当前位置:首页 > 技术教程 > 正文

pfSense常规和高级选项设置教程

一般情况下只需要远程使用基于Web的GUI配置器(webConfigurator)或简称WebGUI来配置pfSense。也可以使用显示器和键盘直接在防火墙控制台执行一些操作,当然也可以通过串行端口或SSH来访问控制台。

连接到WebGUI

要访问防火墙的WebGUI,确保访问设备与防火墙LAN接口处在同一局域网内。全新安装的pfSense系统LAN IP默认地址为192.168.1.1/24,DHCP服务器处于启用状态。将计算机设置为使用DHCP,它将自动获取地址。然后打开浏览器访问https://192.168.1.1。

注意:如果默认LAN子网与WAN子网冲突,则必须先更改LAN子网,然后再将其连接到网络。

可以使用控制台更改LAN IP地址并禁用DHCP:

  • 打开控制台(VGA,串口或从其他接口使用SSH)

  • 从控制台菜单中选择选项2

  • 输入新的LAN IP地址,子网掩码,并指定是否启用DHCP。

  • 如果启用了DHCP,请输入DHCP池的开始和结束地址。

注意:分配新的LAN IP地址时,它不能与WAN或任何其他活动接口处于同一子网中。如果LAN子网中已经存在其他设备,则无法将其设置为与现有主机相同的IP地址。

如果禁用了DHCP服务器,则LAN上的客户端计算机必须在pfSense LAN子网范围配置静态IP地址,如 192.168.1.5,子网掩码必须与pfSense子网掩码保持一致。

确保访问设备与防火墙LAN接口处在同一局域网内,导航至防火墙LAN IP地址。GUI默认情况下监听HTTPS,但是如果浏览器尝试使用HTTP进行连接,它将被防火墙重定向到HTTPS端口。要直接访问GUI而无需重定向,可以直接访问 https://192.168.1.1。

防火墙默认登录用户名和密码为:用户名admin密码pfsense

配置向导

首次登录pfSense®时,防火墙会自动显示配置向导。

单击下一步使用向导启动配置过程。

说明:如果不需要通过配置向导进行安装配置,只需单击页面左上方的pfSense徽标即可随时退出。

pfSense常规和高级选项设置教程  第1张

常规信息

常规信息页面配置防火墙的名称,所在域以及防火墙的DNS服务器。

  • 主机名:

  • 主机名必须以字母开头,它可以只包含字母、数字或连字符。

  • 输入域,例如example.com。如果该网络没有域,请使用.localdomain,其中是另一个标识符:公司名称,姓氏,昵称等。例如, company.localdomain主机名和域名组合在一起组成该防火墙的标准域名。

  • 主要/辅助DNS服务器

  • 如果需要并且已知的话,可以填写主DNS服务器和辅助DNS服务器的IP地址。


    如果DNS解析器将使用其默认设置保持活动状态,则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式(不是转发模式)下处于活动状态,以这种方式设置时,DNS解析器不需要转发DNS服务器,因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器,请在DNS解析器中启用转发模式或使用DNS转发器。

    如果此防火墙具有动态WAN类型,例如DHCP,PPTP或PPPoE,则它们可能会由ISP自动分配,可以保留为空白。

  • 覆盖DNS

  • 选中后,动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器,取消选中此选项。

单击下一步继续。

pfSense常规和高级选项设置教程  第2张

NTP和时区配置

该页面设置与时间相关的选项。

  • 时间服务器主机名

  • 网络时间协议(NTP)服务器主机名或IP地址。除非需要一台特定的NTP服务器,例如LAN上的一台,否则最佳做法是将时间服务器的主机名保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。


    要使用多个时间服务器,请将它们添加到同一栏中,并用空格将每个服务器分隔开。例如,要使用池中的三台NTP服务器,请输入:

    0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

    此编号特定于.pool.ntp.org操作方式,并确保每个地址都从唯一的NTP服务器池中提取,因此同一服务器不会被使用两次。

  • 时区

  • 选择与该防火墙的位置最匹配的地理区域或其他任何所需区域。

单击下一步继续。

pfSense常规和高级选项设置教程  第3张

广域网配置

该页面配置防火墙的WAN接口。这是ISP或上游路由器的外部网络,向导提供了几种常见的ISP连接类型。

  • 广域网类型

  • 选择类型必须与ISP提供的WAN类型匹配。可以是“静态”,“DHCP”,“PPPoE ”和“PPTP”。默认是DHCP。在大多数情况下,默认设置允许防火墙无需额外配置即可“正常工作”。如果WAN类型未知,或者WAN的特定设置未知,则必须从ISP获得配置信息。


