pfSense2.3安装教程

下载并创建可启动的基于pfSense USB的安装程序

首先去https://www.pfsense.org/download/下载最新版本的pfSense安装程序，当前最新版本是2.34，其他版本的安装大同小异。

下载64位pfsense ISO安装文件，用UltraISO软件将ISO文件写到2G以上的U盘上进行安装。如果有光驱，也可以直接刻录光盘用光驱进行安装。也可以使用WINPE直接安装，我将在另一篇文章中进行介绍。

设置BIOS，方便pfSense 安装

·        关闭主板的AHCI功能，选择ATA 磁盘模式。

·        禁用其他不使用到的功能。

安装

将U盘插入可用的USB端口，然后从U盘启动系统。根据主板的不同，需要使用不同的功能按键选择启动选项或设置BIOS中的引导菜单进行U盘引导。

经过短暂的等待，您将看到一个提示，按“I”启动安装程序，将开始安装pfSense到本地硬盘。

 Configure Console（控制台设置）

将显示第一个屏幕，可以修改控制台设置。选择‘Accept thesesettings（接受这些设置）’。

Select Task（选择任务）

如果安装到系统中的第一个硬盘，请选择“Easy Install（简易安装）”。自定义安装可以选择特定的磁盘并自定义初始化选项。

确定后，安装程序将继续进行格式化，并将pfSense文件复制到本地硬盘。

Install Kernel（安装内核）

当提示安装内核时，选择“Standard Kerne（标准内核）”。

Reboot（重启）

经过短暂的等待，将会看到一个重新启动的选项。选择“（Reboot）重启”，当系统达到适当的状态时（最好在重启完成，进行再次引导前），取出USB引导磁盘，并从系统磁盘引导。

Initial Configuration(初始配置)

重新启动后，等待数分钟，将会看到下面的画面。

默认情况下，安装程序将第一个网卡配置为通过DHCP获取地址的WAN端口，将第二个网卡配置为LAN接口，并配置地址为192.168.1.1的。 LAN接口会开启DHCP服务，如果将PC连接到此端口，IP设为自动获取，会自动获取与LAN同一网段的地址（也可以手动设置），这样我们就可以访问GUI来继续进行后面的配置。

First login（第一次登陆）

打开浏览器并在地址栏中输入http://192.168.1.1，应该看到如下所示的登录画面。

输入用户名“admin”和密码“pfsense”进行登陆。

pfSense wizard setup（设置向导）

向导将引导你完成初始配置步骤。

选择下一步开始。

Bling your pfsense with pfSense gold（会员服务）

这个页面显示您将获得购买pfSense黄金订阅的机会（当然要花钱的，还是美元，略过），其中包括自动备份，定期视频会议等，其实最主要是pfsense的指导手册，这个要卖一百多美元。

