pfSense安装,详细设置,限流教程

Pfsense2.3.4中⽂版Pfsense2.3.4中⽂版⼿动编辑pfSense配置编辑pfSense®配置后，您需要重新加载整个 config.xml。

有⼏种⽅法可以做到这⼀点：1. 重新启动防⽕墙。

2. 删除配置缓存⽂件：cd /cf/conf/cat config.xml.good > config.xmlrm /tmp/config.cache然后，在与更改的配置区域相关的页⾯上，单击“ 保存”按钮。

3. 运⾏该viconfig命令以在显⽰config.xml。

退出vi后，将⾃动删除配置缓存⽂件。

----------------------------------------------------1. 默认配置⽂件路径[2.4.4-RELEASE][admin@pfSense.localdomain]/root: ls -alh /conf.default/total 16drwxr-xr-x 2 root wheel 512B Nov 27 2018 .drwxr-xr-x 22 root wheel 1.0K Aug 16 00:28 ..-rw-r--r-- 1 root wheel 6.1K Nov 21 2018 config.xml2. ⽤户配置⽂件路径[2.4.4-RELEASE][admin@pfSense.localdomain]/root: ls -alh /cf/conf/total 60drwxr-xr-x 3 root wheel 512B Aug 16 17:25 .drwxr-xr-x 3 root wheel 512B Nov 21 2018 ..drwxr-xr-x 2 root wheel 1.5K Aug 16 16:26 backup-rw-r--r-- 1 root wheel 30K Aug 16 16:26 config.xml-rw-r--r-- 1 root wheel 1B Nov 27 2018 copynotice_version-rw-r--r-- 1 root wheel 984B Aug 16 17:25 copyright-rw-r--r-- 1 root wheel 1.5K Aug 16 15:53 pkg_log_pfSense-pkg-openvpn-client-export.txt-rw-r--r-- 1 root wheel 84B Aug 16 14:26 upgrade_log.txt3. 配置缓存⽂件[2.4.4-RELEASE][admin@pfSense.localdomain]/root: ls -alh /tmp/config.*-rw-r--r-- 1 root wheel 28K Aug 16 16:26 /tmp/config.cache-rw-rw-rw- 1 root wheel 0B Aug 16 17:32 /tmp/config.lock-----------------------------------流量管理pfsense 有三种流量管理⽅法。

PFSense 2.0 的双线负载、端口映射和回流、指定出口访问的设置。

本文感pc005637 的编写和截图网络环境：一条是电信ADSL的PPPOE拨号，2M带宽。

一条是电信ADSL的固定IP，2M带宽。

原先是使用海蜘蛛V8免费版来搞双线，的确海蜘蛛的设置是真的方便，不过因为海蜘蛛V8免费版的广告太频了，而且带色的居多，给人投诉了。

所以要换另外一个软路由来搞双线。

原先是想用RouterOS来搞，成功设置上网，但端口映射和指定出口访问这两个不会搞，（本人不是技术人员）前段时间看到论坛里有PFSense 2.0的汉化版放出来，心思又动了，想用PFSense 2.0来搞个双线试试。

顺便说一下，我在论坛下载的汉化版现在还是不很成熟，明明在英文原版可以正常设置的选项，它就提示出错。

造成我走了很多弯路，直到我换用了英文原版后，才可以设置成功。

如果其它同学在使用汉化版时，出现错误提示或者没提示但不能保存设置的时候，请使用英文原版。

教训啊！先上个图。

网络端口的设置看了英文说明书，了解到，如果既有动态的外网端口又有静态固定的外网端口的话，动态的端口应该放在第一个WAN口，其它的外网端口放在OPT的端口。

所以我两条ADSL宽带。

WAN：是PPPOE拨号OPT1：是固定IP的。

因为WAN 和OPT1 都是公网接口，所以它们设置最下面的两个勾我也是提上的。

具体设置，应该大家都懂的。

我放图。

顺便说一声，我用汉化版时，无论如何，WAN和OPT1都只能选择固定IP和DHCP动态，选其它选项都不能保存，会弹回原先的设置，换用英文原版没事。

WAN设置OPT1设置LAN设置双线负载设置PFSense 2.0 的多WAN负载设置，说明书是应该在网关中设置。

操作位置：System -->Routing编辑好WAN和OPT1后截图准备编辑网关组再回到Interfaces-->OPT1 编辑到Firewall-->Rules 编辑只改一个地方成功！端口映射和回流！因为单位有一个SQL服务器，要挂接在固定IP的线路上，所以要在OPT1上面需要做一个端口映射。