    注意:如果WAN接口是无线接口,则向导将提供其他选项,这些其他选项在标准安装向导中不涉及。如果不清楚如何设置,请暂时跳过WAN设置,然后再执行无线配置。

pfSense常规和高级选项设置教程  第4张

  • MAC地址

  • 该字段可以更改WAN网络接口上使用的MAC地址。这也称为“欺骗” MAC地址。


    注意:通过欺骗MAC地址缓解的问题通常是暂时的,并且很容易解决。最好的做法是维护硬件的原始MAC地址,仅在绝对必要时才采取欺骗措施。

    更换现有的网络设备时,更改MAC地址可能有必要。因为有些ISP使用了MAC绑定技术来设置是否允许进行连接。

    注意:如果此防火墙将用作高可用性群集的一部分,请不要使用欺骗MAC地址。

  • MTU

  • MTU字段通常可以留空,但可以在必要时进行更改。在某些情况下,可能需要较低的MTU以确保数据包的大小适合Internet连接。

  • MSS

  • MSS通常可以留空,但可以在必要时进行更改。该字段启用MSS钳位,从而确保TCP数据包大小对于特定Internet连接保持足够小。

pfSense常规和高级选项设置教程  第5张

  • 静态IP配置

  • 如果WAN类型选择了“静态”,则必须全部填写IP地址子网掩码上游网关

pfSense常规和高级选项设置教程  第6张

  • DHCP主机名

  • 仅少数ISP要求填写该此字段。该值与DHCP请求一起发送来获得WAN IP地址。如果该字段的值未知,请尝试将其留为空白,除非ISP另有要求。

pfSense常规和高级选项设置教程  第7张

  • PPPoE配置

  • 当WAN类型选择为PPPoE时,至少需要PPPoE用户名PPPoE密码字段。这些字段的值由ISP确定。


    • PPPoE用户名

    • PPPoE认证的登录名。该格式由ISP控制,但通常使用电子邮件地址样式,例如 myname@example.com

    • PPPoE密码

    • 登录到上述用户名指定的帐户的密码。默认情况下,密码被屏蔽。要查看输入的密码,请选中显示密码字符

    • PPPoE服务名称

    • ISP可能需要PPPoE服务名称,但是通常将其留空。如有疑问,请将其留空或与ISP联系,询问是否有必要。

    • PPPoE按需拨号

    • 使pfSense断开连接/离线,直到请求了需要连接到Internet的数据为止。PPPoE登录发生得非常快,因此在大多数情况下,建立连接时的延迟可以忽略不计。如果公共服务托管在该防火墙后面,请不要选中此选项,因为在这种情况下必须尽可能保持在线连接。另外要注意,此选择不会删除现有连接。

    • PPPoE空闲超时

    • 指定断开连接前pfSense使PPPoE连接保持不发送数据的时间。仅当与按需拨号结合使用时,此功能才有用,并且通常留空(禁用)。


      注意:此选项还需要停用网关监控,否则连接将永远不会空闲。

pfSense常规和高级选项设置教程  第8张

  • PPTP配置

  • PPTP(点对点隧道协议)WAN类型适用于需要PPTP登录的ISP, 而不是用于连接到远程PPTP VPN。这些设置与PPPoE设置非常相似,将由ISP提供。还有一些其他选项:


