pfSense安装,详细设置,限流,无线等教程
简介
本文章载体多处来自网友kidz的一篇繁体中文pfsense文章,因考虑众多国内pfsense初学者,原文经本人改为简体中文并语气化。因首次是在m0n0发布,所以印有m0n0china。org,望文章中的原作者们多多海涵(感谢理解)
pfSense是一款功能强大的免费路由器软件,它是在著名的路由器软件mOnOwall基础上开发的,增加了许多mOnOwall没有的功能(pfSense的官方网站称它为the better mOnOwall)。PfSense除了包含宽带路由器的基本功能外,还有以下的特点:
◆基于稳定可靠的FreeBSD操作系统,能适应全天候运行的要求。
◆具有用户认证功能,使用Web网页的认证方式,配合RADIUS可以实现记费功能。
◆完善的防火墙,流量控制和数据包过滤功能,保证了网络的安全,稳定和高速运行。
◆支持多条WAN线路和负载均衡功能,可大幅度提高网络出口带宽,在带宽拥塞时自动分配
负载。
◆内置了Ipsec和PPTP VPN功能,实现不同分支机构的远程互联或远程用户安全地访问内部
网。
◆支持802.1Q VLAN标准,可以通过软件模拟的方式使得普通的网卡能识别802.1Q的标记,
同时为多个VLAN的用户提供服务。
◆支持使用额外的软件包来扩展pfSense功能,为用户提供更多的功能(如FTP和透明代理)。
◆详细的日志功能,方便用户对网络出现的事件分析,统计和处理。
◆使用Web管理界面进行配置(支持SSL),支持远程管理和软件版本自动在线升级。
以目前一台硬路由拆开看,CPU多是ARM9或intel的,其它部件都是嵌入式的。同性能的情况下但是价格却和我们自己组装的软路由价格相差十几倍。品牌又要说到售后服务了,别蒙事了,大伙说值嘛?用过品牌路由的人来说说,确实狗屁不值那么多Money。
其实自己装个路由很简单,真是很简单,别管是用PC元件还是服务器元件,都很简单,只不过是主板+内存+硬盘+CPU的组合而已。
pfSense对计算机硬件的要求很低:
◆CPU普通就好(随着服务的机器越多,当然准备越快越好)
◆RAM至少需要128MB
◆安装空间至少128MB,可安装在CDROM,HD,CF卡上
◆(最简单的作法当然是去找一张128MB的CF配上IDE转CF的卡就很方便了)
◆网卡要准备两张作NAT,如果要再架设无线基地台,再加上一张无线网路卡即可(最好是
Atheros晶片)
以下是pfSense的WEB界面
硬件安装
现在来介绍硬件的安装,别一听到安装就怕了,很多牛B的服务器都是玩家自己DIY出来的,呵呵,其实只要把旧电脑拿出来,插上CPU,内存,和载体,外加两片网卡就可以了:)
让我们来看看需要什么东西呢!(前提是自己的硬件要符合pfsense的兼容)
整体图:
两片Intel 82250,一片D-Link G520:
一个IDE转CF卡和一张128M CF卡
连接在一起的样子:
要架设无线,总不能用内建的2dBi的天线吧!至少也要10dBi的指向性天线:
一切都准备好了之后,请先加上一台CD机,毕竟我们要从CD机安装。安装后就可以撤掉了,接下来请到自行下载pfSense 1。01的ISO文件,解开来后,大约5xMB,请烧录到CD-R中,然后用它来开机。
pfSense安装
这是开机后的画面,图中可以看到它抓到我有三片网卡,两片有线一片无线,
第一是先问你要不要设定VLAN,一般来说选no,如果有串接多个Hub才需要设定
接下来就要设定网卡了,设定你的LAN、WAN代号,最后在设定无线网卡代号以我自己的设定,我的LAN是fxp0,WAN是fxp1,OPT是ath0
接下来进到这个画面之后,你可以选择先用光碟当firewall的感觉,确定要安装了请选99
第一个画面直接选Accept these Settings
选Install pfSense
选择你要安装的地方,我是放一张128MB的CF卡
要开始format你所选的CF卡了
Geometry不动,直接选Use this Geometry
按下去就真的format了
接下来要分割
把整个CF卡割成一割slices
真的要割下去了
接下来要装boot manager,直接选Accept and Install Bootblocks
把Boot manager安装在所选的CF卡上
按下去就真的装了
接下来是分割slices的partitions,请先选swap的del,我们不需要swap
删除Swap后就可以选Accept and Create
之后就会进入安装程序,在41%会停很久,别以为是死机了喔!
