问题[watchguard](server)

服务器：Ubuntu 服务器 14.04

我有一个 Watchguard Firebox 记录到服务器。它应该每天轮换，但是，当轮换发生时，它不会写入新日志。它一直写到前一个。

里面的配置/etc/logrotate.d/

/var/log/watchguard
{
    rotate 14
    daily
    missingok
    create 640 syslog adm
    compress
    delaycompress
    sharedscripts
    su root syslog
    postrotate
            /usr/sbin/service rsyslog reload >/dev/null 2>&1 || true
    endscript
}

如您所见，轮换正在发生，但最新日志未写入：

-rw-r----- 1 syslog    adm        20 Jan 17 02:30 watchguard.3.gz
-rw-r----- 1 syslog    adm        20 Jan 18 02:30 watchguard.2.gz
-rw-r----- 1 syslog    adm         0 Jan 20 02:30 watchguard <---- SHOULD CONTAIN DATA
-rw-r----- 1 syslog    adm      3.0G Jan 20 10:34 watchguard.1 <--- ROTATED, BUT STILL GETTING DATA

就好像它不关心文件的名称一样。它只是继续写。我的logrotate配置语法不正确吗？

好的，所以我对 VLAN 有点陌生，如果这是一个愚蠢的问题，请原谅我。我有一个设置了几个 VLAN 的防火墙：

ID 1：这是主要的，并设置为未标记。这将用作管理 VLAN ID 30：“Guest”，用于不太受信任的设备 ID 40：“iot”，用于我们的 IT 设备。出于 QOS 和安全原因，我希望它们被隔离 ID 50：“受信任”，以便员工访问 LAN 上的特定资源。

我的问题是这个。连接到 VLAN 30 和 50 的大多数设备将是标准工作站，其 NIC 不理解 VLAN 标记。如果我设置基于端口的 VLAN，我仍然必须将它作为标记的 VLAN，因为这就是它在防火墙上的设置方式（防火墙正在运行一个“桥”端口，将所有 4 个 VLAN 传送到第 2 层交换机），当然，只会允许其中一个 VLAN 不加标签地返回。如果我将其设置为标记的 VLAN，则工作站不理解它并提供 169 IP。如果我将其设置为未标记的相同交易 - 我假设防火墙只期望来自这些 VLAN 的标记流量。我在这里想念什么？

上下文：我的防火墙是 Watchguard，我的交换机是 HP Aruba

我们有一个仓库和 4 个其他陈列室位置。所有 4 个位置都通过 VPN 连接到仓库。如果我们为每个位置配备一个守卫并通过 VPN 连接。是否有必要在所有位置获得全面的安全性，或者是否可以将其配置为在仓库通过 VPN 监控每个位置？做到这一点，我们只需要 1 个 Total Security 而不是 5 个。

我有两个不同的 Watchguard XTM 515 防火墙。每个都有自己的一组 VPN 在其中创建。

现在我只需要使用一个防火墙来处理两者的 VPN。但问题是我不知道 VPN 的 PSK（我加入我的工作后继承了那些防火墙）。要求客户更改 PSK 对我来说不是一个选择。

现在我知道当我导出防火墙的配置（XML 文件）时，它包括所有 VPN 的 PSK。这就是将该配置恢复到另一个防火墙的原因。但我不知道如何获得这些 PSK。我用纯文本编辑器检查配置 XML 文件，似乎它们是加密的（这并不奇怪）。但它们必须使用静态密钥加密，因为此配置可以上传到任何防火墙。只是我不知道解密方案和密钥。

现在我的目标当然不是​​破解 Watchguard XML 配置文件的加密。我需要做的就是将两个防火墙合并为一个。我考虑过手动合并从两个防火墙导出的 XML 配置文件的部分，但这似乎是一项艰巨的任务。

请您帮忙推荐一种将两个不同 Watchguard 防火墙的 VPN 合并为一个的方法吗？

我负责为一个客户端（大约 10-15 台计算机）维护一个小型网络，该网络与外部世界的互联网连接速度为 100mbps（但具有讽刺意味的是，我只是完全绕过防火墙运行了一次速度测试，得到了 115mbps） .

Watchguard 防火墙后面是几个 Cisco SG-200（千兆交换机），然后是 Ubiquiti Unifi 无线接入点。

根据我在网上阅读的一些资源（包括http://www.guardsite.com/XTM-23.asp），这个 Watchguard XTM 23（我继承了维护的责任）的防火墙吞吐量为 195mbps .

