pfSense安装,详细设置,限流,无线等教程[转]

pfSense安装,详细设置,限流,无线等教程[转]

写在前面:  还是老话,自己架设的过程,图片就不贴了~~没时间的说~~

  m0n0, pfsense 都是硬件级的防火墙, 适用于   网吧,中小型企业.  特别是 pfsense, 可做流量均衡, 接上N个 ADSL, 速度爽的要死~~    俺现在的这个公司就是 三根ADSL, 分别为 4,8,8 M

因 一根ADSL为 IP电话专用, 故~~  流量均衡只做了两根, 另一根接防火墙 桥接~~~   

等会再贴 公司用的情况~~  先把教程 转上~~~  有兴趣的朋友, 可与俺共同研究~~

 

================================================================================
pfSense是一款功能强大的免费路由器软件，它是在著名的路由器软件mOnOwall基础上开发的，增加了许多mOnOwall没有的功能(pfSense的官方网站称它为the better mOnOwall)．PfSense除了包含宽带路由器的基本功能外，还有以下的特点：

基于稳定可靠的FreeBSD操作系统，能适应全天候运行的要求．

具有用户认证功能，使用Web网页的认证方式，配合RADIUS可以实现记费功能．

完善的防火墙，流量控制和数据包过滤功能，保证了网络的安全，稳定和高速运行．

支持多条WAN线路和负载均衡功能，可大幅度提高网络出口带宽，在带宽拥塞时自动分配负载．

内置了Ipsec和PPTP VPN功能，实现不同分支机构的远程互联或远程用户安全地访问内部网．

支持802。1Q VLAN标准，可以通过软件模拟的方式使得普通的网卡能识别802。1Q的标记，同时为多个VLAN的用户提供服务．

支持使用额外的软件包来扩展pfSense功能，为用户提供更多的功能(如FTP和透明代理)．

详细的日志功能，方便用户对网络出现的事件分析，统计和处理．

使用Web管理界面进行配置(支持SSL)，支持远程管理和软件版本自动在线升级．

以目前一台硬路由拆开看，CPU多是ARM9或intel的，其它部件都是嵌入式的。同性能的情况下但是价格却和我们自己组装的软路由价格相差十几倍。品牌又要说到售后服务了，别蒙事了，大伙说值嘛？用过品牌路由的人来说说，确实狗屁不值那么多Money。

其实自己装个路由很简单，真是很简单，别管是用PC元件还是服务器元件，都很简单，只不过是主板＋内存＋硬盘＋CPU的组合而已。

pfSense对计算机硬件的要求很低：

CPU普通就好(随着服务的机器越多，当然准备越快越好)

RAM至少需要128MB

安装空间至少128MB，可安装在CDROM，HD，CF卡上
(最简单的作法当然是去找一张128MB的CF配上IDE转CF的卡就很方便了)

网卡要准备两张作NAT，如果要再架设无线基地台，再加上一张无线网路卡即可 (最好是Atheros晶片)

以下是pfSense的WEB界面

pfsenen001.JPG (39.29 KB)

2007-11-10 01:37 PM

硬件安装

现在来介绍硬件的安装，别一听到安装就怕了，很多牛B的服务器都是玩家自己DIY出来的，呵呵，其实只要把旧电脑拿出来，插上CPU，内存，和载体，外加两片网卡就可以了：）

让我们来看看需要什么东西呢！(前提是自己的硬件要符合pfsense的兼容)

整体图：

pfSense002.JPG (29.64 KB)

2007-11-10 01:57 PM

两片Intel 82250，一片D-Link G520：

pfSense003.JPG (33.86 KB)

2007-11-10 01:57 PM

一个IDE转CF卡和一张128M CF卡

pfSense004.JPG (20.83 KB)

2007-11-10 01:57 PM

连接在一起的样子：

pfSense005.JPG (37.54 KB)

2007-11-10 01:57 PM

要架设无线，总不能用内建的2dBi的天线吧！至少也要10dBi的指向性天线：

pfSense006.JPG (13.73 KB)

