下载并创建可启动的基于pfSense USB的安装程序

首先去https://www.pfsense.org/download/下载最新版本的pfSense安装程序,当前最新版本是2.34,其他版本的安装大同小异。 

下载64位pfsense ISO安装文件,用UltraISO软件将ISO文件写到2G以上的U盘上进行安装。如果有光驱,也可以直接刻录光盘用光驱进行安装。也可以使用WINPE直接安装,我将在另一篇文章中进行介绍。

设置BIOS,方便pfSense 安装

·        关闭主板的AHCI功能,选择ATA 磁盘模式。

·        禁用其他不使用到的功能。


安装

将U盘插入可用的USB端口,然后从U盘启动系统。根据主板的不同,需要使用不同的功能按键选择启动选项或设置BIOS中的引导菜单进行U盘引导。

wKiom1k-A43TvMtAAADPF4ThGno806.png

经过短暂的等待,您将看到一个提示,按“I”启动安装程序,将开始安装pfSense到本地硬盘。

 


 Configure Console(控制台设置)

将显示第一个屏幕,可以修改控制台设置。选择‘Accept thesesettings(接受这些设置)’。

wKiom1k-A86CvKGeAAEFoG5x2U8910.png


Select Task(选择任务)

如果安装到系统中的第一个硬盘,请选择“Easy Install(简易安装)”。自定义安装可以选择特定的磁盘并自定义初始化选项。wKioL1k-A-Dw6PDEAADRZC7-hrc355.png

确定后,安装程序将继续进行格式化,并将pfSense文件复制到本地硬盘。


Install Kernel(安装内核)

当提示安装内核时,选择“Standard Kerne(标准内核)”。

wKiom1k-A_KDV_RMAAAN3Ee4kes097.png


Reboot(重启)

经过短暂的等待,将会看到一个重新启动的选项。选择“(Reboot)重启”,当系统达到适当的状态时(最好在重启完成,进行再次引导前),取出USB引导磁盘,并从系统磁盘引导。wKioL1k-A_7j4PzFAAAQAQffL8A394.png


Initial Configuration(初始配置)

重新启动后,等待数分钟,将会看到下面的画面。wKiom1k-BAqja__YAADTrKfMHiw708.png

默认情况下,安装程序将第一个网卡配置为通过DHCP获取地址的WAN端口,将第二个网卡配置为LAN接口,并配置地址为192.168.1.1的。 LAN接口会开启DHCP服务,如果将PC连接到此端口,IP设为自动获取,会自动获取与LAN同一网段的地址(也可以手动设置),这样我们就可以访问GUI来继续进行后面的配置。


First login(第一次登陆)

打开浏览器并在地址栏中输入http://192.168.1.1,应该看到如下所示的登录画面。wKioL1k-BBfhLqgcAACsGPY1l0g992.png

输入用户名“admin”和密码“pfsense”进行登陆。

pfSense wizard setup(设置向导)

wKioL1k-BCPjHJbaAACuiExcH00199.png

向导将引导你完成初始配置步骤。

选择下一步开始。


Bling your pfsense with pfSense gold(会员服务)

wKiom1k-BDGgls7aAAFvau3MVHM206.png

这个页面显示您将获得购买pfSense黄金订阅的机会(当然要花钱的,还是美元,略过),其中包括自动备份,定期视频会议等,其实最主要是pfsense的指导手册,这个要卖一百多美元。

选择“下一步”继续。


General Information(常规信息)

wKioL1k-BDyRReugAAFpOKDff4o081.png

按照以下指定配置此页面。我们将使用OpenDNS服务器进行初始DNS解析。

·        Hostname(主机名): pfSense

·        Domain(域): local.lan

·        Primary DNS server(第一个DNS): 208.67.222.222

·        Secondary DNS server(第二个DNS): 208.67.220.220

·        Allow DNS to be over ridden on WAN(允许在WAN覆盖DNS): unticked(取消选中)

·        Select Next(选择下一步)


Configure NTP(配置NTP)

wKiom1k-BEnDxzz6AAD18tonQD8392.png

默认的时间服务器主机名通常不需要修改,时区必须设置为你自己的位置。

·        Time server hostname(时间服务器主机名):0.pfsense.pool.ntp.org

·        Timezone(时区): 根据自己的实际进行设置,国内一般选上海或香港。

·        Select Next(选择下一步)


Configure WAN Interface(配置WAN接口)

wKioL1k-BFXAYAYJAAIihwV0pRA718.png

配置此页面如下。大多数选项将保持默认状态,即为空。

Configure WANInterface(配置WAN接口)

