pfsense是一款开源的路由和防火墙产品,它基于freebsd系统定制和开发。pfsene拥有友好的web的配置界面,且具有伸缩性强又不失强大性能,在众多开源网络防火墙中属于佼佼者。
2004年,pfsense作为m0n0wall项目(基于freebsd内核的嵌入式软防火墙)的分支项目启动,增加了许多m0n0wall没有的功能(pfSense的官方网站称它为the better m0n0wall).pfSense除了包含宽带路由器的基本功能外,还有以下的特点:
- 基于稳定可靠的FreeBSD操作系统,能适应全天候运行的要求
- 具有用户认证功能,使用Web网页的认证方式,配合RADIUS可以实现记费功能
- 完善的防火墙、流量控制和数据包功能,保证了网络的安全,稳定和高速运行
- 支持多条WAN线路和负载均衡功能,可大幅度提高网络出口带宽,在带宽拥塞时自动分配负载
- 内置了IPsec 和PPTP VPN功能,实现不同分支机构的远程互联或远程用户安全地访问内部网
- 支持802.1Q VLAN标准,可以通过软件模拟的方式使得普通网卡能识别802.1Q的标记,同时为多个VLAN的用户提供服务
- 支持使用额外的软件包来扩展pfSense功能,为用户提供更多的功能(如FTP和透明代理).
- 详细的日志功能,方便用户对网络出现的事件分析,统计和处理
- 使用Web管理界面进行配置(支持SSL),支持远程管理和软件版本自动在线升级
本文简单介绍pfSense的安装及配置过程,完成一个基本的路由器该有的功能,如访问局外网、设置防火墙规则、配置端口映射。这里演示在ESXi虚拟服务器上,解决IP不足的问题。
创建虚拟机
首先去 https://www.pfsense.org/download/ 下载稳定版本的pfSense,如pfSense-LiveCD-2.2.2-RELEASE-amd64.iso.gz(网上看到有人提到这个版本不稳定,我在使用中偶尔也发现突然很慢,建议2.1.5)。在vSphere上创建虚拟机的过程省略,取名01_pfSense,创建虚拟机操作系统时选择“其他 -> FreeBSD 64位”,单CPU,512Mb内存,4G硬盘。将下载的系统解压成iso后挂载到CD/DVD,并“打开电源时连接”。
下图是网卡情况:
为pfSense分配两个网卡,分别是可以连接公司内网的172.29.88.1/24网段的vSphere_Admin端口组,和IP范围是172.30.31.1/24的内部局域网端口组VM Local。
记录下Mac地址
外网接口:00:0c:29:36:b6:c2
内网接口:00:0c:29:36:b6:cc
安装pfsense
启动电源后出现欢迎界面,选择1.Boot pfSense [default],或等待几秒钟自动选择,进入如下界面:
输入I,回车,然后是一个蓝屏,开始安装。
也可以什么都不用管,系统会一直启动从CD启动得到一个完整的pfSense系统,因为没有安装所以在屏幕下方会有一个选项99) Install pfSense to a hard drive, etc.,输入99同样会进入下面的安装操作系统的过程。
一路保存默认:< Accept these Settings > → < Quick/Easy InStall > → erase all content < OK > → < Standard Kernel > → < Reboot >。
重启后安装完成,断开CD介质。
详见见官网文档 https://doc.pfsense.org/index.php/Installing_pfSense 。
下面开始配置内外网接口。
分配接口
从上图可以看到系统默认将em0接口当做WAN(外网),em1当做LAN(内部局域网),但我们不确定em0就是在创建虚拟机时分配的外网接口,需要根据MAC地址判断。
选择1) Assgin Interfaces,回车
首先询问你是否设置VLAN(用于划分多个子局域网网),Do you want to set up VLANs now [y|n]?,否n:
分配IP
选择2) Set interfce(s) IP address:
先配置WAN的IP,禁用DHCP,配置地址172.29.88.230/24,网关172.29.88.1,禁用IPV6:
再配置LAN,172.30.31.1/24,不配置网关:
完成后会提示可以在浏览器打开http://172.30.31.1/,通过webConfigurator来操作pfSense。
已打通两端网络:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 |
<span class="hljs-symbol">sean@seanubt:</span>~$ ssh admin@<span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.1</span> <span class="hljs-number">22</span> Password for admin@pfSense.domain: *** Welcome to pfSense <span class="hljs-number">2.2</span><span class="hljs-meta">.2</span>-RELEASE-pfSense (amd64) on pfSense *** WAN (wan) -> em0 -> v4: <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.230</span>/<span class="hljs-number">24</span> LAN (lan) -> em1 -> v4: <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.1</span>/<span class="hljs-number">24</span> <span class="hljs-number">0</span>) Logout (SSH only) <span class="hljs-number">9</span>) pfTop <span class="hljs-number">1</span>) Assign Interfaces <span class="hljs-number">10</span>) Filter Logs <span class="hljs-number">2</span>) Set interface(s) <span class="hljs-built_in">IP</span> address <span class="hljs-number">11</span>) Restart webConfigurator <span class="hljs-number">3</span>) Reset