2007-11-10 01:57 PM

一切都准备好了之后，请先加上一台CD机，毕竟我们要从CD机安装。
安装后就可以撤掉了，接下来请到自行下载pfSense 1.01的ISO文件，
解开来后，大约5xMB，请烧录到CD-R中，然后用它来开机。。

pfSense安装

这是开机后的画面，图中可以看到它抓到我有三片网卡，两片有线一片无线，

第一是先问你要不要设定VLAN，一般来说选no，如果有串接多个Hub才需要设定

pfSense007.JPG (21.58 KB)

2007-11-10 02:36 PM

接下来就要设定网卡了，设定你的LAN、WAN代号，最后在设定无线网卡代号
以我自己的设定，我的LAN是fxp0，WAN是fxp1，OPT是ath0

pfSense008.JPG (23.77 KB)

2007-11-10 02:36 PM

接下来进到这个画面之后，你可以选择先用光碟当firewall的感觉，确定要安装了请选99

pfSense009.JPG (17.4 KB)

2007-11-10 02:36 PM

第一个画面直接选Accept these Settings

pfSense010.JPG (17.72 KB)

2007-11-10 02:36 PM

选Install pfSense

pfSense011.JPG (17.12 KB)

2007-11-10 02:36 PM

选择你要安装的地方，我是放一张128MB的CF卡

pfSense012.JPG (17.39 KB)

2007-11-10 02:36 PM

要开始format你所选的CF卡了

pfSense013.JPG (17.47 KB)

2007-11-10 02:36 PM

Geometry不动，直接选Use this Geometry

pfSense014.JPG (24.01 KB)

2007-11-10 02:36 PM

按下去就真的format了

pfSense015.JPG (22.59 KB)

2007-11-10 02:36 PM

接下来要分割

pfSense016.JPG (26.57 KB)

2007-11-10 02:36 PM

把整个CF卡割成一割slices

pfSense017.JPG (22.23 KB)

2007-11-10 02:36 PM

真的要割下去了

pfSense018.JPG (17.98 KB)

2007-11-10 02:36 PM

接下来要装boot manager，直接选Accept and Install Bootblocks

pfSense019.JPG (26.65 KB)

2007-11-10 02:36 PM

把Boot manager安装在所选的CF卡上

pfSense020.JPG (17.37 KB)

2007-11-10 02:36 PM

按下去就真的装了

pfSense021.JPG (22.87 KB)

2007-11-10 02:36 PM

接下来是分割slices的partitions，请先选swap的del，我们不需要swap

pfSense022.JPG (26.35 KB)

2007-11-10 02:36 PM

删除Swap后就可以选Accept and Create

pfSense023.JPG (24.44 KB)

2007-11-10 02:36 PM

之后就会进入安装程序，在41%会停很久，别以为是死机了喔！

pfSense024.JPG (18.92 KB)

2007-11-10 02:36 PM

安装完后重新开机，CD机可以移除了，然后就可以开始设定pfSense了

pfSense025.JPG (21.61 KB)

2007-11-10 02:36 PM

这是第一次安装好后进入的画面，请选2，要设定主机的IP

pfSense026.JPG (19.48 KB)

2007-11-10 02:44 PM

设定你的机器的IP，我设定192.168.0.254

pfSense027.JPG (19.09 KB)

2007-11-10 02:44 PM

Subnet mask 请选24，然后会问你要不要设定DHCP，暂时先不要吧，等到网页再来设定(也可以现在设定)

pfSense028.JPG (17.67 KB)

2007-11-10 02:44 PM

详细设置

当你成功的可以看到pfSense的画面后，就可以透过WebGUI来设定全部的功能
首先我们先通过界面来作基础设定，除了基础设定外，这一篇有两个目标
1. NAT + DHCP(让内部LAN自动配IP和Gateway上网)
2. Port Forward 让服务可以转发进LAN的电脑内 像是eMule，BT，Orb………等等

1. 先选择 System – > Setup Wizard 来基础设定

pfSense029.JPG (55.9 KB)

2007-11-10 03:06 PM

设定hostname和DNS Server

pfSense030.JPG (41.18 KB)

