Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2

  VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — "admin" И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1

  Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: "Secondary IP Move" и "Dataplane Interface Move". Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"

OpenVPN — Исключить определенные IP или сети из маршрутов

Для того, чтобы исключить определенный диапазон или IP адрес необходимо добавить параметр "net_gateway". К примеру, необходимо чтобы сеть "10.0.0.0/8" маршрутизировалась через VPN, но при этом исключить из маршрута сеть "10.0.1.0/24" запись в конфигурационном файле будет выглядеть следующим образом:

Systemd — Монтирование NFS директории через OpenVPN

Так как все что перечислено в "fstab" монтируется при запуске системы, еще до запуска сети, то примонтировать директорию получится если добавить опцию "_netdev". Но если NFS директория доступна только через VPN, который уже стартует после запуска сети то остается вариант "rc.local" или смонтировать диск используя Systemd. В данном примере дано следующее: [email protected] — имя OpenVPN … Продолжить читать "Systemd — Монтирование NFS директории через OpenVPN"

Dante — Socks proxy

Цель: Получить Socks proxy сервер с подключением без авторизации. Установка проходила на CentOS 7. Устанавливаем Dante: Открываем файл конфигурации:

OpenVPN — Выборочный траффик (mail.ru, yandex.ru, vk.com, ok.ru, kaspersky.ru)

Цель: Пустить через VPN только сети, которые попадают под запрет, остальные должны идти "напрямую". Так же важно удобство подключения устройств, кроссплатформенность, скорость и безопасность. Все шаги были выполнены на CentOS 7. Установим репозиторий EPEL, если его еще нет в системе и установим нужные пакеты: Создаем файл конфигурации:

OpenVPN — Весь траффик через VPN

Цель: Пустить весь траффик с любого из устройств через VPN. Максимальное удобство подключение новых устройств, без создания учетных записей, создание паролей и т.д. Быстрое и шифрованное подключение. Все шаги были выполнены на CentOS 7. Установим репозиторий EPEL, если его еще нет в системе и установим нужные пакеты: Создаем файл конфигурации:

OpenVPN — Site-to-Site

Цель: Связать 2 удаленных ноды в между собой, чтобы общение между ними для них было "прозрачно". Так же важна стабильность канала, скорость и конечно же безопасность. Представим, что есть 2 ноды: Server — IP 1.1.1.1 Client — IP 2.2.2.2 Установим на них OpenVPN CentOS: Ubuntu: