pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert
-
Unter Diagnose findest du eine Möglichkeit, Pakete am jeweiligen Interface zu sniffen. Runterladen und in Wireshark öffnen. Keine Switch mit Mirror Port nötig...
-
@raaalf said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
Ich denke, eine apu.2d4 für um die 200,00 Euro ist genau das Richtige für mich.
Wenn das für zu Hause ist, absolut. Wenn es ein kleines Büro ist und das ggf. abgeschrieben wird oder als Firma gekauft, würde ich ggf. über die etwas leistungsstärkere scope7-1020 nachdenken, auch weil potentiell mit mehr RAM nachrüstbar (und so ein HDMI Port ggf. auch ganz praktisch ist wenn man nicht gerade mit serieller Konsole rumbasteln will) :)
-
Hallo jegr,
das Paket mit der bestellten apu.2d4 wurde heute zugestellt.
Am Wochenende werde ich die apu in Betrieb nehmen. Wenn ich alles richtig gelesen habe, muss ich im Backup (das xml-File) der laufenden pfSense lediglich die Bezeichnungen der Netzwerkschnittstellen anpassen um das Backup problemlos auf die aktuelle pfSense importieren zu können. Mal sehen, ob das so einfach ist wie ich hoffe.
Die apu wird um privaten, häuslichen Umfeld verwendet. Ich bin gespannt auf die aktuelle pfSense-Version.
Grüsse
Ralf
@jegr said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
@raaalf said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
Ich denke, eine apu.2d4 für um die 200,00 Euro ist genau das Richtige für mich.
Wenn das für zu Hause ist, absolut. Wenn es ein kleines Büro ist und das ggf. abgeschrieben wird oder als Firma gekauft, würde ich ggf. über die etwas leistungsstärkere scope7-1020 nachdenken, auch weil potentiell mit mehr RAM nachrüstbar (und so ein HDMI Port ggf. auch ganz praktisch ist wenn man nicht gerade mit serieller Konsole rumbasteln will) :)
-
Hallo,
pfSense 2.4.4 ist auf der apu.2d4 installiert und das Backup der bisherigen Installation erfolgreich importiert. Die Namen der bisherigen Netzwerkschnittstellen habe ich vorher im *.xml-File entsprechend angepasst (ibn0, ibn1 und ibn2).
Allerdings gab es ein Problem: Im DNS Resolver war DNSSEC aktiviert.
Nach dem Anschließen eines WANs an das apu.2d4 war der DNS nicht aktiv. Ich konnte zwar den google-DNS mit der IP 8.8.8.8 pingen, jedoch die URL google.de nicht.
Intuitiv deaktivierte ich DNSSEC im DNS Resolver und die URL google.de konnte problemlos gepingt, also aufglöst werden.
Ursache war, dass die Trust Anchor Keys nicht aktuell waren. Nach dem Update der Trust Anchor Keys funktionierte auch mit aktiviertem DNSSEC die Namensauflösung.Ein Punkt verwirrt mich. Ich habe eine 32-GByte-m.2-SSD in der apu.2d4. Deshalb aktivierte ich den TRIM-Befehl nach dieser Anleitung.
Auf die Abfrage tunefs -p / erhalte ich "trim: (-t) enabled":
[2.4.4-RELEASE][root@pfSense.pfSense]/root: tunefs -p /
tunefs: POSIX.1e ACLs: (-a) disabled
tunefs: NFSv4 ACLs: (-N) disabled
tunefs: MAC multilabel: (-l) disabled
tunefs: soft updates: (-n) enabled
tunefs: soft update journaling: (-j) enabled
tunefs: gjournal: (-J) disabled
tunefs: trim: (-t) enabled
tunefs: maximum blocks per file in a cylinder group: (-e) 4096
tunefs: average file size: (-f) 16384
tunefs: average number of files in a directory: (-s) 64
tunefs: minimum percentage of free space: (-m) 8%
tunefs: space to hold for metadata blocks: (-k) 6408
tunefs: optimization preference: (-o) time
tunefs: volume label: (-L)Auf tunefs -p /var jedoch nicht:
[2.4.4-RELEASE][root@pfSense.pfSense]/root: tunefs -p /var
tunefs: POSIX.1e ACLs: (-a) disabled
tunefs: NFSv4 ACLs: (-N) disabled
tunefs: MAC multilabel: (-l) disabled
tunefs: soft updates: (-n) disabled
tunefs: soft update journaling: (-j) disabled
tunefs: gjournal: (-J) disabled
tunefs: trim: (-t) disabled
tunefs: maximum blocks per file in a cylinder group: (-e) 4096
tunefs: average file size: (-f) 16384
tunefs: average number of files in a directory: (-s) 64
tunefs: minimum percentage of free space: (-m) 8%
tunefs: space to hold for metadata blocks: (-k) 456
tunefs: optimization preference: (-o) time
tunefs: volume label: (-L)Hm... Ist der TRIM-Befehl aktiv oder nicht? Bzw. worin unterscheiden sich die beiden Abfragen? Was wird bei "tunefs -p /var" eigentlich abgefragt?
