pfSense book之配置:常规和高级选项设置

一般情况下只需要远程使用基于Web的GUI配置器(webConfigurator)或简称WebGUI来配置pfSense。也可以使用显示器和键盘直接在防火墙控制台执行一些操作,当然也可以通过串行端口或SSH来访问控制台。

连接到WebGUI

要访问防火墙的WebGUI,确保访问设备与防火墙LAN接口处在同一局域网内。全新安装的pfSense系统LAN IP默认地址为192.168.1.1/24,DHCP服务器处于启用状态。将计算机设置为使用DHCP,它将自动获取地址。然后打开浏览器访问https://192.168.1.1。

注意:如果默认LAN子网与WAN子网冲突,则必须先更改LAN子网,然后再将其连接到网络。

可以使用控制台更改LAN IP地址并禁用DHCP:

  • 打开控制台(VGA,串口或从其他接口使用SSH)
  • 从控制台菜单中选择选项2
  • 输入新的LAN IP地址,子网掩码,并指定是否启用DHCP。
  • 如果启用了DHCP,请输入DHCP池的开始和结束地址。

注意:分配新的LAN IP地址时,它不能与WAN或任何其他活动接口处于同一子网中。如果LAN子网中已经存在其他设备,则无法将其设置为与现有主机相同的IP地址。

如果禁用了DHCP服务器,则LAN上的客户端计算机必须在pfSense LAN子网范围配置静态IP地址,如 192.168.1.5,子网掩码必须与pfSense子网掩码保持一致。

确保访问设备与防火墙LAN接口处在同一局域网内,导航至防火墙LAN IP地址。GUI默认情况下监听HTTPS,但是如果浏览器尝试使用HTTP进行连接,它将被防火墙重定向到HTTPS端口。要直接访问GUI而无需重定向,可以直接访问 https://192.168.1.1。

防火墙默认登录用户名和密码为:用户名admin密码pfsense

配置向导

首次登录pfSense®时,防火墙会自动显示配置向导。

单击下一步使用向导启动配置过程。

说明:如果不需要通过配置向导进行安装配置,只需单击页面左上方的pfSense徽标即可随时退出。


常规信息

常规信息页面配置防火墙的名称,所在域以及防火墙的DNS服务器。

主机名:
主机名必须以字母开头,它可以只包含字母、数字或连字符。
输入域,例如example.com。如果该网络没有域,请使用.localdomain,其中是另一个标识符:公司名称,姓氏,昵称等。例如, company.localdomain主机名和域名组合在一起组成该防火墙的标准域名。
主要/辅助DNS服务器
如果需要并且已知的话,可以填写主DNS服务器和辅助DNS服务器的IP地址。

如果DNS解析器将使用其默认设置保持活动状态,则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式(不是转发模式)下处于活动状态,以这种方式设置时,DNS解析器不需要转发DNS服务器,因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器,请在DNS解析器中启用转发模式或使用DNS转发器。

如果此防火墙具有动态WAN类型,例如DHCP,PPTP或PPPoE,则它们可能会由ISP自动分配,可以保留为空白。

覆盖DNS
选中后,动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器,取消选中此选项。

单击下一步继续。


NTP和时区配置

该页面设置与时间相关的选项。

时间服务器主机名
网络时间协议(NTP)服务器主机名或IP地址。除非需要一台特定的NTP服务器,例如LAN上的一台,否则最佳做法是将时间服务器的主机名保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。

要使用多个时间服务器,请将它们添加到同一栏中,并用空格将每个服务器分隔开。例如,要使用池中的三台NTP服务器,请输入:

0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

此编号特定于.pool.ntp.org操作方式,并确保每个地址都从唯一的NTP服务器池中提取,因此同一服务器不会被使用两次。

时区
选择与该防火墙的位置最匹配的地理区域或其他任何所需区域。

单击下一步继续。


广域网配置

该页面配置防火墙的WAN接口。这是ISP或上游路由器的外部网络,向导提供了几种常见的ISP连接类型。

广域网类型
选择类型必须与ISP提供的WAN类型匹配。可以是“静态”,“DHCP”,“PPPoE ”和“PPTP”。默认是DHCP。在大多数情况下,默认设置允许防火墙无需额外配置即可“正常工作”。如果WAN类型未知,或者WAN的特定设置未知,则必须从ISP获得配置信息。

注意:如果WAN接口是无线接口,则向导将提供其他选项,这些其他选项在标准安装向导中不涉及。如果不清楚如何设置,请暂时跳过WAN设置,然后再执行无线配置。


MAC地址
该字段可以更改WAN网络接口上使用的MAC地址。这也称为“欺骗” MAC地址。

注意:通过欺骗MAC地址缓解的问题通常是暂时的,并且很容易解决。最好的做法是维护硬件的原始MAC地址,仅在绝对必要时才采取欺骗措施。

更换现有的网络设备时,更改MAC地址可能有必要。因为有些ISP使用了MAC绑定技术来设置是否允许进行连接。

注意:如果此防火墙将用作高可用性群集的一部分,请不要使用欺骗MAC地址。

MTU
MTU字段通常可以留空,但可以在必要时进行更改。在某些情况下,可能需要较低的MTU以确保数据包的大小适合Internet连接。
MSS
MSS通常可以留空,但可以在必要时进行更改。该字段启用MSS钳位,从而确保TCP数据包大小对于特定Internet连接保持足够小。