Pfsense 安装2016年4月1日9:18Esxi6网络设置以下为最终网络配置。

在esxi配置网络里选添加网络。

虚拟机下一步把所有网卡选项去掉下一步。

下一步网络标签改为 VM LAN，esxi自带的网络可以改为VM WAN好区分内外网。

完成如下图。

配置虚拟机网络到刚刚设置好的虚拟网络中。

把两个虚拟网卡分别设置到VM wan 及 VM lan中。

其它虚拟机也要用同样的设置。

设置好后开始安装pfsense服务器。

下载最新版本下载列表随便选一个下载点就可以。

https:///download/2、创建虚拟机，选择新建虚拟机Esxi选安装其他->FreeBSD（64）选择1个CPU，1G内存，8GB硬盘即可。

安回车进行光盘加载文件。

选99进行安装进行本地硬盘安装。

选最后一项进行安装选择第一个选项快速安装，快速安装。

如果选择希望自定义安装的话可以选择第二个选型选OK回车继续安装完成选择重启，重启后记得移除安装光盘。

重启后出现这个画面。

0.注销(ssh只有)1.分配接口2.设置界面(s)的ip地址 3. webconfigurator重置密码4.重置为出厂默认值 5.重启系统 6.停止系统 7.ping主机 8.壳 9.pftop 10.过滤日志 11.重启webconfigurator 12.pfsense开发者壳13.升级从控制台 14.启用安全shell(sshd)选择2进行WAN IP及LAN IP设置选择要修改WAN IP 还是LAN IP，1或2 回车。

