Michael Shaw's questions

我已经在 OpenBSD 4.3 上运行基于 pf 的过滤路由器大约一年了。我当前的任务是建立一个新的网段来托管我们的外部站点。

我的目标是设置在这个网段中的机器不应该比互联网上的机器更多地访问我们网络的其余部分。

总的来说，这是非常接近的。我们让 DNS 服务器将其外部视图返回到该网段。pf 不会将此段的流量路由到 Internet 接口以外的任何段。但是，如果它们也被允许访问互联网，我似乎无法阻止它将数据包路由到路由器。

例如

挡住
...
# 将 dmz 流量标记为仅允许访问 Internet
传入 $dmz_if inet 所有标签 INTERNET_ONLY
...
# 确保只有允许访问 Internet 的流量通过
阻止 $internet_if
屏蔽 $internet_if 标记的 INTERNET_ONLY 标记 ROUTE_INTERNET
通过 $internet_if 标记 ROUTE_INTERNET

我希望能够添加

从 $(dmz_if:network) 屏蔽 $local_if

阻止任何来自路由器的数据包，但似乎本地主机的数据包不会在 lo0 上发出。我怎样才能阻止他们？

我是否误解了这一切是如何运作的？有没有我错过的选项来允许这个？

有什么建议么？

我们目前正在使用 Microsoft RAS 服务器，使用 PPTP 让人们通过 VPN 进入办公网络。它不是特别安全，因为人们的用户名是可预测的，并且许多用户没有选择安全密码。任何在密码中强制执行适度安全性的尝试都面临内部反抗。

我正在考虑设置 VPN 以使用 IPSEC，并使用证书进行身份验证。我需要的是关于合适的 IPSEC 服务器配置、管理证书和管理证书部署的建议——尤其是来自那些完全这样做的人。我有管理 Windows、Linux 以及在较小程度上管理 OpenBSD 操作系统的经验。

最后，我看到有关 XP 专业机器在其 IP 地址不固定时无法建立临时 IPSEC 连接的评论？这是一个真正的问题吗？

在此先感谢您的帮助，