问题[pfsense](server)

我有一个运行 3 个硬盘的 RAID 的 FreeBSD。我面临监控其 RAID 的挑战 - 如果硬盘出现故障或出现一些我需要知道的问题。

所以，我现在做的第一件事是尝试了解 SmartCTL 的工作原理……我目前使用的命令是：

smartctl --scan -j - To scan my devices and generated a JSON Structured list.
smartctl -i /dev/device_name - To list informations about a single device
smartctl -a /dev/your-device - More information like errors and etc (I think i can use this in some way to grep only errors sections...)

SmartCTL 是否还有其他参数可以检查磁盘是否可写、是否处于活动状态以及其健康状态是否正常？

这个理解的主要目的是主要使用 SmartCTL 来生成数据，这些数据将用于 pfSense RAID Monitoring with Low Level Discovery for Zabbix Monitoring Software 的模板中......

任何帮助都将不胜感激。

每次我的 pfSense 的 IP 地址更改时，我都需要手动登录面板，转到服务 > 动态 DNS > 操作 [编辑] > ♻ 保存并强制更新

请问，我如何使用 Cron 做到这一点？我已经安装了 Package 'Cron' 并执行了以下操作（基于 ServerFault 上的另一个问题 - 它不起作用。）

1 1 * * * 根 /usr/bin/nice -n20 /etc/rc.force.dyndns.update

rc.force.dyndns.update 中的代码是：

#!/bin/sh
rm /cf/conf/dyndns\_wancustom\\'\\'0.cache
/etc/rc.dyndns.update

那没起效。问题不断发生。

我必须为 Exchange server 2016 CU21 更改面向 Internet 的 IP。

我们使用 pfSense 作为路由解决方案，在其上设置了新网关 - 新 ISP，可以正常工作。上游网关设置在 xxx161/29 IP 地址上。为 WAN 接口设置的静态 IP 地址为 xxx162。

由于 ISP 提供了多个 WAN IP，而我们的环境需要多个服务器使用相同的端口，而不是使用代理服务，为了简单起见，创建了虚拟 IP。设置了新的 WAN IP，xxx163/29。

创建 NAT Pot Forward：

接口： 协议： 源地址： 源端口： Dest.Address： Dest.Ports： NAT IP： NAT 端口：

WAN TCP * * xxx163 110(POP3) 192.168.1.32 110(POP3)

WAN TCP * * xxx163 143(IMAP) 192.168.1.32 143(IMAP)

WAN TCP * * xxx163 443(HTTPS) 192.168.1.32 443(HTTPS)

WAN TCP * * xxx163 993(IMAP/S) 192.168.1.32 993(IMAP/S)

WAN TCP * * xxx163 995(POP3/S) 192.168.1.32 995(POP3/S)

然后，创建 NAT 规则：

协议：源：端口：目标：端口：网关：描述：

TCP * * 192.168.1.32 110(POP3) * NAT POP3

TCP * * 192.168.1.32 143(IMAP) * NAT IMAP

TCP * * 192.168.1.32 443(HTTPS) * NAT HTTPS

TCP * * 192.168.1.32 993(IMAP/S) * NAT IMAP/S

TCP * * 192.168.1.32 995(POP3/S) * NAT POP3/S

更改 Exchange Server 上的默认网关（旧路由器使用 192.168.1.1，新路由器使用 192.168.1.2 - pfSense）

在旧路由器上禁用 NAT 规则，禁用端口转发。

在 Exchange Server 上测试了 Internet 访问，它使用新的 WAN IP 作为网关，并且可以正常工作。

在名称服务器上，更改了新 WAN IP 上 mail.contoso.com 的记录。

在外部 DNS 提供商上，更改以下新 IP 的记录：

记录： 姓名： 内容：

一个 POP xxx163

一个 IMAP xxx163

一个 SMTP xxx163

一封邮件 xxx163

网络邮件 xxx163

电子邮件 xxx163

MX xxx163

所有这些更改都通过 Internet 传播，通过www.whatsmydns.net进行了检查，还通过 Cisco Talos 进行了检查。

通过向谷歌邮箱发送电子邮件测试了 Exchange 上的邮件流，它工作正常，但在那段时间我是通过 VPN 连接的。

如果没有 VPN，我无法访问 OWA、Android 上的邮件客户端或 PC 上的 Outlook 邮件客户端。

我在 PC 上做了 flushdns，然后重新启动它，因为 nslookup 提供了正确的新 WAN IP，但是当我尝试 ping mail.contoso.com 时，它返回了旧的 WAN IP。我花了一些时间在互联网上传播，但没有占上风。