输入内网IP 地址：172.16.10.110 回车外网根据Ip 地址进行同样设置。

输入子网掩码这里设置为16，回车，外网同样设置。

这里是否设置外网Ip 如不设置回车即可提示是否设置IPv6 如不设置回车即可是否设置DHCP,选n不设置，进入网页管理里在设置。

设置完成后回车继续。

用上网的IP地址进行网页管理。

进入网页管理http://172.16.10.110用户名：admin 密码：pfsense。

严格说来，pfsense是一个免费的、开源的、经过改造的FreeBSD的定制版本，它主要用作防火墙和路由器。

除了可以作为一个强健而灵活的防火墙和路由平台，它还包括其它的许多相关特性和程序包，可以进一步扩展性能而不会增加潜在的安全漏洞。

据悉，pfSense已经被下载了几百万次，被许多家庭、公司、大学等的网络采用来保护其计算机及其它的网络设备。

此项目是作为m0n0wall的一个子项目于2004年开始的，它着重于完整的PC安装而不是m0n0wall的嵌入式硬件系统。

此外，pfSense还提供了基于安装的Compact Flash嵌入镜像，但这并不是其最关注的问题。

其最新版本为1.2，包括了商业防火墙或路由器设备中的许多特性，它包括了一个易管理的基于Web的图形用户界面。

虽然它拥有免费防火墙、路由器的一些不错的特性，但也并非完美无缺。

笔者将在后面有所阐述。

pfsense技术特征pfSense作为一个防火墙，支持根据IP地址、源地址、目的地址、源端口、目标端口等进行过滤。

例如，如果我们使用源地址过滤，并设置对内部网络的子网IP地址进行监视，那么源自此地址的通信或请求将根据防火墙规则进行分析。

如果我们使用目标过滤，那么防火墙将监视数据通信将要到达的IP地址。

如果目标地址位于防火墙规则中，防火墙就会实施恰当的行动。

最好的防火墙特性之一是其被动的操作系统指纹识别功能，此功能可以被动地检测某个连接的操作系统，并准许防火墙根据连接节点的操作系统来阻止连接。

它支持策略路由，可通过桥接或透明模式运行，准许用户将pfSense置于网络设备中，而不要求额外的配置。

pfSense提供了网络地址转换(NAT)和端口转发功能，但在使用NAT时，有PPTP、GRE、SIP等协议的限制。

还有一点，pfSense支持多个广域网连接，它可以执行外发的和进入的负载平衡。

唯一的限制是它只能在广域网连接之间实现通信的均等分配，而且用户不能根据选定的连接区分特定通信的优先次序。

用pfSense搭建ESXi上的软路由这么干的目的是开一个虚拟机承担路由角色，NAT出来下级IP供其它虚拟机和ESXi主机及其他外部设备使用。

适用于需要部署大量虚拟机，但只有一个外网IP，且不能添置独立路由器的环境。

当然就是为了玩软路由也能这么干，我家里就这么用了。

网络最终搭好以后应该是这个样子的：稍作注解服务器有两个网口，在ESXi里面分别记作"vmnic0"和"vmnic1"。

分别用这两个网口作为服务器的WAN端口和LAN端口，划分出两个虚拟交换机，也就是图上的"VM WAN"和"VM LAN"。

外部的无线路由器，模式变更为“无线AP模式”，也就是5个RJ-45都是LAN、NAT关闭、DHCP关闭，只充当无线接入点+千兆有线路由的角色。

后面的台式机、笔记本等其他设备还是连在无线路由器上。

正片开始。

我用的是pfSense这个软路由系统，之前@Overthink和@Asuka曾经介绍过，基于FreeBSD 8.x，还有防火墙、VPN Server、PPPoE Server等功能。

这里只介绍做基本的路由功能。

首先下载最新版pfSense，目前最新版是v2.1.5-Release，地址，点"here on the mirrors"这个链接。

然后让你选需要的版本，选择"AMD64"和"Live CD with Installer"，之后就有数个下载镜像站点了，随便找一个下载就是了，反正都在国外。

下载完以后得到一个.gz格式的压缩包，解压出其中的ISO镜像，然后在vSphere Client里新建一个虚拟机，使用光盘镜像安装。

安装之前先配置好ESXi的虚拟网络，也就是像我上面图那样，划分出两个交换机。

一个作为系统的WAN端口，一个用来给虚拟机提供LAN端口。

你可以不需要双网卡，只需要一个网口做WAN，LAN 只服务于虚拟机。

pfSense安装,详细设置,限流,无线等教程2010-06-22 14:16:23| 分类：Pfsense|字号订阅写在前面: 还是老话,自己架设的过程,图片就不贴了~~没时间的说~~m0n0, pfsense 都是硬件级的防火墙, 适用于网吧,中小型企业. 特别是pfsense, 可做流量均衡, 接上N个ADSL, 速度爽的要死~~ :) 俺现在的这个公司就是三根ADSL,分别为4,8,8 M因一根ADSL为IP电话专用, 故~~ 流量均衡只做了两根, 另一根接防火墙桥接~~~ :)等会再贴公司用的情况~~ 先把教程转上~~~ 有兴趣的朋友, 可与俺共同研究~~ :)=================================================================== =============pfSense是一款功能强大的免费路由器软件，它是在著名的路由器软件mOnOwall基础上开发的，增加了许多mOnOwall没有的功能(pfSense的官方网站称它为the better mOnOwall)．PfSense除了包含宽带路由器的基本功能外，还有以下的特点：基于稳定可靠的FreeBSD操作系统，能适应全天候运行的要求．具有用户认证功能，使用Web网页的认证方式，配合RADIUS可以实现记费功能．完善的防火墙，流量控制和数据包过滤功能，保证了网络的安全，稳定和高速运行．支持多条WAN线路和负载均衡功能，可大幅度提高网络出口带宽，在带宽拥塞时自动分配负载．内置了Ipsec和PPTP VPN功能，实现不同分支机构的远程互联或远程用户安全地访问内部网．支持802。

1Q VLAN标准，可以通过软件模拟的方式使得普通的网卡能识别802。

1Q的标记，同时为多个VLAN的用户提供服务．支持使用额外的软件包来扩展pfSense功能，为用户提供更多的功能(如FTP和透明代理)．详细的日志功能，方便用户对网络出现的事件分析，统计和处理．使用Web管理界面进行配置(支持SSL)，支持远程管理和软件版本自动在线升级．以目前一台硬路由拆开看，CPU多是ARM9或intel的，其它部件都是嵌入式的。