    • 本地IP地址

    • 该防火墙用来建立PPTP连接的本地(通常是私有)地址。

    • CIDR子网掩码

    • 本地地址的子网掩码。

    • 远端IP地址

    • PPTP服务器地址,通常与本地IP地址在同一子网内。

pfSense常规和高级选项设置教程  第9张

  • 阻止RFC 1918私有网络

  • 阻止试图登录WAN接口的,来自注册私有网络(如192.168.xx和10.xxx)的连接。

  • 阻止Bogon网络

  • 处于活动状态时,如果防火墙来自不应使用的保留IP空间或未分配IP空间,则它将阻止流量进入。Bogon网络列表会在后台定期更新,不需要手动维护。

填写完WAN设置后,单击下一步继续。

pfSense常规和高级选项设置教程  第10张

局域网接口配置

该页面配置LAN IP地址和子网掩码。如果该防火墙无法通过VPN连接到任何其他网络,192.168.1.0/24可以为默认网络。如果此网络必须连接到另一个网络(包括通过远程位置的VPN进行连接),请选择一个私有IP地址范围,该范围比常见的默认IP地址模糊得多192.168.1.0/24。172.16.0.0/12RFC 1918专用地址块中的IP空间通常是最不常用的,因此请在两者之间进行选择172.16.x.x ,172.31.x.x来帮助避免造成VPN连接困难。

如果LAN 192.168.1.x使用无线客户端,并且远程客户端使用无线热点 192.168.1.x(非常常见),则客户端将无法通过VPN进行通信。在这种情况下,192.168.1.x热点是客户端的本地网络,而不是VPN上的远程网络。

如果必须更改LAN IP地址,请在此处输入。如果更改了这些设置,则通过局域网连接的用于完成向导的计算机的IP地址也必须更改。完成配置向导后,释放/更新DHCP租约,或在网络接口上执行“修复”或“诊断”。

pfSense常规和高级选项设置教程  第11张

单击下一步继续。

设置管理员密码

接下来,更改WebGUI的管理密码。最佳做法是使用安全可靠的密码。在管理员密码和确认栏中输入密码,确保正确输入。

单击下一步继续。

注意:不要将密码设置为默认值 pfsense。如果通过WebGUI或SSH访问防火墙管理的访问暴露给Internet,如果防火墙仍使用默认密码,则很容易受到威胁。

pfSense常规和高级选项设置教程  第12张

完成配置向导

单击重新加载,然后WebGUI将应用向导中的设置并重新加载向导更改的服务。

提示:如果在向导中更改了LAN IP地址,并且该向导是从LAN运行的,请在单击重新加载之后相应地调整客户端计算机的IP地址。当提示您再次登录时,输入新密码。用户名保持为 admin

pfSense常规和高级选项设置教程  第13张

此时,防火墙将具有通过WAN与Internet的基本连接,而LAN端的客户端将可以通过此防火墙访问Internet站点。

如果在任何时候必须重复此初始配置,请从WebGUI的“系统>配置向导重新访问该向导。

更改显示的语言

默认WebGUI显示的语言为英文,已建议官方在配置向导中增加语言选择,但目前还没有实现。要更改显示的语言,请导航至System →GeneralSetup→Localization→Language,选中简体中文,保存即可。

接口配置

pfSense®接口配置可以在控制台和配置向导启动时进行,但是在初始设置后,也可以通过访问网络接口菜单来进行更改。

接口管理

初始设置后要添加其他接口可以通过访问网络接口>接口管理来进行。该页面允许分配和创建不同类型的接口。

接口管理选项卡显示了所有当前分配的接口的列表:WAN、LAN和在防火墙上配置的所有OPTx条目。每个接口旁边是系统上找到的所有网络接口/端口的下拉列表。该列表包括硬件接口以及VLAN接口和其他虚拟接口类型。MAC地址、VLAN标识或其他标识信息会在接口名称旁边显示,以帮助标识。其他选项卡与VLAN选项卡非常相似,可用于创建其他接口,然后可以对其进行分配。

要将现有接口分配更改为另一个网络端口,请执行以下操作:

  • 导航到网络接口>接口管理

  • 在列表中找到要更改的接口

  • 从该接口行的下拉列表中选择新的网络端口

  • 点击保存

要从未使用的网络端口列表中添加新接口,请执行以下操作:

  • 导航到网络接口>接口管理

  • 从标记为可用网络端口的下拉列表中选择要使用的端口

  • 点击“ ”添加

此操作将添加另一行,新OPT接口的编号要高于任何现有OPT接口的编号,或者如果这是第一个则附加接口名称为OPT1

接口配置基础

通过从网络接口菜单下选择对应条目来配置接口。例如,要配置WAN接口,请选择网络接口>WAN。在网络接口>WAN下的所有选项都与“配置向导”的“WAN”部分中提到的选项相同。