如果有人有任何建议，或者您发现我的方法遗漏了什么，那将非常有帮助！

编辑 1. 好像防火墙阻止了我。在日志中找到，在 LAN 接口上阻止，源 IP：192.168.1.32:443，作为目标 IP，我从我的 ISP 看到我的 IP，端口 39618 到 39637

编辑 2。

即使打开 VPN，也无法访问 OWA。另外，使用 pfSense Easy 规则，并允许流量，从端口 38000 添加到 40000，但仍然没有占上风。

我在新安装的 PfSense 系统中没有互联网连接。
脚步：

1. 我用 Ubuntu 创建了 OVH 实例并安装了mfsbsd图像。
2. 开机后mfsbsd也有网络问题。根本无法下载任何东西或ping。
3. 我使用本地网络通过 SSH 复制了 PfSense 图像。
4. 我用UFS BIOS option.
5. 使用 OVH 控制台，我可以看到 PfSense 在重新启动后正确启动。我还使用同一本地网络中的其他服务器（http://192.168.10.22/ --> https://pfsense.domain.com/）在 nginx 上配置了反向代理。之后我可以通过pfsense.domain.comURL 访问 GUI，但登录后出现错误，我无法在 UI 中执行任何操作：

检测到 HTTP_REFERER 未在系统 > 高级 ( https://pfsense.domain.com/ ) 中定义。如果不需要，可以在系统 > 高级 > 管理员访问中禁用此检查。

6. 使用控制台登录到 PfSense 服务器后，我注意到还有网络连接问题。
7. 一些输出：

[2.5.2-RELEASE][[email protected]]/root: ifconfig
    vtnet0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
            options=800b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,LINKSTATE>
            ether xx:xx:xx:xx:xx:xx
            inet6 xxxx::xxxx:xxxx:xxxx:xxxx%vtnet0 prefixlen 64 scopeid 0x1
            inet 123.123.123.123 netmask 0xffffffff broadcast 123.123.123.123
            media: Ethernet 10Gbase-T <full-duplex>
            status: active
            nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
    vtnet1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
            options=800b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,LINKSTATE>
            ether xx:xx:xx:xx:xx:xx
            inet6 xxxx::xxxx:xxxx:xxxx:xxxx%vtnet1 prefixlen 64 scopeid 0x2
            inet 192.168.10.22 netmask 0xffffff00 broadcast 192.168.10.255
            media: Ethernet 10Gbase-T <full-duplex>
            status: active
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    enc0: flags=0<> metric 0 mtu 1536
            groups: enc
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
            options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
            inet 127.0.0.1 netmask 0xff000000
            groups: lo
            nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    pflog0: flags=100<PROMISC> metric 0 mtu 33160
            groups: pflog
    pfsync0: flags=0<> metric 0 mtu 1500
            groups: pfsync

[2.5.2-RELEASE][[email protected]]/root: netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
123.123.123.123    link#1             UHS         lo0
123.123.123.123/32 link#1             U        vtnet0
127.0.0.1          link#4             UH          lo0
192.168.10.0/24    link#2             U        vtnet1
192.168.10.22      link#2             UHS         lo0
213.186.33.99      xx:xx:xx:xx:xx:xx  UHS      vtnet0

Internet6:
Destination                       Gateway                       Flags     Netif Expire
::1                               link#4                        UH          lo0
fe80::%vtnet0/64                  link#1                        U        vtnet0
fe80::xxxx:xxxx:xxxx:xxxx%vtnet0  link#1                        UHS         lo0
fe80::%vtnet1/64                  link#2                        U        vtnet1
fe80::xxxx:xxxx:xxxx:xxxx%vtnet1  link#2                        UHS         lo0
fe80::%lo0/64                     link#4                        U           lo0
fe80::1%lo0                       link#4                        UHS         lo0

[2.5.2-RELEASE][[email protected]]/root: ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
ping: sendto: No route to host
ping: sendto: No route to host
ping: sendto: No route to host

[2.5.2-RELEASE][[email protected]]/root: ping serverfault.com
ping: cannot resolve serverfault.com: Host name lookup failure

8. 我检查了/etc/defaults/rc.conf和选项defaultrouter并gateway_enable设置为NO. 我将它们更改为YES，但重新启动后没有帮助。

我正在设置一个全新的 pfsense，它工作正常。然后我从另一个工作安装中恢复配置，当我尝试重新启动它时，它在安装 / 分区并检测到 CPU 后很快就冻结了。我屏幕上的最后一行是：

TSC: P-state invariant

我们需要通过 WAN 接口启用 pfSense ssh（端口 22）访问，以使用 pfSense 的终端/控制台/shell 执行某些配置。

已经采取的行动...