Pfsense2.0。

1系统安装硬件安装：前提是这台电脑需要双网卡，最好网卡能够选择通用型的。

硬盘大小无所谓，内存也无需有太多的顾虑，如果规模100台电脑以上,则内存最好256M以上Pfsense2.0.1系统安装：光盘引导后，默认执行程序后出现以下画面:注意如果没有rl0和rl1网卡的MAC地址就说明网卡不正确，请重新插拔网卡或更换!这里出现的画面是提示你是否将此台电脑设置成为VLANS（概念就是这台电脑比如有多张网卡，各个网卡出去的网线都在同一个交换机等设备上，也简单点自我理解就是这台电脑也等于是个交换机的概念），这里我们一般设置选项为NO！画面：选NO后提示先设置哪张网卡为WAN(外网)：一般设置为rl0 ！画面：之后是提示设置哪张网卡为LAN（内网）：一般设置为rl1 !出现这句话时enter the optional 1 interface name or `a` for auto—detection（or nothing if finished）（意思是以上输入的2张网卡名称自己定义还是自动检测，我们一般设置为a 自动检测），输入a后出现connect the optional 1 interface now and make sure that the link is up.then press enter to cantinue 这句话的意思是你确定输入的链接起来吗，按回车继续，我们当然按回车来继续。

注意，这个步骤之前要确认网卡是通电或是工作的状态！之后出现的画面如下：提示指定好后是否要继续，我们当然选Y之后pfsense程序进行我们的配置，配置完成这后出现以下画面：2张网卡出现的IP是pfsense系统现在默认设置的,我们暂且不用去管，接下来我们选择99进行安装pfsense2。

0。

1安装程序。

之后出现这个画面：这是第一步：分别意思为改变视频字体默认改变screenmap默认改变keymap默认接受这些设置当然我们选择（Accept these settings）最后一项第二步：我的理解是，如果你的硬盘本身已经有分区会出现以下画面：（因为我的硬盘本身已存在分区）以上的意思是：快速/容易安装自定义安装救援config 。

打造家用防火墙的需求bypfSense（三）基本设定篇打造家用防火墙的需求 by pfSense (一) 简介篇打造家用防火墙的需求 by pfSense (二) 硬件和安装篇当你成功的可以看到pfSense的画面后，就可以透过WebGUI来设定全部的功能首先我们先透过精灵来作基础设定，除了基础设定外，这一篇有两个目标1. NAT + DHCP(让内部LAN自动配IP和Gateway上网)2. Port Forward 让服务可以转发进LAN的电脑内像是eMule，BT，Orb.........等等1. 先选择 System - > Setup Wizard 来基础设定(登入后即可检视图片)2. 设定hostname和DNS Server(登入后即可检视图片)3. 设定时区(登入后即可检视图片)4. 设定WAN的上网方式，DHCP或是PPPoE，PPPoE的话下方要记得填写帐号(登入后即可检视图片)5. 设定LAN，之前已经设定过了，所以不需要动(登入后即可检视图片)6. 设定admin的密码，默认是pfsense，改成你自己的密码(登入后即可检视图片)7. 接下来让DHCP跑起来来(登入后即可检视图片)8. 勾选Enable DHCP Server，然后设定IP配发的范围(登入后即可检视图片)9. DHCP设定画面下方，可以设定依据MAC address对配发固定IP(登入后即可检视图片)截至目前为止第一项工作已经完成了，接下来要作port forward (如果内部电脑不跑eMule、BT、Orb等等需要开port的软件，以下可免)10. Firewall -> NAT，要开始设定port forward(登入后即可检视图片)11. 按＋来新增一条rule(登入后即可检视图片)12. 以eMule为例，4662是TCP，4672是UDP，所以把TCP/UDP都打开，转发到内部192.168.0.10(登入后即可检视图片)13. 如法炮制，新增了BT的port和Orb的port，最后按下Apply changes就会生效了，同时他也会自动新增防火墙的rule来开启这几个port，很方便吧!(登入后即可检视图片)下一篇要介绍的是大家比较关切的.......到底要怎么限流呢打造家用防火墙的需求 by pfSense (一) 简介篇打造家用防火墙的需求 by pfSense (二) 硬件和安装篇打造家用防火墙的需求 by pfSense (三) 基本设定篇打造家用防火墙的需求 by pfSense (四) 限流限速篇打造家用防火墙的需求 by pfSense (五) 架设无线基地台篇。

