pfSense book之配置:控制台菜单介绍

可以从pfSense®控制台执行基本的配置和维护任务。可以使用键盘和监视器、串行控制台或SSH来使用控制台。

*** Welcome to pfSense 2.4.5-RELEASE-p1 (amd64) on pfsense ***

WAN (wan)       -> vmx0       -> v4/DHCP4: 198.51.100.6/24
                                 v6/DHCP6: 2001:db8::20c:29ff:fe78:6e4e/64
LAN (lan)       -> vmx1       -> v4: 10.6.0.1/24
                                 v6/t6: 2001:db8:1:eea0:20c:29ff:fe78:6e58/64

0) Logout (SSH only)                  9) pfTop
1) Assign Interfaces                 10) Filter Logs
2) Set interface(s) IP address       11) Restart webConfigurator
3) Reset webConfigurator password    12) PHP shell + pfSense tools
4) Reset to factory defaults         13) Update from console
5) Reboot system                     14) Disable Secure Shell (sshd)
6) Halt system                       15) Restore recent configuration
7) Ping host                         16) Restart PHP-FPM
8) Shell

1)分配接口

此选项将重新启动接口分配任务,可以创建VLAN接口,重新分配现有接口或分配新接口。

2)设置接口IP地址

设置接口IP地址的脚本可以设置WAN、LAN或OPT接口IP地址,但是此脚本还有其他有用的功能:

  • 防火墙提示启用或禁用接口的DHCP服务,并设置DHCP IP地址范围(如果已启用)。
  • 如果防火墙GUI配置为HTTPS访问,则菜单提示切换到HTTP。这在SSL配置无法正常运行的情况下可以提供帮助。
  • 如果已禁用LAN上的防锁定规则,则该脚本将启用防锁定规则,以防用户被锁定在GUI之外。

3)重置webConfigurator密码

该菜单选项调用脚本来重置admin帐户密码和状态。密码重置为默认值pfsense

该脚本还采取了一些其他措施来帮助重新获得进入防火墙的权限:

  • 如果GUI身份验证源设置为远程服务器(例如RADIUS或LDAP),则会提示将身份验证源返回到本地数据库。
  • 如果admin帐户被删除,则脚本将重新创建该帐户。
  • 如果admin被禁用,则脚本将重新启用该帐户。

4)重置为出厂默认设置

该菜单选项将系统配置恢复为出厂默认值。它还会删除所有已安装的软件包。

注意:该操作不会对文件系统进行任何其他更改。如果系统文件损坏或更改,那么建议先进行备份,然后从安装介质重新安装。

WebGUI的系统诊断>出厂默认也提供了相同的操作。

5)重启系统

该菜单选项将完全关闭pfSense防火墙并重新启动操作系统。

根据硬件支持,此页面上可能还会显示一些高级选项:

正常重启
以传统方式执行正常重启。
重新引导
此选项不会执行完全重新引导,而是“重新引导”模式的引导。所有正在运行的进程都将被终止,所有文件系统都将被重新挂载,然后系统重新启动。这种类型的重新启动要快得多,因为它不会重置硬件,不重新加载内核或不需要执行硬件检测过程。
重新启动进入单用户模式
出于诊断目的,这会将防火墙重新启动为单用户模式。防火墙无法自动从此状态中恢复,需要控制台访问权限才能使用单用户模式并重新启动防火墙。该菜单选项在SG-1000上不可用。

注意:在单用户模式下,根文件系统默认为只读,而其他文件系统未安装。防火墙也没有活动的网络连接。此选项只能在支持代表或具有高级知识的FreeBSD用户的指导下使用。

重新启动并运行文件系统检查
这将重新启动防火墙,并使用强制文件系统检查fsck,运行五次。此操作通常可以纠正防火墙上文件系统的问题。该菜单选项在SG-1000上不可用。

