pfSense 是一個基於 FreeBSD 的開源防火牆及路由器平台,專案作爲 m0n0wall 專案的分支發行 pfSense 社群版(CE)和 pfSense Plus 安裝於實體電腦或虛擬機器上,為網路打造防火牆及路由器,它可以透過基於 Web 的介面進行設定和升級管理。
pfSense 常見的優點和缺點
- 免費開源:pfSense 是一個免費的開源防火牆平台軟體,這意味著你不需要付費就能使用功能強大的網路安全工具。
- 高自訂性:它提供了自訂版面、擴充功能,可以依據你的需求來進行設定,從基本的網路防火牆到複雜的 IPsec VPN 配置都能輕鬆搞定。
- 高穩定性:pfSense 已經被廣泛使用在政府機關、中小企業規模使用,並且經過了多年的測試改進,成為一個非常穩定的平台。
- 豐富的社群資源:可以從第三方社群論壇、Youtube 資源平台很容易找到教學。
- 支援跨平台:無論是桌上 x86 型、嵌入式 ARM 裝置各種硬體上,可以讓 pfSense 順暢運行。
- 設定難度高:雖然 pfSense 功能強大,但對新手來說,第一次使用可能會有點複雜,需要花時間去了解各種設定。
- 硬體需求高:雖然可以在很多硬體上運行,在高流量的環境中,可能需要 CPU 能夠支援 AES-NI 加密硬體加速。
- 介面較為傳統:pfSense 的網頁管理介面相對來說比較老舊,沒有比 OPNsense 較直觀的 Web 界面,所以對於習慣現代 UI 的人來說,可能會感覺不夠直觀。
- 官方支援少:雖然有豐富的第三方社群資源平台,但官方的技術支援選項相對有限,主要依賴於第三方社群資源平台解決問題。
pfSense CE vs pfSense Plus 差異
在選擇 pfSense 的時候,你可能會遇到兩種不同版本:pfSense CE(Community Edition)和 pfSense Plus,但兩種版本大多都有著相似的基礎功能,但也有一些不同點的地方。
- pfSense CE(Community Edition)
- 完全免費:pfSense CE 社群版是完全免費開源的,適合那些喜歡 DIY、樂於探索技術的人。
- 豐富的基礎功能:pfSense CE 社群版提供幾乎所有您需要的功能,從防火牆到 IPSec VPN,應有盡有,適合大多數用戶。
- 社群支持:因為是 pfSense CE 社群版,所以遇到問題時,主要依賴網路上的第三方論壇和社群資源來尋找答案解決。
- 軟體更新:僅提供小幅更新,但不保證,會比 Plus 更新週期進度更慢一些。
- pfSense Plus
- 商業支援:pfSense Plus 是由 Netgate 公司開發和支持的,主要針對企業和專業用戶,提供客服的技術支援,適合於企業環境。
- 額外功能:pfSense Plus 提供了一些 CE 版本沒有的進階功能,像是專業級的硬體加速支援等,這功能對於大規模網路部署,會有很大幫助。
- 軟體更新:Plus 版本提供優先獲得新功能和更新,這對於企業來說是個不小的優勢。
- 授權費用:雖然有免費試用(不久某原因被取消了),後續是需要年繳付費的,偏太商業化,尤其是針對進階功能和技術支援的用戶需求。
- 個人、家庭用戶:穩定、安全的家庭或小型辦公室網路,pfSense CE 已經足夠,並且完全免費。
- 企業、專業用戶:更高的穩定性、技術支援和進階功能,pfSense Plus 可能更適合您更好的商業解決方案。
pfSense 硬體配置規格需求
pfSense 防火牆、IPSec VPN 功能強大,但其實對硬體的要求偏高,以下列出一些根據你的需求來選擇適合的硬體配置。
- 處理器(CPU)
- 入門配置:雙核的 1.2 GHz 以上處理器(適合家庭或小型辦公室網路)。
- 建議配置:多核 2.0 GHz 以上處理器(適合中大型、高流量大量處理網路)。
CPU 處理器需支援 AES-NI 指令集,對 IPSec VPN 加密硬體加速較有效率。
- 記憶體(RAM)
- 最低需求:1G RAM(適合簡單配置)。
- 建議配置:4GB 以上(能夠處理更複雜的設定、多項任務執行)。
- 硬碟(HDD / SSD)
- 最低需求為 20 GB HDD / SSD 硬碟,但建議使用 40 GB 以上的 SSD 規格可以提高系統的速度和穩定性。
- 網路卡介面(Network interface)
- 至少需要兩個網路埠(用於 WAN、LAN 各埠配置),但建議使用 Intel 或 Broadcom 網卡會比較穩定。
pfSense 前置準備
- 需要一台電腦主機,不要太差的規格,當然要兩張網路卡以上最好。
- 下載 ISO 官方映像檔
- 鍵盤、滑鼠、網路線
pfSense 官方映像檔
- 官方網站下載點:https://www.pfsense.org/download/
- 第三方 Mirror 下載點:https://repo.ialab.dsu.edu/pfsense/
pfSense CE 目前是免費下載,它有分成實體電腦 x86 / AMD64、虛擬 VM 版、以及 ARM 版的三種檔案使用,將 ISO 下載回來做成 USB 開機碟使用。
pfSense 安裝
開機後,等它跑一段載入程序後,來到 pfSense Installer 畫面,按下 Accept 確認。
預設選 Install pfSense 全新安裝。
為 FreeBSD 相容性穩定,預設選 Auto (ZFS) 格式。
接著 ZFS 配置,若沒問題的話,就繼續 Select 下一步。
RAID模式,對照列表說明如下