Pfsense+Panabit整合安装及应用（软件防火墙+流控程序的融合应用）pfSense是一个免费的，开源的FreeBSD作为防火墙和路由器专为使用自定义版本。

除了是一个功能强大的，灵活的防火墙和路由平台，它包括一个长长的清单相关的功能，并允许进一步的扩展包，不添加膨胀和潜在的安全漏洞的基地分布。

Panabit是目前国内开放度最高、免费、专业的应用层流量管理系统，特别针对P2P应用的识别与控制，(Panabit不是一种NAT软件，要实现以上功能需要与其他软件配合来实现)2011年11月15日，已经支持实际主流应用760种以上，并以两周更新一次特征库的速度持续更新(包括已支持协议和新增协议两方面的更新，Panabit已识别协议列表请关注Panabit网站首页"支持协议")。

Panabit在精确识别协议即对应用分类的基础上，根据用户自定义策略，提供灵活方便的流量管理机制：带宽限速、带宽保证、带宽预留，并可基于协议/协议组、IP/IP组进行参数化的策略设置。

Panabit 流控系统定位于网络设备级OS，需要安装在一台独立硬件中。

Panabit发布的标准版，都是最新研究成果和最新稳定版本，无有效期等限制，完全可以满足DIY百兆级专业流控设备。

Panabit在网站公开发布的第一个标准版是Panabit V7.04，于2007.04.30Panabit官方网站发布。

Panabit流控引擎，基于稳定性坚如磐石的FreeBSD开发，安装Panabit之前，需要先安装好FreeBSD 操作系统；为了方便使用，自Panabit V7.09起，同步发布Live CD版，使用LiveCD无需安装，直接光盘启动，Panabit即全部运行在内存中。

Panabit标准版是开源、免费的，美中不足的是最多只能监测256个用户。

硬件需求: 1.计算机等级参考pfsense最低规格需求(CPU-P4 3.0;RAM-2G)2.网卡4张3. CROSSOVER（交叉线）线一条所需软件: Panabit (流控程序)下载地址：/forum/forumdisplay.php?fid=13Pfsense (软件防火墙)下载地址：/pub/pfSense/downloads/ 安装前准备1 下载所需软件这里我用的Panabit模板版本为Panabit V12.07标准版（核心代号「东汉」R3）正式版Panabit_1207_fb8x.tar.gz 。

