下载并创建可启动的基于pfSense USB的安装程序
首先去https://www.pfsense.org/download/下载最新版本的pfSense安装程序,当前最新版本是2.34,其他版本的安装大同小异。
下载64位pfsense ISO安装文件,用UltraISO软件将ISO文件写到2G以上的U盘上进行安装。如果有光驱,也可以直接刻录光盘用光驱进行安装。也可以使用WINPE直接安装,我将在另一篇文章中进行介绍。
设置BIOS,方便pfSense 安装
· 关闭主板的AHCI功能,选择ATA 磁盘模式。
· 禁用其他不使用到的功能。
安装
将U盘插入可用的USB端口,然后从U盘启动系统。根据主板的不同,需要使用不同的功能按键选择启动选项或设置BIOS中的引导菜单进行U盘引导。
经过短暂的等待,您将看到一个提示,按“I”启动安装程序,将开始安装pfSense到本地硬盘。
Configure Console(控制台设置)
将显示第一个屏幕,可以修改控制台设置。选择‘Accept thesesettings(接受这些设置)’。
Select Task(选择任务)
如果安装到系统中的第一个硬盘,请选择“Easy Install(简易安装)”。自定义安装可以选择特定的磁盘并自定义初始化选项。
确定后,安装程序将继续进行格式化,并将pfSense文件复制到本地硬盘。
Install Kernel(安装内核)
当提示安装内核时,选择“Standard Kerne(标准内核)”。
Reboot(重启)
经过短暂的等待,将会看到一个重新启动的选项。选择“(Reboot)重启”,当系统达到适当的状态时(最好在重启完成,进行再次引导前),取出USB引导磁盘,并从系统磁盘引导。
Initial Configuration(初始配置)
重新启动后,等待数分钟,将会看到下面的画面。
默认情况下,安装程序将第一个网卡配置为通过DHCP获取地址的WAN端口,将第二个网卡配置为LAN接口,并配置地址为192.168.1.1的。 LAN接口会开启DHCP服务,如果将PC连接到此端口,IP设为自动获取,会自动获取与LAN同一网段的地址(也可以手动设置),这样我们就可以访问GUI来继续进行后面的配置。
First login(第一次登陆)
打开浏览器并在地址栏中输入http://192.168.1.1,应该看到如下所示的登录画面。
输入用户名“admin”和密码“pfsense”进行登陆。
pfSense wizard setup(设置向导)
向导将引导你完成初始配置步骤。
选择下一步开始。
Bling your pfsense with pfSense gold(会员服务)
这个页面显示您将获得购买pfSense黄金订阅的机会(当然要花钱的,还是美元,略过),其中包括自动备份,定期视频会议等,其实最主要是pfsense的指导手册,这个要卖一百多美元。
选择“下一步”继续。
General Information(常规信息)
按照以下指定配置此页面。我们将使用OpenDNS服务器进行初始DNS解析。
· Hostname(主机名): pfSense
· Domain(域): local.lan
· Primary DNS server(第一个DNS): 208.67.222.222
· Secondary DNS server(第二个DNS): 208.67.220.220
· Allow DNS to be over ridden on WAN(允许在WAN覆盖DNS): unticked(取消选中)
· Select Next(选择下一步)
Configure NTP(配置NTP)
默认的时间服务器主机名通常不需要修改,时区必须设置为你自己的位置。
· Time server hostname(时间服务器主机名):0.pfsense.pool.ntp.org
· Timezone(时区): 根据自己的实际进行设置,国内一般选上海或香港。
· Select Next(选择下一步)
Configure WAN Interface(配置WAN接口)
配置此页面如下。大多数选项将保持默认状态,即为空。
Configure WANInterface(配置WAN接口)
· Selected Type(选择类型): DHCP
其他保持默认设置就可以了。如果是固定IP上网,或PPPOE拨号上网,在“Selected Type”上选择正确的类型并在下面正确设置各项参数。
RFC1918 networks(RFC1918网络)
· Block RFC1918 Private networks(阻止RFC1918专用网络): [√]选中
Block BOGONnetworks(阻止BOGON网络)
· Block bogon netwoks(阻止BOGON网络): [√]选中
Select next tocontinue(选择下一步并继续)。
Configure LAN Interface(配置LAN接口)