webConfigurator password <span class="hljs-number">12</span>) pfSense Developer Shell <span class="hljs-number">4</span>) Reset to factory defaults <span class="hljs-number">13</span>) Upgrade from console <span class="hljs-number">5</span>) Reboot system <span class="hljs-number">14</span>) Disable Secure Shell (sshd) <span class="hljs-number">6</span>) Halt system <span class="hljs-number">15</span>) Restore recent configuration <span class="hljs-number">7</span>) Ping host <span class="hljs-number">16</span>) Restart PHP-FPM <span class="hljs-number">8</span>) Shell <span class="hljs-number">7</span> <span class="hljs-keyword">Enter</span> a host name <span class="hljs-keyword">or</span> <span class="hljs-built_in">IP</span> address: <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span> PING <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span> (<span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span>): <span class="hljs-number">56</span> data bytes <span class="hljs-number">64</span> bytes from <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span>: icmp_seq=<span class="hljs-number">0</span> ttl=<span class="hljs-number">64</span> time=<span class="hljs-number">1.406</span> ms <span class="hljs-number">64</span> bytes from <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span>: icmp_seq=<span class="hljs-number">1</span> ttl=<span class="hljs-number">64</span> time=<span class="hljs-number">1.215</span> ms <span class="hljs-number">64</span> bytes from <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span>: icmp_seq=<span class="hljs-number">2</span> ttl=<span class="hljs-number">64</span> time=<span class="hljs-number">0.480</span> ms --- <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.56</span> ping statistics --- <span class="hljs-number">3</span> packets transmitted, <span class="hljs-number">3</span> packets received, <span class="hljs-number">0.0</span>% packet loss round-trip min/avg/max/stddev = <span class="hljs-number">0.480</span>/<span class="hljs-number">1.034</span>/<span class="hljs-number">1.406</span>/<span class="hljs-number">0.399</span> ms Press <span class="hljs-keyword">ENTER</span> to continue. *** Welcome to pfSense <span class="hljs-number">2.2</span><span class="hljs-meta">.2</span>-RELEASE-pfSense (amd64) on pfSense *** WAN (wan) -> em0 -> v4: <span class="hljs-number">172.29</span><span class="hljs-meta">.88</span><span class="hljs-meta">.230</span>/<span class="hljs-number">24</span> LAN (lan) -> em1 -> v4: <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.1</span>/<span class="hljs-number">24</span> <span class="hljs-number">0</span>) Logout (SSH only) <span class="hljs-number">9</span>) pfTop <span class="hljs-number">1</span>) Assign Interfaces <span class="hljs-number">10</span>) Filter Logs <span class="hljs-number">2</span>) Set interface(s) <span class="hljs-built_in">IP</span> address <span class="hljs-number">11</span>) Restart