静态IP配置
如果WAN类型选择了“静态”,则必须全部填写IP地址子网掩码上游网关


DHCP主机名
仅少数ISP要求填写该此字段。该值与DHCP请求一起发送来获得WAN IP地址。如果该字段的值未知,请尝试将其留为空白,除非ISP另有要求。


PPPoE配置
当WAN类型选择为PPPoE时,至少需要PPPoE用户名PPPoE密码字段。这些字段的值由ISP确定。

PPPoE用户名
PPPoE认证的登录名。该格式由ISP控制,但通常使用电子邮件地址样式,例如 myname@example.com
PPPoE密码
登录到上述用户名指定的帐户的密码。默认情况下,密码被屏蔽。要查看输入的密码,请选中显示密码字符
PPPoE服务名称
ISP可能需要PPPoE服务名称,但是通常将其留空。如有疑问,请将其留空或与ISP联系,询问是否有必要。
PPPoE按需拨号
使pfSense断开连接/离线,直到请求了需要连接到Internet的数据为止。PPPoE登录发生得非常快,因此在大多数情况下,建立连接时的延迟可以忽略不计。如果公共服务托管在该防火墙后面,请不要选中此选项,因为在这种情况下必须尽可能保持在线连接。另外要注意,此选择不会删除现有连接。
PPPoE空闲超时
指定断开连接前pfSense使PPPoE连接保持不发送数据的时间。仅当与按需拨号结合使用时,此功能才有用,并且通常留空(禁用)。

注意:此选项还需要停用网关监控,否则连接将永远不会空闲。


PPTP配置
PPTP(点对点隧道协议)WAN类型适用于需要PPTP登录的ISP, 而不是用于连接到远程PPTP VPN。这些设置与PPPoE设置非常相似,将由ISP提供。还有一些其他选项:

本地IP地址
该防火墙用来建立PPTP连接的本地(通常是私有)地址。
CIDR子网掩码
本地地址的子网掩码。
远端IP地址
PPTP服务器地址,通常与本地IP地址在同一子网内。


阻止RFC 1918私有网络
阻止试图登录WAN接口的,来自注册私有网络(如192.168.xx和10.xxx)的连接。
阻止Bogon网络
处于活动状态时,如果防火墙来自不应使用的保留IP空间或未分配IP空间,则它将阻止流量进入。Bogon网络列表会在后台定期更新,不需要手动维护。

填写完WAN设置后,单击下一步继续。


局域网接口配置

该页面配置LAN IP地址和子网掩码。如果该防火墙无法通过VPN连接到任何其他网络,192.168.1.0/24可以为默认网络。如果此网络必须连接到另一个网络(包括通过远程位置的VPN进行连接),请选择一个私有IP地址范围,该范围比常见的默认IP地址模糊得多192.168.1.0/24。172.16.0.0/12RFC 1918专用地址块中的IP空间通常是最不常用的,因此请在两者之间进行选择172.16.x.x ,172.31.x.x来帮助避免造成VPN连接困难。

如果LAN 192.168.1.x使用无线客户端,并且远程客户端使用无线热点 192.168.1.x(非常常见),则客户端将无法通过VPN进行通信。在这种情况下,192.168.1.x热点是客户端的本地网络,而不是VPN上的远程网络。

如果必须更改LAN IP地址,请在此处输入。如果更改了这些设置,则通过局域网连接的用于完成向导的计算机的IP地址也必须更改。完成配置向导后,释放/更新DHCP租约,或在网络接口上执行“修复”或“诊断”。


单击下一步继续。

设置管理员密码

接下来,更改WebGUI的管理密码。最佳做法是使用安全可靠的密码。在管理员密码和确认栏中输入密码,确保正确输入。

单击下一步继续。

注意:不要将密码设置为默认值 pfsense。如果通过WebGUI或SSH访问防火墙管理的访问暴露给Internet,如果防火墙仍使用默认密码,则很容易受到威胁。


完成配置向导

单击重新加载,然后WebGUI将应用向导中的设置并重新加载向导更改的服务。

提示:如果在向导中更改了LAN IP地址,并且该向导是从LAN运行的,请在单击重新加载之后相应地调整客户端计算机的IP地址。当提示您再次登录时,输入新密码。用户名保持为 admin


此时,防火墙将具有通过WAN与Internet的基本连接,而LAN端的客户端将可以通过此防火墙访问Internet站点。

如果在任何时候必须重复此初始配置,请从WebGUI的“系统>配置向导重新访问该向导。

更改显示的语言

默认WebGUI显示的语言为英文,已建议官方在配置向导中增加语言选择,但目前还没有实现。要更改显示的语言,请导航至System →GeneralSetup→Localization→Language,选中简体中文,保存即可。