注意:单用户模式和文件系统检查选项要求输入大写字母以确认操作。为避免意外激活选项,这是必要的。可以使用大写或小写形式输入重新引导选项。

WebGUI的系统诊断>重启系统也提供相同操作。

6)关闭系统

该选项可以完全关闭防火墙,并停止或关闭电源。

注意:我们强烈不鼓励正在运行的系统断开电源。断电之前手动关闭系统是最安全的做法。

WebGUI的系统诊断>关闭系统也提供相同操作。

7)Ping主机

该菜单选项运行一个脚本,该脚本尝试连接主机以确认是否可以通过连接的网络访问主机。该脚本提示用户输入IP地址,然后向该目标主机发送三个ICMP回显请求。

该脚本显示测试的输出,包括接收到的数据包数量,序列号,响应时间和数据包丢失百分比。

给定IPv4地址或主机名时,脚本使用ping;给定IPv6地址时,脚本使用ping6。

8)shell

此菜单选项启动命令行shell程序。shell非常有用且功能强大。大多数pfSense用户并不需要接触shell。

复杂的配置任务可能需要在Shell中进行操作,并且一些故障排除任务更容易从Shell中完成,但是操作不当有可能对系统造成无法弥补的损失。

经验丰富的FreeBSD用户可能在这里有点熟悉的感觉,但是pfSense系统上没有FreeBSD上的许多命令,因为出于安全和大小方面的考虑,删除了操作系统不必要的部分。

以这种方式启动的shell使用tcsh,而唯一可用的其他shell是sh。虽然可以方便用户安装其他shell,但我们不建议也不支持使用其他shell。

9)pfTop

该菜单选项调用pftop,pftop显示防火墙状态以及它们已发送和接收的数据量的实时视图。它可以帮助查明当前使用大量带宽的会话,还可以帮助诊断其他网络连接问题。

10)过滤日志

该选项以原始格式实时显示防火墙日志条目。原始日志每行包含的信息比WebGUI中的日志视图(系统状态>系统日志防火墙选项卡)多得多,但并非所有这些信息都易于阅读。

提示:要以较低的详细信息实时简化日志的控制台视图,请使用此shell命令:

clog -f /var/log/filter.log | filterparser.php

11)重新启动webConfigurator

该选项将重新启动运行WebGUI(nginx)的系统进程。在极少数情况下,该进程可能已停止,重新启动该过程将恢复对GUI的访问。如果GUI没有响应,并且此选项不能恢复访问,请在使用此菜单选项后调用菜单选项16以重新启动PHP-FPM。

12)PHP Shell + pfSense工具

PHP Shell是一个强大的实用程序,可以在正在运行的系统的上下文中执行PHP代码。与普通shell一样,使用它也有潜在的危险。它主要由对PHP和pfSense代码库都非常熟悉的开发人员和经验丰富的用户使用。

运行脚本

PHP Shell有多个回放脚本,它们可以自动执行简单的任务或启用对GUI的访问。

这些脚本从PHP shell内运行,如下所示:

pfSense shell: playback scriptname

它们也可以从命令行运行:

# pfSsh.php playback scriptname

changepassword

此脚本更改用户的密码,并且在禁用或过期时还提示重置帐户属性。

disablecarp / enablecarp

这些脚本禁用和启用CARP高可用性功能,并将停用CARP类型的虚拟IP地址。此操作不会在重新启动后持续。

disablecarpmaint / enablecarpmaint

这些脚本禁用和启用CARP维护模式,该模式将使CARP保持活动状态,但会降级该节点,以便其他节点可以控制。此维护模式将在重新启动后持续存在。

disabledhcpd

该脚本将从防火墙中删除所有DHCP配置,从而有效地禁用DHCP服务并完全删除其所有设置。

disablereferercheck

该脚本禁用浏览器HTTP_REFERER检查 。如果浏览器会话触发了此保护,则可以帮助访问GUI。

enableallowallwan

该脚本向WAN接口添加了IPv4和IPv6的允许所有规则。

注意:使用此选项时要格外小心,这是在LAN无法使用的情况下访问防火墙的WAN接口上的服务的一种临时措施。一旦LAN访问规则添加到位,请删除此脚本添加的规则。

enabledshd

该脚本启用SSH守护程序,与控制台菜单选项或GUI选项相同。

externalconfiglocator

该脚本将在外部设备(例如U盘上)上查找config.xml文件,并将其移动到适当的位置以供防火墙使用。

gatewaystatus

该脚本打印当前网关状态和统计信息。它还接受一个可选参数brief,该参数仅显示网关名称和状态,而忽略地址和统计数据。

generateguicert

该脚本为防火墙创建一个新的自签名证书,并将其激活在GUI中使用。这在以前的证书无效或无法使用的情况下很有用。它还使用防火墙主机名和其他自定义信息填充证书详细信息,以更好地标识主机。