webConfigurator <span class="hljs-number">3</span>) Reset webConfigurator password <span class="hljs-number">12</span>) pfSense Developer Shell <span class="hljs-number">4</span>) Reset to factory defaults <span class="hljs-number">13</span>) Upgrade from console <span class="hljs-number">5</span>) Reboot system <span class="hljs-number">14</span>) Disable Secure Shell (sshd) <span class="hljs-number">6</span>) Halt system <span class="hljs-number">15</span>) Restore recent configuration <span class="hljs-number">7</span>) Ping host <span class="hljs-number">16</span>) Restart PHP-FPM <span class="hljs-number">8</span>) Shell <span class="hljs-number">8</span> ping <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.20</span> PING <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.20</span> (<span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.20</span>): <span class="hljs-number">56</span> data bytes <span class="hljs-number">64</span> bytes from <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.20</span>: icmp_seq=<span class="hljs-number">0</span> ttl=<span class="hljs-number">64</span> time=<span class="hljs-number">0.239</span> ms <span class="hljs-number">64</span> bytes from <span class="hljs-number">172.30</span><span class="hljs-meta">.31</span><span class="hljs-meta">.20</span>: icmp_seq=<span class="hljs-number">1</span> ttl=<span class="hljs-number">64</span> time=<span class="hljs-number">0.211</span> ms |
登录
172.30.31.1是内部局域网的IP,所以只能通过另一台lan上的服务器的浏览器访问:
当然这样操作起来很不方便,,而且假如lan上的其它服务器都是linux而且没有图像界面,没办法使用webConfigurator了。端口转发似乎是一个比较好的方案:在某一台lan服务器上添加一个可以通过你的pc端访问的网卡(我这里的172.29.88.206,它的lan接口IP为172.30.31.20),然后使用rinetd工具转发到172.30.31.1。
这个方法似乎可选,但需要额外的设置:
An HTTP_REFERER was detected other than what is defined in System -> Advanced (http://172.29.88.206:8008/index.php?logout). You can disable this check if needed in System -> Advanced -> Admin.
pfSense为了安全起见,不允许任何形式的转发来访问webConfigurator,根据你的需要决定是否关闭这个功能:System -> Advanced -> Admin,勾选Browser HTTP_REFERER enforcement -> Save -> Apply。
登陆的用户名默认为admin/pfsense
使用配置向导
前面是通过命令行的方法对接口和IP进行配置,也可以直接通过webGUI向导对WAN和LAN、网关等设置:System -> Setup Wizard,因为太过简单,就不贴图了。
在设置WAN接口时(Configure WAN Interface)注意两点:
- Static IP Configuration 部分设置正确的IP和网关,否则会无法进出网络
- RFC1918 Networks 默认是勾选的,这是为了避免WAN上也存在与LAN一样的网段。如果要允许wan的其他主机ping通该pfSense,则去掉勾
其它保持为空或默认值。
pfSense的NAT功能
即Port Forward,目的是为了WAN上的其他机器可以访问LAN内部的服务。
Friewall -> NAT
端口映射分为单端口和范围端口。但端口容易理解,访问WAN 172.29.88.230:8000 的 数据包都转发到内部LAN 172.30.31.20:8000;范围端口是在 from m to n 的端口范围内的数据包都发送到内部IP的对应端口上,减少规则的数量。
Save -> Apply Changes,与此同时pfSense会自动在防火墙里添加规则,Firewal -> Rules
pfSense做负载均衡
见 http://segmentfault.com/a/1190000002705207
其它功能
pfSense还有几大重要的功能,如快速搭建VPN服务器,作为前端负载均衡服务器,流量限制。由于工作中暂未用到,所以就不加说明了。
参考
- 用pfSense搭建ESXi上的软路由
- pfsense 企业应用实例
- pfsense 研究- m0n0wall中国论坛
- PFsense学习 – 端口映射
- pfSense 2.0 多 WAN 负载均衡设置指南 (中文)
转载请注明:徐自远的乱七八糟小站 » 图解pfSense软路由系统的使用(NAT功能) – Sean’s Notes – SegmentFault
苏公网安备 32021402001397号