जब मैं एक नए घर में एक साल पहले चले गए मैं अंत में शामिल होने में सक्षम था 21सेंट सदी और बीटी इन्फिनिटी जो एक SmartHub साथ आपूर्ति की है का आदेश दिया. SmartHub वास्तव में यथोचित सभ्य किट यह मुक्त करने के लिए आता है विचार कर रहा है, लेकिन अधिकांश के साथ के रूप में आईएसपी आपूर्ति उपकरणों यह कुछ मायनों में नीचे बंद कर दिया गया है, for example you can’t use your own डीएनएस सर्वर जो मैं करना पसंद. एडीएसएल के प्रारंभिक दिनों में (लगभग 2001) मैं एक रूटर के स्थान पर एक smoothwall बॉक्स भाग गया, और कारणों की एक श्रृंखला के लिए (इंटरनेट फ़िल्टरिंग सहित मेरे द्वारा नियंत्रित, के बजाय एक आईएसपी) मैं एक linux आधारित फ़ायरवॉल रूटर करने के लिए वापस जाने का फैसला किया.
The little Celeron J1900 box I got to do the hardware side of things didn’t want to install smoothwall, तो मैं pfSense बजाय स्थापित. मैं भी एक VDSL पाने के लिए था (रेशा) modem to connect the router to the phone socket. I got a netgear DM200 which is actually a full router that can be switched into “modem only” mode. Getting the whole arrangement working took quite some fiddling, so I thought I’d pull all the resources together in one place
1. स्थापित कर रहा है pfSense
मैं के माध्यम से pfSense स्थापित करने के लिए की जरूरत यूएसबी, so effectively by flash drive. This was made possible by the use of a blank pen drive, software called rufus, and the ‘memstick’ download of pfsense.
2. NETGEAR DM200 का विन्यास
To do anything with the DM200 you will have to connect both a LAN cable to it, and the phone socket to it. Your PC should get an address from the netgear by DHCP but if it doesn’t you will need to manually set you आईपी 192.168.5.x को संबोधित (x being anything from 2 - 254). You can then log in via web interface at 192.168.5.1. The default login username is व्यवस्थापक and the password is password. Select the “advanced” tab, and then the “advanced” menu option at the bottom left of that page. Under that select the “device mode” option. Change the device mode to “Modem (मॉडेम केवल)” and click apply. You can see more details and screenshots on the netgear help pages
3. लॉगिन और डिफ़ॉल्ट पासवर्ड बदलने
Connect your pfsense box to the lan and connect to it using web interface via it’s lan आईपी पता (which it will display on it’s default boot up screen if you connect a display to it). You may have to change your local आईपी इस लक्ष्य को हासिल करने के लिए संबोधित. Login to the pfsense with the username व्यवस्थापक and password pfSense. Go through the setup wizard and when given the opportunity change the default webui password. For more detailed information on steps 1–3 I recommend a tecmint पर मार्गदर्शन
4. pfSense बॉक्स का विन्यास एक बुनियादी कनेक्शन लेने के लिए
I use BT infinity and getting the right settings proved trickier than I had hoped. I had to first configure the वान settings correctly and after that, set the correct profile for the वान interface. प्रथम, के लिए जाओ Interfaces: वान और निम्न सेट.
IPv4 Configuration Type | PPPoE |
IPv6 Configuration Type | DHCP6 |
Use IPv4 connectivity as parent interface | टिक |
अनुरोध केवल एक IPv6 उपसर्ग | टिक |
DHCPv6 Prefix Delegation size | 56 |
username | bthomehub@btbroadband.com |
password | किसी भी मूल्य काम करेंगे |
परिवर्तनों को सुरक्षित करें, और उसके बाद के लिए जाना Interfaces: Assignment. सेट करें वान interface to “PPPOE…” which after saving should show with the physical interface in brackets — in my case it says “PPPOE (em0)". Save the changes again and hopefully you will get a connection.
4बी. वान MTU मूल्य
में वान Interface settings you might want to adjust your MTU setting to work optimally with BT Infinity to avoid fragmented packets and possible packet loss. I have written a [intlink id=“4002” type=“post”]समर्पित लेख[/intlink] इस विषय पर.