2007-11-10 03:06 PM

设定时区

pfSense031.JPG (35.93 KB)

2007-11-10 03:06 PM

设定WAN的上网方式，DHCP或是PPPoE，PPPoE的话下方要记得填写账号

pfSense032.JPG (66.45 KB)

2007-11-10 03:06 PM

设定LAN，之前已经设定过了，所以不需要动

pfSense033.JPG (35.86 KB)

2007-11-10 03:06 PM

设定admin的密码，预设是pfsense，改成你自己的密码

pfSense034.JPG (39.64 KB)

2007-11-10 03:06 PM

接下来让DHCP跑起来来

pfSense035.JPG (56.04 KB)

2007-11-10 03:06 PM

勾选Enable DHCP Server，然后设定IP配发的范围

pfSense036.JPG (59.19 KB)

2007-11-10 03:06 PM

DHCP设定画面下方，可以设定依据MAC address对配发固定IP

pfSense037.JPG (59.52 KB)

2007-11-10 03:06 PM

截至目前为止第一项工作已经完成了，接下来要作port forward
(如果内部电脑不跑eMule、BT、Orb等等需要开port的软件，以下可以免掉)

Firewall -> NAT，要开始设定port forward

pfSense038.JPG (54.84 KB)

2007-11-10 03:06 PM

按＋来新增一条rule

pfSense039.JPG (44.59 KB)

2007-11-10 03:06 PM

以eMule为例，4662是TCP，4672是UDP，所以把TCP/UDP都打开，转发到内部192.168.0.10

pfSense040.JPG (66.33 KB)

2007-11-10 03:06 PM

如法炮製，新增了BT的port和Orb的port，最后按下Apply changes就会生效了，
同时他也会自动新增防火牆的rule来开启这几个port，很方便吧!

限流限速设置

每当多人使用的网路环境，有人跑P2P又不知节制给它跑全速的时候
就可以听到各个房间的哀号声音不断，这个时候道德劝说没用的时候
都是干声连连，然后气得想办法去拔网路线，常常听到外宿的抱怨

这个时候………….等待pfSense发挥的时刻来临了，首先限流的概念要稍微说明一下，限流前你必须先建立几条不同的大小水管。

例如一条大水管叫做1号，这条水管的能耐是500Kb/s

再建立一条小水管叫做2号，这条水管的能耐是50Kb/s

之后我们就可以建立一些规则，来规定进出的规则

建立某些port只能走大水管，某些port只能走小水管

例如BT和eMule只能走小水管，两个流量加起来就是不能塞爆小水管 50kb/s的限制

或是PC1号和PC2号走大水管，PC3号PC4号走小水管之类的限制

就可以达到限制流量的功能当然除了限制流量，还可以控制优先权，例如你可以把P2P port网路的优先权

把他调到最低，把WWW和TELNET这两个网路优先权给调到最高，

那么防火牆在分配的时候就会以WWW和TELNET为优先，这样即使P2P上传

开到爆也没关係，因为它的网路使用优先权远低于WWW和TELNET

如果是一般IP分享器，大家使用权利一样，P2P一开，sessions数爆增，这个时候

当然P2P开几百个连线，而你只开一个WWW或是只上一个BBS，当然频宽会

抢输人家那么本篇的重点着重在于调整网路的优先权，让你可以P2P上传开到爆，要使用网路

的时候也不会变慢，当然如果你要限制P2P的上传流速也是可以的。

1. 开启 Firewall -> Traffic Shaper

pfSense041.JPG (57.1 KB)

2007-11-10 03:41 PM

进入Wizard

pfSense042.JPG (38.31 KB)

2007-11-10 03:41 PM

先调整上下传频宽，Inside请设定LAN，Outside设定WAN，上传下载请自行设定
例如 2M / 512K 那么设定 Downbload / 2048 , Upload 512

pfSense043.JPG (51.05 KB)

2007-11-10 03:41 PM

设定VoIP的优先权，这个不是Skype，所以可以不用理他设定直接Next

pfSense044.JPG (48.76 KB)