我还看到它的“XTM”吞吐量为 40mbps。

这是我使用过的第一个 Watchguard，我正在尝试找出 XTM 吞吐量和防火墙吞吐量之间的区别。

有什么不同？

我的第二个问题......我从来没有能够从网络内部/Watchguard防火墙后面获得高于~45-50mbps的运行速度测试。我什至尝试在没有其他任何东西插入防火墙的情况下进行测试，但仍然无法超过 50mbps。因此，如果我不得不猜测，XTM 吞吐量将是这个 Watchguard 可以处理多少到互联网（外部世界）的带宽，而防火墙吞吐量将是它可以在其不同段之间的千兆端口上内部处理多少带宽网络。这个对吗？

我之所以如此疯狂追逐的原因有两个：

1. 人们一直在抱怨网速慢
2. 我们甚至无法达到我们当前互联网连接应该达到的速度。

我是否疯狂地继续假设这个 Watchguard 是我们网络中的瓶颈？我注意到的几件事是内存利用率似乎已达到极限（尤其是当员工在场时，根据我看到的图表，当他们不在这里/周末时，内存利用率并没有那么高）。但是，我在几个网站上读到 Watchguard 报告所有内存已使用的常见情况。

机箱上的 CPU 使用率和平均负载一直都很好。

如果我的臀部是正确的，我正在考虑一起摆脱 Watchguard，并在 SSD 上设置一个运行 pfSense 的新盒子。

我们有一个型号为 R6264S 的 Firebox X1000，电源没电了。我们从 Ebay 上廉价购买了另一台，但我无法在任何地方找到有关如何将此设备重置为出厂默认设置的说明，以便我可以重新配置它。如果这里有人有这方面的经验，我将不胜感激。（我在它的正面或背面找不到任何重置按钮。）

我试过按住前面的向上按钮，它在提到它进入“环回模式”之前说“正在启动 SysB ...”，但我不确定下一步该做什么，甚至不知道在执行此步骤后使用哪个端口.

我有 4 个站点配置了 IPsec VPN，如下图所示：

         Site A ------------ Main Site -------------- Site B
                                 |
                                 |
                              Site C

我们使用各种不同型号的 watchguard 防火墙。主站点上的那个是 Watchguard XTM510

从主站点，我可以连接到站点 A、B 和 C 的系统，它们都可以连接到主站点。

但是站点 A 不能与 B 和 C 通信，站点 B 不能与 A 和 C 通信，等等。

有什么方法可以配置 VPN 连接之间的路由，以便来自站点 A 的流量通过：

   Site A -----(vpn)-------Main Site-------(vpn)------Site B

或者我是否需要在每个站点之间分别设置隧道？只有 4 个站点，这意味着我需要设置 6 个 VPN...但是随着我添加更多站点，它会增长得非常快！

我确实意识到这会比直接连接使用更多的带宽，但主站点有一条很好的光纤线路，可以处理额外的流量。希望它也能让我在一个地方管理 VPN 之间的过滤，而不是在每个单独的盒子上。

我们最近购买了 Watchguard XTM 510。希望用这款 UTM 产品替换我们的 ISA 2006 代理。我们在测试设置中遇到了一些安全站点问题。目前，我们仍在通过 ISA 服务器运行流量，并且我还设置了 Watchguard 以连接到网络。我们遇到问题的地方是当我在 ISA 中设置 HTTPS 站点的位置以通过 XTM 转发时，我得到一个证书无法验证错误。

因此，我认为我将其缩小到两种可能性。一、证书需要安装在XTM上。我不是 100% 肯定是这种情况，因为我认为这应该只是严格地充当代理，并通过不问任何问题转发所有流量。无论哪种方式，如果我尝试将证书导入 XTM，我总是会收到一条certificate validation failed错误消息。这些通常将 pfx 转换为 pem 文件。

其次，需要在 ISA 服务器上安装 XTM CA 证书，以便它们可以通信。我已经这样做了，但它似乎没有做任何事情。

我相信这应该可行，并希望有人以前曾为此苦苦挣扎。

鉴于旧版本 IE 中的漏洞，我想强制执行一条规则，即仅使用最新的 IE 或 Firefox 浏览网页。我无法确保每个人的 PC 都是最新的，那么是否有防火墙可以让我编写规则来限制可以通过防火墙发出请求的浏览器版本？我们当前的防火墙来自 Watchguard

我在 Watchguard Firebox X Edge 后面有一个 Server 2008 Web 版盒子。它是一个独立的网络服务器，局域网上没有其他机器使用它。有没有一些软件可以让我只监控带宽？我不需要任何其他功能，只需要易于阅读的格式的输入/输出带宽总量。不能使用额外的服务器、虚拟机或任何类似的东西，它需要是可以在 Windows 平台上运行的软件。我会使用类似 MRTG 的东西，但我的防火墙似乎不支持 SNMP。