选择“下一步”继续。

General Information（常规信息）

按照以下指定配置此页面。我们将使用OpenDNS服务器进行初始DNS解析。

·        Hostname（主机名）: pfSense

·        Domain（域）: local.lan

·        Primary DNS server（第一个DNS）: 208.67.222.222

·        Secondary DNS server（第二个DNS）: 208.67.220.220

·        Allow DNS to be over ridden on WAN（允许在WAN覆盖DNS）: unticked（取消选中）

·        Select Next（选择下一步）

Configure NTP（配置NTP）

默认的时间服务器主机名通常不需要修改，时区必须设置为你自己的位置。

·        Time server hostname（时间服务器主机名）:0.pfsense.pool.ntp.org

·        Timezone（时区）: 根据自己的实际进行设置，国内一般选上海或香港。

·        Select Next（选择下一步）

Configure WAN Interface（配置WAN接口）

配置此页面如下。大多数选项将保持默认状态，即为空。

Configure WANInterface（配置WAN接口）

·        Selected Type（选择类型）: DHCP

其他保持默认设置就可以了。如果是固定IP上网，或PPPOE拨号上网，在“Selected Type”上选择正确的类型并在下面正确设置各项参数。

RFC1918 networks（RFC1918网络）

·        Block RFC1918 Private networks（阻止RFC1918专用网络）: [√]选中

Block BOGONnetworks（阻止BOGON网络）

·        Block bogon netwoks（阻止BOGON网络）: [√]选中

Select next tocontinue（选择下一步并继续）。

Configure LAN Interface（配置LAN接口）

如果需要，在这里给LAN接口一个特定的地址。在这里我们保留为192.168.1.1不进行修改。

·        LAN IP address（LAN IP地址）: 192.168.1.1

·        Subnet mask（子网掩码）: 24

Select Next tocontinue（选择下一步并继续）。

Set Admin WebGUIPassword（设置管理员访问密码）

设置一个复杂的密码来保护防止未经授权访问Web界面。

·        Admin Password（管理员密码）: a strongpassword（第一次输入）

·        Admin password again（确认）: a strongpassword again（与第一次相同）

Select Next tocontinue（选择下一步并继续）。

Enter thedashboard…（系统面板）

点击“Here”进入pfsensewebConfigurator，将会看到系统面板，我们将配置系统的其余部分。

Admin access configuration（管理员访问配置）

我们将首先使用页面顶部的菜单栏设置一些常规配置选项。

导航到System > Advanced > Admin Access

Web Configurator（Web访问配置）

为了增加安全性，可以通过HTTPS设置GUI访问，并选择443以外的端口，使用445其原因之一是确保我们可以生成安全的防锁定规则，这将阻止我们将自己锁定在GUI之外，后面我们会创建相应的防火墙规则。

·        Protocol（协议）: HTTPS

·        SSL certificate（SSL证书）: webConfigurator default（默认）

·        TCP Port（TCP端口）: 445 (或你指定的其他端口)

·        Max processes（同时访问用户数）: 2

·        WebGUI redirect, Disable webConfigurator redirect（WebGUI重定向，禁用webConfigurator重定向）: [√]选中

·        WebGUI login autocomplete, Enable webConfigurator login（WebGUI登录自动完成，启用webConfigurator登录）: [ ]不选

·        Anti-lockout（防锁设置）: [√] DisablewebConfigurator anti-lockout rule（禁用webConfigurator反锁定规则）

我们可以禁用系统反锁定规则，因为我们将在安装过程中创建受管理规则。

Firewall/NAT configuration（防火墙/NAT配置）

导航到 System > Advanced > Firewall/NAT

Firewall Advanced（防火墙高级选项）

·        Firewall Optimisation options（防火墙优化选项）: conservative（保守）。Tries to avoiddropping legitimate idle connections at expense of memory and CPU utilisation（尝试避免丢弃合法的空闲连接，以牺牲内存和CPU利用率），也可以选择“正常”，其他的不推荐。

·        Firewall Maximum States（防火墙最大状态数）: 1633000 (根据电脑配置自动生成，也可以手动修改，配置太低了，不建议改的太大，这跟内存有关系)

·        Firewall maximum table entries（防火墙最大表条目数）: 200000 (根据电脑配置自动生成，也可以手动修改)

Bogon Networks（Bogon网络）

·        Update Frequency（更新频率）: Weekly（每周）

·        Click Save（单击保存）

Miscellaneous configuration（杂项配置）

导航到 System > Advanced > Miscellaneous

Power Savings（电源设置）

·        Use PowerD（用户电源管理） [√]选中

·        on AC（交流电）: HiAdaptive（高适应性）

·        on Battery（电池）: HiAdaptive（高适应性）

·        unknown Power（未知电源）: HiAdaptive（高适应性）

CryptographicHardware Acceleration（硬件加密和温度传感器设置）

只有在使用Intel处理器时才选择以下内容。如果使用AMD处理器，则使用其他选项。

·        加密硬件: AES-NI CPU based Acceleration

·        温度传感器: Intel Core CPU on-die thermal sensor

·        单击保存。

好了，pfsense的安装大概就这些了，经过这些设置，局域网内的电脑已经可以正常上网了，但要确保网络合理利用，你要还进行一些其他更复杂的设置。

2017-6-12