2007-11-10 03:41 PM

重头戏，把P2P的使用权给降到最低，记得把eMule和BT给打勾

pfSense070.JPG (73.71 KB)

2007-11-10 09:37 PM

网路游戏优先使用带宽，有需要的人设定吧!

pfSense045.JPG (61.22 KB)

2007-11-10 03:41 PM

接下来是一般性的网络使用，至少把MSN，HTTP，DNS的priority给调到最高吧!

pfSense046.JPG (59.31 KB)

2007-11-10 03:41 PM

调高HTTP和DNS

pfSense047.JPG (61.7 KB)

2007-11-10 03:41 PM

简单的配置，到这边就完成了，按下Finish就开始运作了

pfSense048.JPG (38.64 KB)

2007-11-10 03:41 PM

接下来我们需要一些细部的微调，Firewall -> Traffic Shaper

pfSense049.JPG (46.86 KB)

2007-11-10 03:41 PM

刚刚的设置并没有为我们设定开BBS的优先权，外国人大概不开B
所以我们得手动去增加TELNET的优先权

pfSense050.JPG (71.25 KB)

2007-11-10 03:41 PM

新增一个rule，要准备新增TELNET的进来的优先权，
设定Target如图所示，In和Out的Interface分别设定WAN和LAN

pfSense051.JPG (58.36 KB)

2007-11-10 03:41 PM

下半部设定请把Destination改为LAN subnet，port都改成TELNET
最下方的描述就改成”m_Other TELNET inbound”

pfSense052.JPG (58.71 KB)

2007-11-10 03:41 PM

接下来准备新增TELNET出去的优先权
设定Target如图所示，In和Out的Interface分别设定LAN和WAN (跟进来的相反)
至于Source的地方请设定LAN subnet

pfSense053.JPG (58.24 KB)

2007-11-10 03:41 PM

下方设定一样把port改成TELNET，下方的描述是”m_Other TELNET Outbound”

pfSense054.JPG (59.34 KB)

2007-11-10 03:41 PM

接下来请在众多的Rules找到eDonkey和BT的选项，倘若你的ED和BT有改port请在这边修改
我的BT改到14422了，所以我修改port到14422

pfSense055.JPG (63.82 KB)

2007-11-10 03:54 PM

最后修改完，可以看到有telnet的in,out bound，接下来我们要去修改水管大小，选Queues

pfSense056.JPG (69.37 KB)

2007-11-10 03:54 PM

这一步是要把P2P的上传流量给固定住，上面设定P2P上传已经不影响网路使用了
但是如果还是想把P2P的流量给控制住，就进行这一步

pfSense071.JPG (62.54 KB)

2007-11-10 09:37 PM

如图所示，填入300Kb把P2P的上传控制在300Kb (K一定要大写)

pfSense072.JPG (64.7 KB)

2007-11-10 09:37 PM

最后Apply Changes就大功告成啦! 恭喜你已经有一套流量控管的防火墙系统

pfSense073.JPG (62.55 KB)

2007-11-10 09:37 PM

最后来检查一下是不是真的有限制住流量，Status -> Queues

pfSense074.JPG (60.53 KB)

2007-11-10 09:37 PM

我在qPenaltyUp这条水管设定300Kb，所以其他人的上传怎麽样都不会大于300Kb

pfSense075.JPG (60.72 KB)

2007-11-10 09:37 PM

以上可以做到了P2P开到爆不影响上网打B，而且也可以至接限制P2P的上传

那万一不知道人家用的P2P port怎麽办？或是类似utorrent可以选择random port该怎麽办?

那就把整个IP限速吧！ 在pfSense 1.01 Release裡面，针对IP限速没有设置可以用，但必须手动，就是建立两条水管，一进一出，把水管大小固定，然后规定那个IP只能够由这两个水管进出，就可以达到限流………但是怎么这么麻烦，不用怕啦 ！

截至目前为止我想大家最需要的功能已经写完了，pfSense还有很多特异功能可以玩像是IPSec、PPTP、miniupnpd、Dual LAN、load balancer、transparaent proxy无线基地台、网页认证功能…….等等…….好多好多………..欢迎共同研究。