打造家用防火墙的需求bypfSense（五）架设无线基地台篇打造家用防火墙的需求 by pfSense (一) 简介篇打造家用防火墙的需求 by pfSense (二) 硬件和安装篇打造家用防火墙的需求 by pfSense (三) 基本设定篇打造家用防火墙的需求 by pfSense (四) 限流限速篇老实说，我还真的没有买过任何一台无线基地台，打从FreeBSD 开始支援HostAP模式让无线网络卡变成基地台后，我第一台基地台就是FreeBSD主机+无线网络卡pfSense既然是FreeBSD打造的，不但支援无线基地台模式，在管理设定上功能更为强大方便而且重点是便宜，让我们来看看怎么样快速架设好一个无线基地台吧!硬件准备 : 国内最常见的Atheros芯片就属D-Link G510、G520 (G520+不可以)大概一千元不到就可以买到Optional：如果用网络卡内建的2dBi的天线架设好的范围大概是穿透一道水泥墙再过两三公尺就差不多没了，所以如果需要大范围的话，请买支好一点的天线吧普通的6dBi的天线大概几百元，指向示的基本款大约一千出头，看个人需求网卡附的天线和另外买的指向性天线(登入后即可检视图片)所以，架设好一个自制的无线AP最多的建制成本在1000~2000出头之间，很便宜吧！就算2000元也买不到具有这么多功能的基地台的，这可是穷人的最高等级基地台呢！那么主要建制的模式有两种1. 无线网络卡桥接LAN网络卡，优点是架设方便，DHCP不用另外设定，坏处是网页认证功能无法使用2. 无线网络卡自成一个子网域，设定是麻烦了些，但是设定都可以跟LAN独立分开设定，方便管理这两种都会介绍怎么架设，请见我娓娓道来1. 先选Interfaces -> OPT1 (如果没有请先选Interfaces -> assign 把无线网络卡配置好)(登入后即可检视图片)2. 先介绍Bridge桥接模式，把Birdge mode指向LAN即可(登入后即可检视图片)3. 如果不桥接要自己建立一个subnet，就自己设立一个IP吧！我是设定192.168.1.1(登入后即可检视图片)4. 接下来要设定无线网卡使它成为基地台Standard -> 802.11gMode -> Access PointSSID -> 请自己取名吧WEP -> 看要不要启用WEP，启用的话就自己取个五位数字的密码WPA -> 自己决定要不要用吧设定完后，最下方的Save起来后，无线基地台已经开始运作了如果是使用Bridge mode的人，设定到这边，基地台就可以运作了，不用继续设定下去使用Subnet的人，后面程序要继续走完喔(登入后即可检视图片)5. 接下来要打开OPT1的防火墙，让无线网络的子网域可以连出去，如图所设定如果没有作这个步骤，无线网络是出不去的(登入后即可检视图片)6. 再来打开OPT1的DHCP Server (跟LAN的DHCP是分开的)把IP分配的位置设定好即可 (IP要是无线网卡的子网域内)，Save 之后就大功告成(登入后即可检视图片)关于无线基地台的网页认证功能 - Captive Protal，有时间再写吧！一般家庭好像暂时用不到这个，总不会你爸爸拿NB想上个网络还要跟你要帐号密码吧！(如果是用Brigde mode架设的基地台，是无法使用Captive Protal，目前它还不支援bridge mode)很多人可能会迟疑........稳定度和讯号强度如何呢？稳定度至少我还没热当过就是了，传输速率2~3MB/s很正常，莫名其妙的断线问题也没发生过，讯号强度由于我自己添加指向性天线，所以范围至少我家30坪的活动区域都可以收到还不错的讯号(拿577W连上WIFI然后到厕所作蛋糕点Orb来看看新闻........OK 啦!)(登入后即可检视图片)打造家用防火墙的需求 by pfSense (一) 简介篇打造家用防火墙的需求 by pfSense (二) 硬件和安装篇打造家用防火墙的需求 by pfSense (三) 基本设定篇打造家用防火墙的需求 by pfSense (四) 限流限速篇打造家用防火墙的需求 by pfSense (五) 架设无线基地台篇。

VMware安装pfSense与配置使用[多图教程] 下载地址：安装默认回车就行默认回车就行pfsense的系统控制台驱动程序默认为标准“US”键盘映射。

可以在下面选择其他键映射默认回车就行自动分区，新手建议直接回车，水平高的专家可以选择Manual 手动分区默认回车就行现在已经安装完成了。

在退出安装程序之前，是否要在新系统中打开一个SHELL以进行任何最后的手动修改？新手建议选择NO，专家可以选择YESPSsense安装完成！是否要立即重新启动到已安装的系统？Yes安装完成，原始的菜单！编号选项翻译0 Logout(SSH only) 注销（仅限ssh）1 Assign Interfaces 分配接口2 Set interface(s) IP address 更改接口IP地址3 Reset webconfiguratorpassword重置WebConfigurator密码4 Reset to factory defaults 恢复出厂设置5 Reboot system 重新启动系统6 Halt System 暂停系统7 ping host Ping 主机8 shell 命令行模式9 pfTop 命令：过滤封包状态、规则、带宽20列10 Filter logs 筛选日志11 Restart webconfigurator 重新启动WebConfigurator12 PHP shell + pfSense tools php shell+pfsense工具13 Update from console 从控制台更新14 Enable Secure Shell(sshd) 启用安全Shell（sshd）15 Restore recent configuration 还原最近的配置16 Restart PHP-FPM 重新启动php-fpm踩坑：pfSense安装完成后无法访问，被403拒绝安装完成，正常的话在网页使用http://192.168.1.1可以访问，但是我这是在办公网，使用这个IP访问时爆了403的错误被拒绝，可能是与办公网的其他IP冲突了！解决方法：通过http://192.168.1.66/ 地址访问pfSense地址。