- stripe (raid0)
- 僅一顆硬碟以上。
- 優點:讀寫速度提升,但不提供資料備援容錯能力。
- 缺點:如果一個硬碟故障,將會所有資料遺失毀損。
- mirror (raid1)
- 需兩顆或多顆硬碟以上。
- 優點:提供資料備援容錯能力,就算其中一顆硬碟故障,資料就不會遺失毀損,仍正常使用。
- 缺點:依兩顆4TB硬碟為列,將相同資料同時寫入所有硬碟,容量實際上是4TB為主。
- raid10
- 需四顆硬碟以上。
- 優點:將 raid0 跟 raid1 結合,同時具備效能兼顧資料備援容錯能力,會比 raid1 效能好。
- 缺點:硬碟數量高,成本高。
- raidz1
- 需三顆硬碟,容許一顆硬碟損壞。
- 優點:相對於 raid5 模式,可保護資料不會因硬碟故障資料遺失毀損。
- 缺點:如果大於容許一顆硬碟損壞,I/O系統效能會大幅降低。
- raidz2
- 需四顆硬碟,容許二顆硬碟損壞。
- 優點:相對於 raid6 模式,可保護資料不會因硬碟故障資料遺失毀損。
- 缺點:系統效能略降。
- raidz3
- 需四顆硬碟,容許二顆硬碟損壞。
- 優點:相對於 raid6 模式,可保護資料不會因硬碟故障資料遺失毀損。
- 缺點:系統效能略降。
本次只有一顆硬碟,所以預設選擇 stripe 模式進行,按 OK 下一步。
選擇硬碟,按下 空白鍵 將 [*] 鎖定選擇它。
它詢問您是否要格式化硬碟,就按 YES 下一步。
就開始進行安裝囉~
安裝完後,詢問您是否要重新開機 Reboot?還是繼續 Shell 操作?我選擇 Shell 下一步。
來到 Shell 畫面後,輸入 poweroff 先關機,再把 USB or ISO 拔出,然後開機,避免資料載入有問題,只是防萬一見,若您沒有太多介意的話,可以直接 reboot 即可。
等它跑完開機程序完成後,看到 WAN、LAN 預設 IP 位址,有可能是空值都不一定。
pfSense 最初配置
選擇 2) Set interface(s) IP address → 然後選擇 2 – LAN configure 變更
- Configure IPv4 address LAN interface via DHCP – 輸入 n
- Enter the new LAN IPv4 address – 輸入 192.168.56.200 (做為後台的 IP 位址,或您自訂即可)
- Enter the new LAN IPv4 subnet bit count – 輸入 24
- Enter the new LAN IPv4 Gateway address – 不用輸入,請直接空值就好
- Configure IPv6 address LAN interface via DHCP6 – 輸入 n
- Enter the new LAN IPv6 address – 不用輸入,請直接空值就好,它會直接關閉 DHCP6
這個地方會有不一樣習慣的重要觀念問題,pfSense 跟常見 Router(例如:ASUS、TP-Link …等)DHCP Server 配置稍微有點不同之處。
因為它多出一種安全性行為,假設我將 192.168.56.100 ~ 192.168.56.199 這個動態 IP 位址範圍內指派給用戶端使用,那麼靜態 IP 位址是不能設在動態 IP 位址範圍內,這是避免發生互搶佔用 IP 位址情況。
- Enable the DHCP Server on LAN – 輸入 y
- Enter the start address of the IPv4 range – 192.168.56.100
- Enter the end address of the IPv4 range – 192.168.56.199
最後,它詢問是否預設 http 登入後台介面嗎?請輸入 n 下一步,它就會切換成 https 做為預設登入後台介面,並且顯示登入 IP 位址。
再按 Enter 回到選單畫面,就看到了 LAN IP 有變了。
再來輸入 13) Update from console 進行檢查更新。
pfSense 基本設定組態
第一次使用時,帳號密碼預設為 admin / pfsense 登入
進入設定精靈 Wizard 畫面
- 主機名稱 Hostname / Domain:可自定名稱
- 主 / 次 DNS 伺服器:常見 8.8.8.8 / 8.8.4.4 或是您自訂喜好的 DNS IP 伺服器
- 覆寫 Override DNS:請取消勾選 [允許 DNS 伺服器被 WAN 上的 DHCP/PPP 覆寫]
- 時間伺服器主機名稱 Time server hostname:time.google.com (每組有空格隔間)
- 時區 Timezone:Asia/Taipei
- IPv4 組態類型:
[ 第四台 Cable 用戶 ] DHCP 類型
[ ADSL / 光纖非固定制用戶 ] PPPoE 類型
[ ADSL / 光纖固定制用戶 ] Static IP 類型 - 封鎖私有網路:須勾選
- 封鎖專用網路:須勾選
- IPv6 組態類型:改無
- LAN IP 位址:之前有設定過了,暫不用更動它。
最後,會詢問是否要修改密碼。
以上完成設定後,就會看到 completed. 完成了。
pfSense 變更語系
到系統 System → 基礎設定裡面,找到本地化 Localiztion 後,可將 Language 設定為 Chinese (Traditional, Taiwan),就可切換繁體中文囉~