如果需要,在这里给LAN接口一个特定的地址。在这里我们保留为192.168.1.1不进行修改。
· LAN IP address(LAN IP地址): 192.168.1.1
· Subnet mask(子网掩码): 24
Select Next tocontinue(选择下一步并继续)。
Set Admin WebGUIPassword(设置管理员访问密码)
设置一个复杂的密码来保护防止未经授权访问Web界面。
· Admin Password(管理员密码): a strongpassword(第一次输入)
· Admin password again(确认): a strongpassword again(与第一次相同)
Select Next tocontinue(选择下一步并继续)。
Enter thedashboard…(系统面板)
点击“Here”进入pfsensewebConfigurator,将会看到系统面板,我们将配置系统的其余部分。
Admin access configuration(管理员访问配置)
我们将首先使用页面顶部的菜单栏设置一些常规配置选项。
导航到System > Advanced > Admin Access
Web Configurator(Web访问配置)
为了增加安全性,可以通过HTTPS设置GUI访问,并选择443以外的端口,使用445其原因之一是确保我们可以生成安全的防锁定规则,这将阻止我们将自己锁定在GUI之外,后面我们会创建相应的防火墙规则。
· Protocol(协议): HTTPS
· SSL certificate(SSL证书): webConfigurator default(默认)
· TCP Port(TCP端口): 445 (或你指定的其他端口)
· Max processes(同时访问用户数): 2
· WebGUI redirect, Disable webConfigurator redirect(WebGUI重定向,禁用webConfigurator重定向): [√]选中
· WebGUI login autocomplete, Enable webConfigurator login(WebGUI登录自动完成,启用webConfigurator登录): [ ]不选
· Anti-lockout(防锁设置): [√] DisablewebConfigurator anti-lockout rule(禁用webConfigurator反锁定规则)
我们可以禁用系统反锁定规则,因为我们将在安装过程中创建受管理规则。
Firewall/NAT configuration(防火墙/NAT配置)
导航到 System > Advanced > Firewall/NAT
Firewall Advanced(防火墙高级选项)
· Firewall Optimisation options(防火墙优化选项): conservative(保守)。Tries to avoiddropping legitimate idle connections at expense of memory and CPU utilisation(尝试避免丢弃合法的空闲连接,以牺牲内存和CPU利用率),也可以选择“正常”,其他的不推荐。
· Firewall Maximum States(防火墙最大状态数): 1633000 (根据电脑配置自动生成,也可以手动修改,配置太低了,不建议改的太大,这跟内存有关系)
· Firewall maximum table entries(防火墙最大表条目数): 200000 (根据电脑配置自动生成,也可以手动修改)
Bogon Networks(Bogon网络)
· Update Frequency(更新频率): Weekly(每周)
· Click Save(单击保存)
Miscellaneous configuration(杂项配置)
导航到 System > Advanced > Miscellaneous
Power Savings(电源设置)
· Use PowerD(用户电源管理) [√]选中
· on AC(交流电): HiAdaptive(高适应性)
· on Battery(电池): HiAdaptive(高适应性)
· unknown Power(未知电源): HiAdaptive(高适应性)
CryptographicHardware Acceleration(硬件加密和温度传感器设置)
只有在使用Intel处理器时才选择以下内容。如果使用AMD处理器,则使用其他选项。
· 加密硬件: AES-NI CPU based Acceleration
· 温度传感器: Intel Core CPU on-die thermal sensor
· 单击保存。
好了,pfsense的安装大概就这些了,经过这些设置,局域网内的电脑已经可以正常上网了,但要确保网络合理利用,你要还进行一些其他更复杂的设置。