开源防⽕墙（pfSense）的安装部署与配置pfSense是⼀个基于FreeBSD架构的软件防⽕墙，通常会被安装在多⽹卡的主板上作为路由器或者防⽕墙去使⽤。

往往这些硬件都⽐较廉价，⾼性能的配置也就1千元左右。

pfSense具有商业防⽕墙的⼤部分功能，管理上⾮常简单，可以⽀持通过WEB页⾯进⾏配置，升级和管理⽽不需要使⽤者具备FreeBSD底层知识。

pfSense部署在企业边缘⽹络上⼀般可以抵挡500Mbps的互联⽹流量。

pfSense防⽕墙具有防⽕墙的基本状态监测包过滤功能，同时还⽀持NAT模式部署、双机热备、负载均衡、VPN等重要功能。

在管理维护⽅⾯⽀持相关性能的查看和报告⽣成功能，同时还可以被⽹络管理平台通过SNMP进⾏集中管理。

在开源防⽕墙市场中，pfSense占有领先的地位。

本⽂将详细介绍pfSense的安装部署以及简单的初始化配置。

在下⾯的章节中您将了解以下内容pfSense如何被安装在虚拟机或者硬件中；pfSense硬件选型；pfSense部署过程详细步骤；pfSense防⽕墙的初始化配置。

⼀、选择部署在哪⾥根据本章节的标题可以看出有两层意思，其⼀是部署在企业⾥⾯的⽹络位置，例如：部署在互联⽹路由器的后端、部署在办公⽹交换机的前端等等诸如此类。

其⼆是将开源的pfSense装在什么样的平台上，例如：装在普通的X86架构的PC上、装在虚拟机中等。

对于第⼀种情况在简单的王忠⽐较好处理，⼀般部署在⽹络的边缘，或者部署在需要做访问控制的前端，以⾃⾝为视⾓，越靠近威胁的源头，越能尽早的阻挡攻击。

对于复杂冗余的⽹络部署情况后续会有单独的章节进⾏介绍。

下⾯将介绍第⼆种情况下的注意事项。

1.1. 部署在硬件盒⼦中另外，防⽕墙本⾝的功能开启多与少会直接影响防⽕墙的性能，商业的防⽕墙通过多CPU去处理VPN等服务，通过芯⽚去转发防⽕墙的流量，⽽软件的防⽕墙则只能通过CPU进⾏处理。

在pfSense上对于VPN的开启，或者说VPN⽤户数的多少直接会影响软件防⽕墙的性能，主要的资源会消耗在加解密和数据的处理上，⼀般10Mbps的流量需要500MHz的CPU去处理。

Pfsense 防火墙备机方案1架设目的：为保证公司网络稳定运行，和将由于防火墙硬件故障（WatchGuard已过保）造成的断网时间降到最低。

现使用Pfsense做为WatchGuard备机，以实现如下目的：●降低断网时间●替代WatchGuard防火墙的所有角色2架设环境和所需软件：DELL PC一台pfSense-1.2.3-LiveCDdownload: /download3步骤流程3.1 安装1放入CD，开机后出现2直接按回车键，进入VLAN配置界面，输入N 后回车：3选择内部接口的网卡，这里Pfsense会自动检测和列出所有本机的网卡4依次选择好WAN口网卡和Optional网卡（DMZ区域）：5列出网口选择信息，输入Y继续进程：（Pfsense提供liveCD的功能，我们刚刚完成的配置其实没在硬盘中安装PFsnense）7选择< Accept there Settings >8选择< Install pfSense >9这是硬盘选择，绝大多都选第一个10选择< Format this Disk >11选择< Use this Geometry >12选择< Format ad0 >13选择< Skip this Step > /*不用分区硬盘，除非另有用途*/14分区选择，只有一个可以选15选择< Accept and Create >16系统会问内核设置(kernel configuration setting)如果你的CPU是单核的就选第一项< Uniprocessor kernel >如果你的CPU是双核的就选第二项< Symmetric multiprocessing kernel >17选择<Accept and Install Bootblocks> 18最后选择< REBOOT >安装结束3.2移植WatchGuard配置3.2.1基本配置初始界面：●设置名称等：●设置时间等：●设置WAN口地址：设置LAN口地址：重启后进入系统后可以进行如下操作以更改以上设置：静态路由配置VPN设置3.2.2NAT配置：现在virtual ip中设置好NAT的外部地址池设置所有的nat映射：所有需要NAT的配置3.3策略配置WG策略中IN 对应pfsense的WAN口规则，反之OUT对应LAN.所有规则在pfsense中Firewall>rule中设置。