安装完后重新开机,CD机可以移除了,然后就可以开始设定pfSense了
这是第一次安装好后进入的画面,请选2,要设定主机的IP
设定你的机器的IP,我设定192。168。0。254
Subnet mask 请选24,然后会问你要不要设定DHCP,暂时先不要吧,等到网页再来设定(也可以现在设定)
详细设置
当你成功的可以看到pfSense的画面后,就可以透过WebGUI来设定全部的功能
首先我们先通过界面来作基础设定,除了基础设定外,这一篇有两个目标
1.NAT + DHCP(让内部LAN自动配IP和Gateway上网)
2.Port Forward 让服务可以转发进LAN的电脑内像是eMule,BT,Orb………等等
先选择System - > Setup Wizard 来基础设定
设定hostname和DNS Server
设定时区
设定WAN的上网方式,DHCP或是PPPoE,PPPoE的话下方要记得填写帐号
设定LAN,之前已经设定过了,所以不需要动
设定admin的密码,预设是pfsense,改成你自己的密码
接下来让DHCP跑起来来
勾选Enable DHCP Server,然后设定IP配发的范围
DHCP设定画面下方,可以设定依据MAC address对配发固定IP
截至目前为止第一项工作已经完成了,接下来要作port forward
(如果内部电脑不跑eMule、BT、Orb等等需要开port的软件,以下可以免掉) Firewall -> NAT,要开始设定port forward
按+来新增一条rule
以eMule为例,4662是TCP,4672是UDP,所以把TCP/UDP都打开,转发到内部192。168。0。
10
如法炮製,新增了BT的port和Orb的port,最后按下Apply changes就会生效了,同时他也会自动新增防火牆的rule来开启这几个port,很方便吧!
限流限速设置
◆每当多人使用的网路环境,有人跑P2P又不知节制给它跑全速的时候
◆就可以听到各个房间的哀号声音不断,这个时候道德劝说没用的时候
◆都是干声连连,然后气得想办法去拔网路线,常常听到外宿的抱怨
这个时候…………。等待pfSense发挥的时刻来临了,首先限流的概念要稍微说明一下,限流前你必须先建立几条不同的大小水管。
例如一条大水管叫做1号,这条水管的能耐是500Kb/s。再建立一条小水管叫做2号,这条水管的能耐是50Kb/s。之后我们就可以建立一些规则,来规定进出的规则。建立某些port只能走大水管,某些port只能走小水管。例如BT和eMule只能走小水管,两个流量加起来就是不能塞爆小水管50kb/s 的限制。或是PC1号和PC2号走大水管,PC3号PC4号走小水管之类的限制。就可以达到限制流量的功能当然除了限制流量,还可以控制优先权,例如你可以把P2P port网路的优先权。把他调到最低,把WWW和TELNET这两个网路优先权给调到最高,那么防火牆在分配的时候就会以WWW和TELNET为优先,这样即使P2P上传,开到爆也没关係,因为它的网路使用优先权远低于WWW和TELNET。如果是一般IP分享器,大家使用权利一样,P2P一开,sessions数爆增,这个时候
当然P2P开几百个连线,而你只开一个WWW或是只上一个BBS,当然频宽会抢输人家那么本篇的重点着重在于调整网路的优先权,让你可以P2P上传开到爆,要使用网路的时候也不会变慢,当然如果你要限制P2P的上传流速也是可以的。
开启Firewall -> Traffic Shaper
进入Wizard
先调整上下传频宽,Inside请设定LAN,Outside设定WAN,上传下载请自行设定例如2M / 512K 那么设定Downbload / 2048 , Upload 512
设定VoIP的优先权,这个不是Skype,所以可以不用理他设定直接Next