接口配置

pfSense®接口配置可以在控制台和配置向导启动时进行,但是在初始设置后,也可以通过访问网络接口菜单来进行更改。

接口管理

初始设置后要添加其他接口可以通过访问网络接口>接口管理来进行。该页面允许分配和创建不同类型的接口。

接口管理选项卡显示了所有当前分配的接口的列表:WAN、LAN和在防火墙上配置的所有OPTx条目。每个接口旁边是系统上找到的所有网络接口/端口的下拉列表。该列表包括硬件接口以及VLAN接口和其他虚拟接口类型。MAC地址、VLAN标识或其他标识信息会在接口名称旁边显示,以帮助标识。其他选项卡与VLAN选项卡非常相似,可用于创建其他接口,然后可以对其进行分配。

要将现有接口分配更改为另一个网络端口,请执行以下操作:

  • 导航到网络接口>接口管理
  • 在列表中找到要更改的接口
  • 从该接口行的下拉列表中选择新的网络端口
  • 点击保存

要从未使用的网络端口列表中添加新接口,请执行以下操作:

  • 导航到网络接口>接口管理
  • 从标记为可用网络端口的下拉列表中选择要使用的端口
  • 点击“ ”添加

此操作将添加另一行,新OPT接口的编号要高于任何现有OPT接口的编号,或者如果这是第一个则附加接口名称为OPT1

接口配置基础

通过从网络接口菜单下选择对应条目来配置接口。例如,要配置WAN接口,请选择网络接口>WAN。在网络接口>WAN下的所有选项都与“配置向导”的“WAN”部分中提到的选项相同。

每个接口都以相同的方式配置,并且任何接口都可以配置为任意接口类型(静态、DHCP、PPPoE等)。另外,可以在任意接口上执行私有网络和Bogon网络的阻止。每个接口(包括WAN和LAN)都可以重命名为自定义名称。此外,只要保持启用至少一个接口,就可以根据需要启用和禁用每个接口。

IPv4的配置类型可以设置为静态IPv4DHCP, PPPoE协议PPPPPTPL2TP,或None,而无需IPv4地址。使用静态IPv4时,可以设置IPv4地址、子网掩码和 IPv4上游网关。如果选择了其他选项当中之一,则出现特定于该类型的字段来配置每种类型。

可以将“ IPv6配置类型”设置为静态IPv6DHCP6SLAAC6rd隧道6to4隧道跟踪接口或设置为None以使接口上未配置IPv6。选择“静态IPv6”时,填写IPv6地址前缀长度Pv6上游网关

如果是无线接口,则该页面将包含许多其他选项来配置接口的无线部分。

注意:从下拉列表中选择一个网关,或添加一个新网关并选中它,pfSense将该接口视为NAT和相关功能的WAN类型接口。这对于内部接口(例如LAN或DMZ)则是不期望看到的。但仍可以在那些接口上将网关用于静态路由和其他目的,而无需在接口页面上选择网关

在GUI中管理列表

pfSense®WebGUI具有一组通用的图标,用于管理整个防火墙中的对象列表和对象集合。并非在每个页面中都使用了每个图标,但是根据其所处的上下文,它们的含义是一致的。此类列表的示例包括防火墙规则,NAT规则,IPsec,OpenVPN和证书。

将新项目添加到列表
将项目添加到列表的开头
将项目添加到列表的末尾
编辑现有项目
复制一个项目(根据所选项目创建一个新项目)
禁用活动项目
启用禁用的项目
删除项目
选择一个或多个项目后用于移动条目。单击则将所选项目移动到此行上方。按住Shift键并单击则将所选项目移动到该行下方。

提示:要确定图标将执行的操作,请将鼠标指针悬停在图标上,然后就会显示图标的简短说明。

使用快捷键快速浏览GUI

GUI的许多区域在该区域中都存在快捷方式图标。这些快捷方式图标减少了查找相关页面所需的搜索量,从而使防火墙管理员可以在服务的状态页面、日志和配置之间快速导航。给定主题的快捷方式出现在与该主题相关的每个页面上。


在上图中,快捷方式具有以下效果:

启动服务 如果服务已停止,则此图标将启动服务。
重新启动服务 如果服务正在运行,则此图标将重新启动服务。
停止服务 如果服务正在运行,则此图标将停止服务。
相关设定 出现此图标时,它将导航到该部分的设置页面。
状态页链接 如果存在,则指向此部分状态页的链接。
日志页面链接 如果此部分具有相关的日志页面,则此图标链接到该页面。
帮助链接 加载此页面的相关帮助主题。

服务状态”页面(状态>系统服务)还有用于与每个服务相关的页面的快捷控件,如下图所示。图标的含义与上一节中的含义相同。


常规设置

发表评论

电子邮件地址不会被公开。 必填项已用*标注