5. आईपीवी 6 परीक्षण
The settings above should be sufficient to get IPv6 working on your LAN clients — you should also see an IPv6 address for the pfsense LAN interface (अर्थात. one that doesn’t start fe80). Try pinging google.com from a terminal window on a LAN client — if you get a response from the IPv6 address then all is well. You can also check that all i correct using test-ipv6.com. करने के लिए धन्यवाद Danneh for the settings. For more information I recommend this reddit thread.
There is one further tweak required to make sure IPv6 works fully, you need to allow ICMPv6 packets through the firewall. Go to Firewall, और फिर नियम. एक नया नियम जोड़े, set the address family to IPv6, change the protocol to ICMP, leave “any” selected as the subtypes (unless you want to do a lot more reading about specific subtypes). सहेजें पर क्लिक करें, and then click “Apply Changes”.
6. सक्षम करने से इंटेल बढ़ाया गति कदम
I don’t want my lower powered router running at full tilt all the time — but sadly pfsense doens’t seem to correctly support intel enhanced speed step by default at the moment. To get mine working (and a lower cpu temperature to go with it!) मैं पहली बार में powerd सक्षम करने के लिए किया था System -> उन्नत -> Miscellaneous -> powerd सक्षम करें. If you want to enable the lowest frequencies (इन हालांकि ज्यादा बिजली बचाने नहीं है) you will also need to do the following changes: के लिए जाओ Diagnostics, फ़ाइल संपादित करें. फिर फ़ाइल पथ दर्ज /बूट / device.hints. change the bottom 2 से प्रविष्टियां 1 तक 0 (बुलाया hint.acpi_throttle.0.विकलांग तथा hint.p4tcc.0.विकलांग). करने के लिए धन्यवाद SecondEdge तथा dreamslacker इन सुझावों के लिए. To check this is working you will need to log into the router via SSH के, विकल्प चुनें 8 (खोल) और भाग खड़ा हुआ sysctl dev.cpu. | ग्रेप freq. This took my cpu core temperature from 66C to 57C — not bad for a tiny fanless system packed in next to another PC, मोडम, and an 8‑port switch.
7. पोर्ट फॉरवार्डिंग
के लिए जाओ firewall: नेट and then click the add button. प्रवेश करें आईपी address and port for the destination and (सबसे अधिक संभावना) the same port for the external port. For more detailed information I recommend splurben द्वारा एक पोस्ट pfSense मंचों पर.
8. नेट प्रतिबिंब
I use my laptop both at home on the LAN and away from home and in both cases want to access various web interfaces on the LAN. I use DDNS to get a domain name and wanted to use this to connect even when connected to the LAN. This requires NAT reflection which can be enabled under system: उन्नत: NAT Reflection mode for port forwards. आप कर सकते हैं (शायद) भी सक्षम करने की आवश्यकता 2 other options on this page: Enable NAT Reflection for 1:1 नेट तथा Enable automatic outbound NAT for Reflection
9. Adblocking
All of my PC webbrowsers have adblocked installed, but the same can’t be said of my android devices as these have to be rooted to install blockers. So being able to block ads with pfsense is one of the major advantages of using it. प्रथम, के लिए जाओ system: package manager और उसके बाद के लिए खोज pfblockerng और इसे स्थापित. You can then configure it using Firewall: PFBlockerNG. मैं तब तक गाइड का इस्तेमाल किया FredMerc to configure it. A brief summary of the settings I’ve used is as follows. के लिए जाओ Firewall: PFBlockerNG और फिर पर क्लिक करें DNSBL टैब, और फिर पर क्लिक करें DNSBL EasyList tab. Turn on the top EasyList feed and point it to EasyList. Then click the add button, and set the second EasyList feed to EasyPrivacy and turn that on too. List action should be “unbound” and I set the update frequency to 1 दिन. फिर सहेजें क्लिक करें. तो जाना DNSBL टैब और विकल्प को सक्षम DNSBL सक्षम करें. अंत में करने के लिए जाना General टैब और enable pfBlockerNG.
