pfsense学习

必备的强大的开源的超级网关系统。

实例规划

interface

network

备注

em0

-

wan/dhcp

em1

10.20.1.0/24

subnet-a

em2

10.20.2.0/24

subnet-b

em3

10.20.3.0/24

subnet-c

已了解

  • web ui默认放在主lan上访问,可以通过pfctl -d临时关闭,然后配置规则,开放访问,再通过pfctl -e开启,或者apply规则自动启用(有一定延迟)

  • dns服务器这块,有dns resolver也有dns forward,前者也可以forward请求;对于dhcp,openvpn等自动分配的host也可以自动添加到dns中;当然也可以使用bind等

  • dns这块记得acl放开子网网段

  • 子网这块,配置dhcp信息,分发一些信息,比如domain,search domain等;子网接口的防火墙除了lan,其他的都默认拒绝,需要添加默认规则

  • openvpn配置这块配置已经很人性化了,也有专门的证书管理,支持的可配置的细节也很多;对于连接的信息管理也比较方便;目前外网访问只开1194,其他的服务访问均通过openvpn连入miniarch内网访问

TroubleShooting

1. 如何打开wan口的web访问权限?

进入shell,执行:pfctl -d关闭packet filter功能。

2. 即使防火墙放开了对应的端口,吾依旧无法访问对应的端口

默认情况,wan口会添加两条策略,禁止所有的非IANA分配IP访问,所以而且优先级最高,而我们的模拟环境,都是使用private ip段进行实验,所以会被拒绝,我们只需要将wan口的两个选项去掉即可:Block private networks and loopback addresses以及Block bogon networks