每个接口都以相同的方式配置,并且任何接口都可以配置为任意接口类型(静态、DHCP、PPPoE等)。另外,可以在任意接口上执行私有网络和Bogon网络的阻止。每个接口(包括WAN和LAN)都可以重命名为自定义名称。此外,只要保持启用至少一个接口,就可以根据需要启用和禁用每个接口。

IPv4的配置类型可以设置为静态IPv4DHCP, PPPoE协议PPPPPTPL2TP,或None,而无需IPv4地址。使用静态IPv4时,可以设置IPv4地址、子网掩码和 IPv4上游网关。如果选择了其他选项当中之一,则出现特定于该类型的字段来配置每种类型。

可以将“ IPv6配置类型”设置为静态IPv6DHCP6SLAAC6rd隧道6to4隧道跟踪接口或设置为None以使接口上未配置IPv6。选择“静态IPv6”时,填写IPv6地址前缀长度Pv6上游网关

如果是无线接口,则该页面将包含许多其他选项来配置接口的无线部分。

注意:从下拉列表中选择一个网关,或添加一个新网关并选中它,pfSense将该接口视为NAT和相关功能的WAN类型接口。这对于内部接口(例如LAN或DMZ)则是不期望看到的。但仍可以在那些接口上将网关用于静态路由和其他目的,而无需在接口页面上选择网关

在GUI中管理列表

pfSense®WebGUI具有一组通用的图标,用于管理整个防火墙中的对象列表和对象集合。并非在每个页面中都使用了每个图标,但是根据其所处的上下文,它们的含义是一致的。此类列表的示例包括防火墙规则,NAT规则,IPsec,OpenVPN和证书。

  • pfSense常规和高级选项设置教程  第14张将新项目添加到列表

  • pfSense常规和高级选项设置教程  第15张将项目添加到列表的开头

  • pfSense常规和高级选项设置教程  第16张将项目添加到列表的末尾

  • pfSense常规和高级选项设置教程  第17张编辑现有项目

  • pfSense常规和高级选项设置教程  第18张复制一个项目(根据所选项目创建一个新项目)

  • pfSense常规和高级选项设置教程  第19张禁用活动项目

  • pfSense常规和高级选项设置教程  第20张启用禁用的项目

  • pfSense常规和高级选项设置教程  第21张删除项目

  • pfSense常规和高级选项设置教程  第22张选择一个或多个项目后用于移动条目。单击则将所选项目移动到此行上方。按住Shift键并单击则将所选项目移动到该行下方。

提示:要确定图标将执行的操作,请将鼠标指针悬停在图标上,然后就会显示图标的简短说明。

使用快捷键快速浏览GUI

GUI的许多区域在该区域中都存在快捷方式图标。这些快捷方式图标减少了查找相关页面所需的搜索量,从而使防火墙管理员可以在服务的状态页面、日志和配置之间快速导航。给定主题的快捷方式出现在与该主题相关的每个页面上。

pfSense常规和高级选项设置教程  第23张

在上图中,快捷方式具有以下效果:

  • pfSense常规和高级选项设置教程  第24张 启动服务 如果服务已停止,则此图标将启动服务。

  • pfSense常规和高级选项设置教程  第25张 重新启动服务 如果服务正在运行,则此图标将重新启动服务。

  • pfSense常规和高级选项设置教程  第26张 停止服务 如果服务正在运行,则此图标将停止服务。

  • pfSense常规和高级选项设置教程  第27张 相关设定 出现此图标时,它将导航到该部分的设置页面。

  • pfSense常规和高级选项设置教程  第28张 状态页链接 如果存在,则指向此部分状态页的链接。

  • pfSense常规和高级选项设置教程  第29张 日志页面链接 如果此部分具有相关的日志页面,则此图标链接到该页面。

  • pfSense常规和高级选项设置教程  第30张 帮助链接 加载此页面的相关帮助主题。

服务状态”页面(状态>系统服务)还有用于与每个服务相关的页面的快捷控件,如下图所示。图标的含义与上一节中的含义相同。

pfSense常规和高级选项设置教程  第31张

常规设置