9बी. Adblock फिक्स
The default PFBlockerNG configuration causes problems for the amazon android app. इससे बचने के लिए, and other issues, it is worth using some whitelisting. के लिए जाओ Firewall: PFBlockerNG और फिर पर क्लिक करें DNSBL टैब, के लिए नीचे स्क्रॉल custom domain whitelist and enter the following (करने के लिए धन्यवाद bchow on the pfsense forums)
.amazonaws.com .amazon-adsystem.com .amazon.com .ssl.google-analytics.com .ssl-google-analytics.l.google.com # के लिए CNAME (ssl.google-analytics.com) .www.google-analytics.com .www-google-analytics.l.google.com # के लिए CNAME (www.google-analytics.com) .www.googleadservices.com .plex.tv .gravatar.com .thetvdb.com .themoviedb.com .googleapis.com # 172.217.3.202 is important for amazon app to work .1e100.net # CNAME? altname? for googleapis.com .ad.doubleclick.net # कुलों के संघर्ष के लिए आवश्यक? .g.doubleclick.net # कुलों के संघर्ष के लिए आवश्यक? .q1mediahydraplatform.com # hungryhouse Android एप्लिकेशन के लिए आवश्यक?
You may also want to enable the alexa whitelist of top sites.
10. पारदर्शी विद्रूप प्रॉक्सी
I decided to set up a transparent squid proxy as much of the browsing that we do hits the same sites repeatedly on different devices, I don’t expect it to make a huge difference, but I can’t see any good reasons not to. उपयोग system: package manager व्यंग्य स्थापित करने के लिए. फिर जाएं सेवाएं: squid proxy server to configure it. This is also needed for SquidGuard if you want to use it, जैसाकि मैं करता हूं.
11. SquidGuard साथ बच्चे की सुरक्षा के लिए वेब छानने
I have young children in the house and want to block unsuitable content. This can be achieved with the SquidGuard package and Shalla’s Blacklists. Install squidguard from system: package manager. फिर जाएं सेवाएं: squidguard proxy filter. पर जाएं blacklist टैब, पता दर्ज करें HTTPS के://www.shallalist.de/Downloads/shallalist.tar.gz और क्लिक करें download. Then use the Common ACL tab, click on the plus button and select the categories you wish to block. It is also necesary to set up a dummy target category due to a bug. For more information see this post on pfsense forum. Don’t forget to set the default for all of the lists to अनुमति देते हैं at the very bottom of the lists. Thanks to networkinggeek on the pfsense forums इस टिप के लिए. Lastly — it may be worth editing a couple of advanced options so that blocked requests are only cached for a short period of time — that way if you decide to unblock some sites you wont have to clear the browser cache to access those sites — there is more information on the pfsense forum. I had to whitelist the category[blk_BL_sex_lingerie] so that my wife could buy underwear as the filter was blocking the underwear sections on mainstream retailers (उदाहरण के लिए:. डेबेनहैम्स).
12. Enable U‑PNP for a range of services (जुआ, संदेश सेवा, धार, आदि)
के लिए जाओ Services: UPnP & नेट-पीएमपी, शीर्ष टिकटिक 2 बक्से (सक्षम करें UPnP & नेट-पीएमपी तथा अनुमति दें UPnP Port Mapping), और सहेजें क्लिक करें.
13. दुर्भावनापूर्ण यातायात थिरकने के साथ अवरुद्ध
To block detect and block potentially malicious traffic you can install the SNORT package. I recommend running it without blocking for the first few weeks as it will block lots of things you don’t want due to large numbers of false positives. I recommend using the following suppression list to avoid some of the most annoying false positives
