期刊/使用 pfSense 打造個人防火牆(上)

出自台灣中等學校資訊管理人學會

目錄 1 摘要 2 使用 pfSense 打造個人防火牆(上) 2.1 來自於 m0n0wall 的 pfSense 2.2 pfSense 硬體準備 2.3 光碟上的路由器 pfSense 2.4 安裝 pfSense 到硬碟 2.5 結語

[編輯] 摘要

• 作者：吳佳湖

[編輯] 使用 pfSense 打造個人防火牆(上)

隨著電腦的硬體技術的飛速發展，電腦淘汰的週期越來越短，許多公司庫房都堆著不少舊電腦，在短短的幾年時間內，這些曾經威風一時的 "大哥大" 電腦已經風光不再，淪為占據庫房空間，又無法有效利用的「廢機」，難道只能任其在落滿灰塵的角落中安享晚年嗎？雖然這些老掉牙的電腦已經不能執行目前最新流行的作業系統和軟體，但不意味著它們毫無用武之地，現在借助免費的pfSense路由器軟體可以使它們 "重出江湖" ，搖身一變成為功能強大的防火牆寬頻路由器。

[編輯] 來自於 m0n0wall 的 pfSense

pfSense 是一款功能強大的免費路由器軟體，它是以 m0n0wall 為基礎而開發的，PfSense 增加了許多 m0n0wall 沒有的功能。PfSense 除了包含寬頻路由器的基本功能外，還有以下的特點：

1. 是在於穩定可靠的 FreeBSD 作業系統之上，故能適應24Hr系統執行不間斷的需求。
2. 具有使用者認證功能，使用 Web 網頁的認證方式，配合 RADIUS 可以附加計費功能。
3. 完善的防火牆，流量控制和資料包過濾功能，保證網路的安全，穩定和高速執行。
4. 支援多條 WAN 線路和負載平衡功能，可大幅度提高網路出口頻寬，在頻寬擁塞時自動分配負載。
5. 預設了 IPSec 和 PPTP VPN 功能，實現了不同分支機構的遠端互連或遠端用戶安全地連接內部網路。
6. 支持 802.1Q VLAN 標準，可以透過軟體模擬的方式能使一般的網路卡能識別 802.1Q 的標記，同時為多個 VLAN 的使用者提供服務。
7. 支援使用額外的外掛套件來擴充 pfSense 功能，為使用者提供更多的功能(如 FTP 和快取代理)。
8. 詳細的日誌功能，方便使用者對網路出現的事件分析，統計和處理。
9. 使用 Web 管理介面進行設定(支援 SSL )，支援遠端系統管理和軟體版本自動線上升級。

[編輯] pfSense 硬體準備

pfSense 對電腦硬體的要求很低，只要 CPU 在 133MHz 以上，記憶體 64MB 以上，硬碟為 1GB 以上並配有 CD-ROM 的電腦都可以執行．本例執行 pfSense 的電腦上安裝兩塊網卡，一塊網卡連接 WAN 網路，一塊網卡連接到內部區域網。

[編輯] 光碟上的路由器 pfSense

pfSense 最新版本是 1.2 RC1，我們可以從 http://www.pfsense.org/ 下載，其安裝光碟檔案名為 pfSense-1.2-RC1-LiveCD-Installer.iso.gz，大小約為 28MB。

pfSense Live CD 本身就可以從光碟啟動作為防火牆，也可以從 Live CD 啟動安裝 pfSense 到硬碟中。

注意：由於 pfSense 安裝程式會對本地硬碟重新分區，所以在安裝前，請備份硬碟中的資料。

將下載的光碟鏡像檔解壓縮，在將安裝鏡像檔燒錄到光碟，並放入需要安裝 pfSense 電腦光碟機啟動它。

1.設定網路介面

從 CD-ROM 啟動進入 pfSense 後，會要求設定網路介面，pfSense 顯示檢測到的網卡清單(如下圖)及其 MAC 位址，本例中有兩塊網卡分別是 le0 和 le1。

(1)pfSense 首先會詢問你是否要設定 VLAN，如果連接 LAN 的網卡連接的是交換機的 Trunk 埠，並且你想讓 pfSense 能處理來自各個 VLAN 的資料，則可以在此指定網卡和 VLAN 的 802.1Q 標記 ID，由於本例沒有涉及 VLAN ，所以在此選擇 "n" 即可。

