérete (gyorsítótár mérete)
- Gyorsítótár bejegyzés lejárati idő (idő letelte cache bejegyzés)
- Span port (port kötődés)
- Él port

- Auto Él kikötők

Lásd még:
- Recept azonosítására és kijelölésére interfészek az 1. fejezetben

Létrehozva egy virtuális LAN
Ez a recept leírja, hogyan lehet létrehozni egy virtuális LAN pfSense.

edzés
VLAN képes befogadni egyetlen fizikai hálózati kapcsoló több szinten történő elosztásával használó portok VLAN tag. VLAN címkéket használnak külön virtuális hálózatok. pfSense csatlakoztatását teszi lehetővé, hogy a kívánt VLAN interfész a tűzfal szerint VLAN címkéket.

Hogyan kell csinálni.
1. Ugrás az oldalra interfészek | (Hozzárendelése)
2. Nyomja a VLAN lap
3. Nyomja meg a [+] gombot, hogy egy új virtuális hálózat (VLAN)
4. Jelölje a szülő interfész (Parent Interface). Lásd segítséget felület fogadó oldal (lásd a következő skrintosh). A mi esetünkben, DMZ kijelölt VR2 interfész és válassza azt.

5. VLAN címke jelzi cheloe tetszőleges számú tartományban 1-4094
6. hozzáadása leírást (Leírás), például a Saját DMZ virtuális LAN

7. Save (Mentés) változások

Hogyan működik.
Minden csomag célja a hálózatunk vagy jön a mi VLAN jelöli VLAN tag. Így pfSense lehet megkülönböztetni ezeket a csomagokat a többi hálózati forgalmat, és küldje el a kívánt helyre.

PP Amint azt már említettem, a könyv azt kihagyott sok fontos pontot, amely megtalálható a pfSense 1.2.3: Határozott Guide. Például nem venni néhány pontot a beállítás szükségessége és kiválasztása sootvetstvuyuschihklientskih NIC támogatása VLAN tagging, szabályok és funkciók VLAN hozzárendelés szobák és így tovább.

Lásd még:
- Recept azonosítása és hozzárendelése interfészek az 1. fejezetben

Létrehozása kaptivnogo portál
Ez a recept leírja, hogyan lehet létrehozni kaptivny portál alapuló pfSense.

12. Nyomja meg a [+] gombot, hogy egy új felhasználó
13. Adja meg a felhasználónevét (felhasználónév)
14. Írja be és erősítse meg a jelszót (Password)
15. Adja meg a teljes nevét (teljes név)

16. Save (Mentés) változás

Hogyan működik.
Miután létrehozta kaptivnogo portál a DMZ leírtak szerint ez a recept, a felhasználó, aki megpróbálja megnézni web-oldalt, akkor először kell majd hitelesíteni további oldal. Hitelesítés után a felhasználó automatikusan átirányítja a Google, és elkezd dolgozni az interneten, amíg a lejárati idő lejárta, akkor meg kell ismételni a hitelesítési újra.

Egy kicsit több.
Mindhárom oldalak kaptivnogo portál (bejelentkezés, kijelentkezés, és hiba) testreszabható az Ön igényei szerint, és a követelményeknek megfelelően a szervezet. A legegyszerűbb módja ennek az, hogy az egyes oldalak mentése fájlként, szerkeszteni, majd töltsd vissza a megfelelő beállításokat a az oldal alján kaptivnogo szolgáltató portál.