#और पी 2 पी बिटटोरेंट पी 2 पी क्लाइंट उपयोगकर्ता-एजेंट (uTorrent) gen_id को दबाने 1, sig_id 2011706 #और पी 2 पी BitTorrent DHT announce_peers request suppress gen_id 1, sig_id 2008585 #(spp_ssl) Invalid Client HELLO after Server HELLO Detected suppress gen_id 137, sig_id 1 #और पी 2 पी BitTorrent DHT ping request suppress gen_id 1, sig_id 2008581 #(http_inspect) SIMPLE REQUEST suppress gen_id 119, sig_id 32 #(http_inspect) UNKNOWN METHOD suppress gen_id 119, sig_id 31 #(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE suppress gen_id 120, sig_id 8 #(http_inspect) कोई सामग्री-लंबाई या स्थानांतरण एन्कोडिंग एचटीटीपी RESPONSE suppress gen_id 120, sig_id 3 #(http_inspect) DOUBLE DECODING ATTACK suppress gen_id 119, sig_id 2 #(http_inspect) एचटीटीपी RESPONSE GZIP DECOMPRESSION FAILED suppress gen_id 120, sig_id 6 #(http_inspect) आईआईएस UNICODE CODEPOINT ENCODING suppress gen_id 119, sig_id 7 #(http_inspect) BARE BYTE UNICODE ENCODING suppress gen_id 119, sig_id 4 #(http_inspect) JAVASCRIPT कहानियो स्तर से अधिक है 1 gen_id को दबाने 120, sig_id 9 #(http_inspect) JAVASCRIPT WHITESPACES EXCEEDS MAX ALLOWED suppress gen_id 120, sig_id 10 #(http_inspect) में नहीं छोड़ा जाएगा अंतरिक्ष एचटीटीपी यूआरआई gen_id को दबाने 119, sig_id 33 #(http_inspect) U ENCODING suppress gen_id 119, sig_id 3 #(http_inspect) DOUBLE DECODING ATTACK suppress gen_id 119, sig_id 2 #(http_inspect) MULTIPLE ENCODINGS WITHIN JAVASCRIPT OBFUSCATED DATA suppress gen_id 120, sig_id 11 #(http_inspect) एचटीटीपी RESPONSE HAS UTF CHARSET WHICH FAILED TO NORMALIZE suppress gen_id 120, sig_id 4 #फ़ाइल-छवि Directshow GIF logical width overflow attempt suppress gen_id 1, sig_id 27525
14. मॉडेम के लिए वेब का उपयोग कर सकते हो रही है, pfSense बॉक्स के माध्यम से
My Netgear DM200 modem (पास के माध्यम से मोड में) is only accessible via a fixed आईपी पता (192.168.5.1). I wanted to be able to access its web interface on LAN computers. There are some instructions in the pfSense विकि, but these didn’t work for me at first. There is a helpful post by user Nonsense on the pfsense forum
14बी. pfSense डैशबोर्ड पर मॉडेम कनेक्शन आंकड़े दिखाए
After some headscratching I figured out a way to make the modem statistics for my netgear modem show on my dashboard.
This is done by creating a custom widget with php code.
Go to diagnostics and edit file. Create a new file at the path
/usr / स्थानीय / www / विगेट्स / विजेट / modemstatus.widget.php
सामग्री के साथ
< ?php $ स्थिति = file_get_contents("HTTPS के://उपयोगकर्ता नाम:password@192.168.5.1/RST_statistic.htm"); $स्थिति = str_replace("था timereset = "5\";","था timereset = "0\";",$स्थिति); गूंज $ स्थिति ?>
You will need to customise the username and password. The above code works for the Netgear DM200, and probably other netgear modems and routers. For other makes of hardware you will need a different address for the statistics and you may need to do additional manipulation of the response using php.
Note that I have over-ridden the default netgear refresh interval — I’ve turned it off as the reload breaks the dashboard display. To get updated numbers just refresh the pfsense dashboard using your web browser reload button
Now go to the dashboard and add the widget and you’re all done.
15. प्रमाणपत्र चेतावनी फिक्सिंग लॉगिन करते समय
देख इस गाइड
16. फ़ायरफ़ॉक्स पूछो स्थानीय उपयोग करने के लिए डीएनएस HTTPS पर, इसके बजाय हमारे फिल्टर को दरकिनार करने का (added April 2020)
In Services -> डीएनएस का समाधान
Add following line to “custom options” field…
सर्वर:स्थानीय क्षेत्र: "use-application-dns.net।" always_nxdomain
17. अवरोधित संसाधनों के बजाय के लिए pfSense बॉक्स के डोमेन नाम का उपयोग आईपी (added April 2020)
Services -> SquidGuard Proxy Filter -> Common ACL
Change “ReDirect Mode” to “ext url move (दर्ज यूआरएल)"
In the “Redirect info” field set “https://अपने रूटर-नाम / sgerror.php?url=403%20&एक =% एक&एन =% n&मैं% i =&रों =% s&टी =% टी&u=%u”
Fantastic guide where do i place this in floating rules?
There is one further tweak required to make sure IPv6 works fully, you need to allow ICMPv6 packets through the firewall. Go to Firewall, और फिर नियम. एक नया नियम जोड़े, set the address family to IPv6, change the protocol to ICMP, leave “any” selected as the subtypes (unless you want to do a lot more reading about specific subtypes). सहेजें पर क्लिक करें, and then click “Apply Changes”.
Pls keep the guides coming!!
अतिरिक्त जानकारी के लिए धन्यवाद. I had indeed enabled ICMPv6 packets but must have forgotten that I had when I wrote this. I’ll update it. I’m not sure which part of the guide your first question refers to?