·        Selected Type(选择类型): DHCP

其他保持默认设置就可以了。如果是固定IP上网,或PPPOE拨号上网,在“Selected Type”上选择正确的类型并在下面正确设置各项参数。

RFC1918 networks(RFC1918网络)

·        Block RFC1918 Private networks(阻止RFC1918专用网络): [√]选中

Block BOGONnetworks(阻止BOGON网络)

·        Block bogon netwoks(阻止BOGON网络): [√]选中

Select next tocontinue(选择下一步并继续)。


Configure LAN Interface(配置LAN接口)

wKiom1k-BHnhts7WAAHMcq2oqkQ783.png

如果需要,在这里给LAN接口一个特定的地址。在这里我们保留为192.168.1.1不进行修改。

·        LAN IP address(LAN IP地址): 192.168.1.1

·        Subnet mask(子网掩码): 24

Select Next tocontinue(选择下一步并继续)。


Set Admin WebGUIPassword(设置管理员访问密码)wKioL1k-BKDQqunJAAD_YCFiKwU697.png

设置一个复杂的密码来保护防止未经授权访问Web界面。

·        Admin Password(管理员密码): a strongpassword(第一次输入)

·        Admin password again(确认): a strongpassword again(与第一次相同)

Select Next tocontinue(选择下一步并继续)。


Enter thedashboard…(系统面板)

wKioL1k-BOaimQcEAADZcc2c7fA576.png

点击“Here”进入pfsensewebConfigurator,将会看到系统面板,我们将配置系统的其余部分。wKiom1k-BPKikE_7AAJAOnJYotU225.png


Admin access configuration(管理员访问配置)

我们将首先使用页面顶部的菜单栏设置一些常规配置选项。

导航到System > Advanced > Admin Access

Web Configurator(Web访问配置)

为了增加安全性,可以通过HTTPS设置GUI访问,并选择443以外的端口,使用445其原因之一是确保我们可以生成安全的防锁定规则,这将阻止我们将自己锁定在GUI之外,后面我们会创建相应的防火墙规则。

·        Protocol(协议): HTTPS

·        SSL certificate(SSL证书): webConfigurator default(默认)

·        TCP Port(TCP端口): 445 (或你指定的其他端口)

·        Max processes(同时访问用户数): 2

·        WebGUI redirect, Disable webConfigurator redirect(WebGUI重定向,禁用webConfigurator重定向): [√]选中

·        WebGUI login autocomplete, Enable webConfigurator login(WebGUI登录自动完成,启用webConfigurator登录): [ ]不选

·        Anti-lockout(防锁设置): [√] DisablewebConfigurator anti-lockout rule(禁用webConfigurator反锁定规则)

我们可以禁用系统反锁定规则,因为我们将在安装过程中创建受管理规则。


Firewall/NAT configuration(防火墙/NAT配置)

导航到 System > Advanced > Firewall/NAT

Firewall Advanced(防火墙高级选项)

·        Firewall Optimisation options(防火墙优化选项): conservative(保守)。Tries to avoiddropping legitimate idle connections at expense of memory and CPU utilisation(尝试避免丢弃合法的空闲连接,以牺牲内存和CPU利用率),也可以选择“正常”,其他的不推荐。

·        Firewall Maximum States(防火墙最大状态数): 1633000 (根据电脑配置自动生成,也可以手动修改,配置太低了,不建议改的太大,这跟内存有关系)

·        Firewall maximum table entries(防火墙最大表条目数): 200000 (根据电脑配置自动生成,也可以手动修改)

Bogon Networks(Bogon网络)

·        Update Frequency(更新频率): Weekly(每周)

·        Click Save(单击保存)


Miscellaneous configuration(杂项配置)

导航到 System > Advanced > Miscellaneous

Power Savings(电源设置)

·        Use PowerD(用户电源管理) [√]选中

·        on AC(交流电): HiAdaptive(高适应性)

·        on Battery(电池): HiAdaptive(高适应性)

·        unknown Power(未知电源): HiAdaptive(高适应性)

CryptographicHardware Acceleration(硬件加密和温度传感器设置)

只有在使用Intel处理器时才选择以下内容。如果使用AMD处理器,则使用其他选项。

·        加密硬件: AES-NI CPU based Acceleration

·        温度传感器: Intel Core CPU on-die thermal sensor

·        单击保存。

 

    好了,pfsense的安装大概就这些了,经过这些设置,局域网内的电脑已经可以正常上网了,但要确保网络合理利用,你要还进行一些其他更复杂的设置。

 

 

 

2017-6-12