• “安全外壳（sshd）”已通过 pfSense 控制台选项 14 启用14) Enable Secure Shell (sshd)；
• 我们运行命令easyrule pass wan tcp any any 22以允许访问 ssh（端口 22）。
• 使用选项 1212) PHP shell + pfSense tools我们执行命令...

$config['system']['ssh']['enable'] = "enabled";
write_config();
exec

…………

$config['system']['enablesshd'] = "true";
write_config();
exec

... 和...

playback enablesshd

;

情况...

• 使用“过滤日志”选项（10），我们观察到对 ssh（端口 22）的调用被阻塞；
• 用命令关闭防火墙pfctl -d我们就可以正常访问ssh（22端口）了。

重要提示：我们需要通过 pfSense 的终端/控制台/shell 启用对 sshd（端口 22）的访问。

PLUS：我们知道可以通过 gui (http/web gui) 允许访问，但我们需要通过 pfSense 终端/控制台/shell 允许此初始访问。

注意：我们知道不建议通过 WAN 接口上的 ssh（端口 22）进行访问，但最初对我们来说是必要的。

谢谢！=D

我刚刚安装了 pfSense 并注意到它只记录“被阻止”的流量。

*图片取自https://docs.netgate.com/pfsense/en/latest/monitoring/logs/firewall.html

我如何也启用“允许/允许”流量？

我有一个安全的子网 172.20.40.0/24，但我的终端无法保证安全，而且我无法控制协议（考场、外部用户访问）。我想将它们设置在一个单独的子网上，以最大限度地减少攻击媒介，但是它们需要访问安全子网上的一两个 IP。我在两者之间设置了一个虚拟 pfsense 防火墙，起初是在使用 LAN 和 WAN 与 natting 或 VPN 玩，但有点超出我的深度。执行此操作的正确方法是什么，我可以将其保护到最少的网络访问。

编辑

这是应用程序访问的端口列表，包括两台服务器 ASDB (172.20.40.9) 和 ASDCFS (172.20.40.11)。如果高风险终端是 172.20.40.100，那么我限制的最优雅的方式是什么，所以它只能访问那些 IP 和端口。

我有一个在 GCP 上使用 pfSense 机器（子网 xx0.0）的场景，具有 10 个站点到站点的 IPSEC vpn 工作正常，但 OpenVPN 不是，困难在于通过 OpenVPN 网络（xx10.0）路由数据包和在 GCP 端访问 LAN。

我已经按照教程并试图找到解决此问题的方法，我认为 IP Forward 是罪魁祸首，因为它默认情况下已停用，但现在我正在寻找一种替代方法来避免处理另一台机器的创建。

另一个问题是：有没有办法在 GCP 中分离和重新附加外部和内部 IP？

我知道我可以在不杀死机器的情况下在 AWS 中更改 IP 转发，IP 操纵也是如此，但在 GCP 中我不知道该怎么做。（也许我不能？）

我想知道为什么客户端 IP ( 172.21.0.2) 用作 OpenVPN 子网 ( 172.21.0.0/20) 的网关？该 IP 归属于第一个连接的客户端。

请注意，我没有遇到客户端及其连接的任何问题。

请在下面找到一些信息以进行语境化：

• server.conf

dev ovpns1
verb 1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-128-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
multihome
tls-server
server 172.21.0.0 255.255.0.0
client-config-dir /var/etc/openvpn-csc/server1
lport 1194
management /var/etc/openvpn/server1.sock unix
client-to-client
duplicate-cn
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.2048
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-ciphers AES-128-GCM
topology subnet

• $ ifconfig -a

ovpns1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
    options=80000<LINKSTATE>
    inet6 fe80::d81e:c576:5231:832e%ovpns1 prefixlen 64 scopeid 0x6
    inet 172.21.0.1 --> 172.21.0.2 netmask 0xffff0000
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
    groups: tun openvpn

• $ netstat -rn

Destination        Gateway            Flags     Netif Expire
172.21.0.0/16      172.21.0.2         UGS      ovpns1
172.21.0.1         link#6             UHS         lo0
172.21.0.2         link#6             UH       ovpns1