Pfsense的安装与配置1．安装文件的下载，下载网址为：/mirror.php?section=downloads选择pfSense-Developers-1.2.2.iso.gz下载即可。

本人也有已经下载好的，放在文件夹pfsense下。

将下载好的pfSense-Developers-1.2.2.iso.gz 解压。

解压后的安装文件为：pfSense-Developers-1.2.2.iso。

2．启动虚拟机，如图1所示。

图1 启动虚拟机3．点击New Virtual machine,如图2所示。

图 2 配置界面4．选择Custom，点击Next，如图3所示。

图 3 配置界面5．点击next,进入下一界面。

如图4所示。

图 4 配置界面6．选择Installer disc image file，点击Browse，选择下载解压后的pfSense-Developers-1.2.2.iso 文件。

如图5所示。

图 5 配置界面7点击next，进入下一界面。

图 6 配置界面8．选择other，在Version的下拉框中选择FreeBsd，如图7所示。

图7 配置界面9 。

点击Browse，选择安装文件所在的目录，选择后点击next如图8所示。

图8 配置界面10．点击next进入下一界面，如图9所示。

图9 配置界面11．图9界面用来设置虚拟机的内存地址，一般选择512Mb,选择512Mb，点击next，如图10所示。

图10 配置界面12选择Use Bridge networking，点击next，如图11所示。

图11 配置界面13．连续点击next，至到出现，如下界面，如图12所示。

图12 配置界面设置虚拟机的硬盘大小为10Gb,选择Split virtual disk into 2 Gb files.点击next.。

14．点击next。

如图13所示。

图13配置界面15．点击Customize Hardware，定做硬件。

m0n0wall和pfsense在教育网的运用九岭学校：张光明内容提要：m0n0wall和pfsense的安装及符合教育网的设置（关闭NAT的方法）我校接入绵阳教育城域网所配的设备是华为MT800，由于其性能太差（在路由模式下），掉线是常事，一般一百多块钱的路由器都是基于NAT在工作，没有办法关闭其地址转换，所以也不许用，在这种情况下，软路由就能派上用场了，只要我们找到关闭NAT的方法，就符合信息中心的要求了，它既有企业级路由器的部分功能，又是免费的，洽好我校还有一台谁也不愿用的赛扬二计算机闲在仓库里，正好发挥下余热。

以前用的是飞鱼星路由器的破解版，它里面有明确关闭NAT的地方，由于这个破解版有些小问题，就不推荐给大家了（真正的飞鱼星路由器还是相当不错的）。

而m0n0wall和pfsense里面却不象飞鱼星有明确“禁用网络地址转换”的功能。

不过经过一周的摸索，还是发现了它们是可以关闭NAT的，现介绍给大家作考参。

m0n0wall介绍一、准备一台旧电脑（至少两块网卡），physdiskwrite.exe软件和m0n0wall的IMG文件二、m0n0wall的安装m0n0wall是FreeBSD系统的软件，不过还是要说一句：m0n0wall是防火墙。

管它是软路由还是防火墙，可以用就行。

也不要管什么FreeBSD操作系统（我也不懂），我们安装m0n0wall是在XP下用physdiskwrite.exe直接将m0n0wall的IMG镜象写入硬盘或CF卡里。

操作如下：把作软路由的硬盘挂到一台装XP的计算机（纯DOS下无法运行），在命令提示符下：ph.exe就是physdiskwrite.exe（这个名字也太长了吧，我把名字改短了），123.IMG就是m0n0wall软件的镜象。

按回车后提示如下：这里列出了你计算机上的磁盘，用0，1等编号的，这里就要输入0或1，选择要写到哪块硬盘里，弄不清楚你作软路由的硬盘是哪块，就在我的电脑上点右键，选“管理”，再选“磁盘管理”，看看是写到磁盘0还是磁盘1，不要选错了好，执行后硬盘原数据全部丢失。