Grüsse
Ralf
-
Hallo p54,
ich habe eine Bitte an Dich.
Würdest Du mir Screenshots der Einstellungen Deiner pfBlockerNG-devel-Konfiguration zur Verfügung stellen?
Die Konfigurationsmöglichkeiten bei der pfBlockerNG-devel-Version unterscheiden sich erheblich von der der "normalen" Version. Zumal ich nur eine veraltete pfBlockerNG-Version bei meiner bisherigen, alten Hardware nutzen konnte.Ich sage schonmal: Vielen Dank!
Da das apu.2d4-Board nur eine serielle Schnittstelle zur Verfügung stellt und mir das hantieren mit einem USB-RS232-Adapter zu umständlich ist habe ich mir das hier besorgt: Moxa NPort 5110. Sehr praktisch, da man so per Netzwerk auf die Konsole zugreifen kann und jederzeit mit z. B. Putty im Blick hat bzw. haben kann.
Grüsse
Ralf
-
@raaalf said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
Da das apu.2d4-Board nur eine serielle Schnittstelle zur Verfügung stellt und mir das hantieren mit einem USB-RS232-Adapter zu umständlich ist
Umständlich? Das muß man mir bitte mal erklären. Ich begreife es nicht!
LG
-
Hallo Gladius,
das ist ganz schnell erklärt.
Mit einem USB-RS232-Adapter muss ich vor der apu.2d4 sitzen bzw. bin auf den Radius der USB-Leitung begrenzt.
Mit einem einem Serial-Device-Server kann ich ganz bequem "von überall" (Wohnzimmer, Küche etc.) auf die Konsole zugreifen sofern ich auf das LAN Zugriff habe.Das meine ich mit umständlich.
Grüsse
Ralf
-
@raaalf said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
Mit einem einem Serial-Device-Server kann ich ganz bequem "von überall" (Wohnzimmer, Küche etc.) auf die Konsole zugreifen sofern ich auf das LAN Zugriff habe.
Es gibt doch schon seit der Braunkohle (OpenSSH seit 1999) SSH zu diesem Zweck.
In Verbindung mit OpenVPN greife ich "von der Wüste Gobi" auf die Konsole
(incl. SFTP) zu und brauche dazu weder einen USB-RS232-Adapter noch so ein
von dir genutztes Teil.LG
-
Hm...
Da hast Du schon recht. Aber was ist z. B. bei der Installation von pfSense? Kann man dann auch per SSH darauf zugreifen? Oder wenn es während des Bootens zu Fehlern kommt. Noch bevor SSH überhaupt gestartet wurde?
Oder sehe ich hier etwas komplett falsch?
-
@raaalf said in pfBlocketNG/DNSBL: Es werden keine Pakete gefiltert:
Oder sehe ich hier etwas komplett falsch?
Nein. Gibt es ein Problem beim booten hilft SSH nicht. Bei Installationen sieht es schon
anders aus, wenn es um die Verwendung von USB-RS232 Adaptern usw. geht.Beispiel:
Installation von FreeBSD auf einer ALIX-Kiste. Die ALIX-Kiste bootet nur von CF Card.Kein Problem. Die Installation von FreeBSD erfolgt nicht auf der ALIX-Kiste selbst,
sondern auf einem anderen Rechner. Danach werden von fstab, loader.conf, ttys,
sshd_config, rc.conf modifiziert. CF Card in die ALIX-Kiste stecken, booten
und dann weiter mit SSH.
Ab APU1 bootet FreeBSD/pfSense ja von USB und man greift auf die serielle
Konsole bei der Installation zurück. Da gibt es eben mehrere Möglichkeiten.LG