gitsync

这个复杂的脚本将PHP和其他脚本源与pfSense github存储库中的文件同步。注意:在其他情况下使用该脚本可能很危险。仅在有经验的开发人员或支持代表的指导下使用此功能。如果脚本运行时没有任何参数,它将打印一条帮助信息,介绍其用法。可以在这里找到更多信息。

installpkg / listpkg / uninstallpkg

这些脚本以与GUI类似的方式与pfSense软件包系统连接。它们主要用于调试软件包问题,将config.xml中的信息与软件包数据库进行比较。

pfanchordrill

该脚本以递归方式搜索pf锚点,并打印找到的所有NAT或防火墙规则。这可以帮助跟踪诸如relayd负载均衡器之类的意外行为,这些行为依赖于锚中的规则,而这些规则在GUI中是不可见的。

pftabledrill

该脚本打印所有pf表的内容,这些表包含防火墙别名中使用的地址,以及内置系统表的功能,这些功能包括Bogon网络阻止,snort和GUI / SSH锁定。该脚本可用于检查是否在任何表中找到了特定的IP地址,而不是单独进行搜索。

removepkgconfig

该脚本从正在运行的config.xml中删除软件包配置数据的所有痕迹。如果软件包的设置已损坏或以其他方式使软件包处于不一致状态,则此功能很有用。

removeshaper

此脚本删除ALTQ流量整形器设置,如果整形器配置阻止规则加载或以其他方式不正确并阻止防火墙正常运行,则该脚本将很有用。

resetwebgui

该脚本重置窗口小部件、仪表板列、主题和其他与GUI相关的设置的GUI设置。如果无法正常工作,它可以使GUI(特别是仪表板)返回到稳定状态。

restartdhcpd

该脚本停止并重新启动DHCP守护程序。

restartipsec

该脚本重写并重新加载StrongSwan的IPsec配置。

svc

该脚本可控制防火墙上运行的服务,与状态>系统服务进行交互。

命令形式为:

playback svc <action> <service name> [service-specific options]

action参数可以是stopstartrestart

service name是显示在 状态>系统服务服务名称。如果名称中包含空格,请将该名称用引号引起来。service-specific options(服务特定选项)取决于服务,它们是用来唯一标识具有多个实例,如OpenVPN的或强制网络门户项服务。

例如:

  • 停止miniupnpd:
pfSsh.php playback svc stop miniupnpd
  • 重新启动ID为2的OpenVPN客户端:
pfSsh.php playback svc restart openvpn client 2
  • 启用“MyZone”区域的强制门户进程:
pfSsh.php playback svc start captiveportal MyZone

13)从控制台升级

此菜单选项运行pfSense-upgrade脚本将防火墙升级到最新的可用版本。这在操作上与从GUI运行升级相同,并且需要有效的网络连接才能连接更新服务器。

14)启用/禁用安全shell(sshd)

此菜单切换安全Shell守护程序sshd的状态。此选项与WebGUI中启用或禁用SSH的选项相同,但可从控制台访问。

15)恢复最近的配置

此菜单启动一个脚本,该脚本列出并能从历史配置记录中还原备份。类似于系统诊断>备份恢复中访问配置历史记录

该脚本可以显示最近几个配置文件,以及时间戳和配置中所做更改的说明,进行更改的用户和IP地址以及配置修订。如果最近的配置错误意外删除了对GUI的访问权限,则可以通过功能进行恢复。

16)重新启动PHP-FPM

此菜单将停止并重新启动处理的PHP进程的守护进程 nginx。如果GUI Web服务器进程正在运行,但无法执行PHP脚本,请调用此选项。与重新启动webConfigurator一起运行此选项可获得最佳结果。