(2)接下來pfSense會要求我們輸入內部網卡(連接LAN的網卡)的名稱，這裡請根據實際選擇(可以根據網卡的MAC位址來區別)，本例輸入 "le0" (如下圖)。

注意：我們雖然可以輸入 "a" 來讓 pfSense 自動檢測，但筆者建議還是手工指定比較好，因為 pfSense 自動檢測功能並不是很準確。

(3)然後 pfSense 會要求我們輸入外部網卡(連接WAN的網卡)的名稱，這裡請根據實際選擇(可以根據網卡的 MAC 位址來區別)，本例輸入 "le1" 。

(4)由於 pfSense 支援多 WAN 線路，所以還會要求輸入可選的 (Optional) 網卡名稱。本例只有一條 WAN 線路，所以只需直接按 ENTER 即可。

(5)pfSense 最後會顯示我們的設定結果，並詢問是否按照顯示進行設定，請輸入 "y" 來確認(如下圖)。

2.控制台設定

設定完網路介面後，就來到了 pfSense 的控制台設定視窗 "pfSense Console Setup" 。

我們可以看到內部網自動設定的 IP 位址為 192.168.1.1，外部網是採用 DHCP 方式取得 IP 位址。

如果你想把 pfSense 安裝到硬碟上，直接在 "Enter an option" 後輸入 "99" 打開 pfSense 的安裝介面。如不需要把 pfSense 安裝到硬碟的使用者，則可以根據其提供的選項對 pfSense 進一步設定(如下圖)。

[編輯] 安裝 pfSense 到硬碟

在 pfSense 的控制台介面輸入 "99" 打開其安裝程式，並參照下列步驟進行安裝。

1. 在 "Welcome to pfSense" 視窗選擇 "99" ，然後在出現的 "Configure Console" 視窗中選擇 "Accept these Settings" 按鈕，開始安裝 pfSense。
2. 在 "Select Task" 對話方塊中，請選擇 "Install pfSense" 進行安裝。
3. 在 "Select a Disk" 對話方塊中，安裝程式會要求選擇將 pfSense 安裝到哪個硬碟，請根據實際情況選擇，本例只有一個硬碟，所以選擇 "ad0" 。
4. 在 "Format this Disk?" 對話方塊中，選擇 "Format this Disk" ，將硬碟重新規劃成符合 pfSense 的執行環境。
5. 在 "Select Geometry“ 對話方塊中，請直接選擇 " Use this Geometry" 選項，使用預設設定的即可。
6. 接下來會出現 "ABOUT TO FORMAT! Proceed?" ，這裡請按 "Format ad0" 繼續。
7. 格式化完成後會出現 "Partition Disk" 設定分割對話方塊，請選擇 "Partition Disk" ，開始進行分割硬碟。
8. 在 "Edit Partitions" 對話方塊中，選擇 pfSense 使用硬碟空間的大小，建議選擇將硬碟整個空間分配給 pfSense 使用，即直接選擇 "Accept and Create" 按鈕。接著安裝程式會提示刪除硬碟中所有資料的警告，如果已經備份硬碟中的資料，請選擇 "Yes" 按鈕確定。
9. 當磁區分割完成後，會出現 "Select a Partition" 對話方塊，此時就是將 pfSense 安裝在一個設定好的分割區中，故請選擇剛分割好的硬碟選項。
10. 接下來會出現 "Are you SURE?" 最後確認方塊，請直接按 "OK" 按鈕繼續。
11. 接著在 "Select Subpartitions" 對話方塊中，安裝程式會自動為我們建立根分區和交換分區，請選擇 "Accept and Create" 按鈕繼續。
12. 接下來安裝程式開始複製檔到硬碟中，完成後出現 "Install Bootblocks" 對話方塊，選擇是否安裝啟動區，請選擇 "Accept and Install Bootblocks" 按鈕，將Bootblocks安裝在硬碟中，這樣我們可以透過硬碟來啟動 pfSense。
13. 安裝完成後，系統要求重新開機電腦。重啟電腦，請取出 pfSense 安裝光碟，並進入 CMOS 設定從硬碟啟動，安裝即完成。

[編輯] 結語

到此你已經有個基本的 pfSense 機器，現在安裝好的 pfSense 已經可以開始基本運作，連接在 psSense 主機 LAN 端的電腦開始受到保護。下一章筆者將開始對 pfSense 做基本設定的介紹，讓讀者能對 pfSense 有更進一步的認識。