2pfSense के साथ बीटी इन्फिनिटी SmartHub की जगह

जब मैं एक नए घर में एक साल पहले चले गए मैं अंत में शामिल होने में सक्षम था 21^st सदी और बीटी इन्फिनिटी जो एक SmartHub साथ आपूर्ति की है का आदेश दिया. SmartHub वास्तव में यथोचित सभ्य किट यह मुक्त करने के लिए आता है विचार कर रहा है, लेकिन अधिकांश के साथ के रूप में आईएसपी आपूर्ति उपकरणों यह कुछ मायनों में नीचे बंद कर दिया गया है, for example you can­’t use your own डीएनएस सर्वर जो मैं करना पसंद. एडीएसएल के प्रारंभिक दिनों में (लगभग 2001) मैं एक रूटर के स्थान पर एक smoothwall बॉक्स भाग गया, और कारणों की एक श्रृंखला के लिए (इंटरनेट फ़िल्टरिंग सहित मेरे द्वारा नियंत्रित, के बजाय एक आईएसपी) मैं एक linux आधारित फ़ायरवॉल रूटर करने के लिए वापस जाने का फैसला किया.

The little Cel­er­on J1900 box I got to do the hard­ware side of things did­n’t want to install smooth­wall, तो मैं pfSense बजाय स्थापित. मैं भी एक VDSL पाने के लिए था (रेशा) modem to con­nect the router to the phone sock­et. I got a net­gear DM200 which is actu­ally a full router that can be switched into “modem only” mode. Get­ting the whole arrange­ment work­ing took quite some fid­dling, so I thought I’d pull all the resources togeth­er in one place

1. स्थापित कर रहा है pfSense

मैं के माध्यम से pfSense स्थापित करने के लिए की जरूरत यूएसबी, so effect­ively by flash drive. This was made pos­sible by the use of a blank pen drive, soft­ware called rufus, and the ‘mem­stick’ down­load of pfsense.

2. NETGEAR DM200 का विन्यास

To do any­thing with the DM200 you will have to con­nect both a LAN cable to it, and the phone sock­et to it. Your PC should get an address from the net­gear by DHCP but if it does­n’t you will need to manu­ally set you आईपी 192.168.5.x को संबोधित (x being any­thing from 2 - 254). You can then log in via web inter­face at 192.168.5.1. The default login user­name is व्यवस्थापक and the pass­word is pass­word. Select the “advanced” tab, and then the “advanced” menu option at the bot­tom left of that page. Under that select the “device mode” option. Change the device mode to “Modem (मॉडेम केवल)” and click apply. You can see more details and screen­shots on the net­gear help pages

3. लॉगिन और डिफ़ॉल्ट पासवर्ड बदलने

Con­nect your pfsense box to the lan and con­nect to it using web inter­face via it’s lan आईपी पता (which it will dis­play on it’s default boot up screen if you con­nect a dis­play to it). You may have to change your loc­al आईपी इस लक्ष्य को हासिल करने के लिए संबोधित. Login to the pfsense with the user­name व्यवस्थापक and pass­word pfSense. Go through the setup wiz­ard and when giv­en the oppor­tun­ity change the default webui pass­word. For more detailed inform­a­tion on steps 1–3 I recom­mend a tecmint पर मार्गदर्शन

4. pfSense बॉक्स का विन्यास एक बुनियादी कनेक्शन लेने के लिए

I use BT infin­ity and get­ting the right set­tings proved trick­i­er than I had hoped. I had to first con­fig­ure the वान set­tings cor­rectly and after that, set the cor­rect pro­file for the वान inter­face. प्रथम, के लिए जाओ Inter­faces: वान और निम्न सेट.

परिवर्तनों को सुरक्षित करें, और उसके बाद के लिए जाना Inter­faces: Assign­ment. सेट करें वान inter­face to “PPPOE…” which after sav­ing should show with the phys­ic­al inter­face in brack­ets — in my case it says “PPPOE (em0)". Save the changes again and hope­fully you will get a connection.

4बी. वान MTU मूल्य

में वान Inter­face set­tings you might want to adjust your MTU set­ting to work optim­ally with BT Infin­ity to avoid frag­men­ted pack­ets and pos­sible pack­et loss. I have writ­ten a [int­link id=“4002” type=“post”]समर्पित लेख[/intlink] इस विषय पर.

5. आईपीवी 6 परीक्षण

The set­tings above should be suf­fi­cient to get IPv6 work­ing on your LAN cli­ents — you should also see an IPv6 address for the pfsense LAN inter­face (अर्थात. one that does­n’t start fe80). Try pinging google.com from a ter­min­al win­dow on a LAN cli­ent — if you get a response from the IPv6 address then all is well. You can also check that all i cor­rect using test-ipv6.com. करने के लिए धन्यवाद Dan­neh for the set­tings. For more inform­a­tion I recom­mend this red­dit thread.

There is one fur­ther tweak required to make sure IPv6 works fully, you need to allow ICMPv6 pack­ets through the fire­wall. Go to Fire­wall, और फिर नियम. एक नया नियम जोड़े, set the address fam­ily to IPv6, change the pro­tocol to ICMP, leave “any” selec­ted as the sub­types (unless you want to do a lot more read­ing about spe­cif­ic sub­types). सहेजें पर क्लिक करें, and then click “Apply Changes”.

6. सक्षम करने से इंटेल बढ़ाया गति कदम

I don’t want my lower powered router run­ning at full tilt all the time — but sadly pfsense doens’t seem to cor­rectly sup­port intel enhanced speed step by default at the moment. To get mine work­ing (and a lower cpu tem­per­at­ure to go with it!) मैं पहली बार में powerd सक्षम करने के लिए किया था Sys­tem -> उन्नत -> Mis­cel­laneous -> powerd सक्षम करें. If you want to enable the low­est fre­quen­cies (इन हालांकि ज्यादा बिजली बचाने नहीं है) you will also need to do the fol­low­ing changes: के लिए जाओ Dia­gnostics, फ़ाइल संपादित करें. फिर फ़ाइल पथ दर्ज /बूट / device.hints. change the bot­tom 2 से प्रविष्टियां 1 तक 0 (बुलाया hint.acpi_throttle.0.विकलांग तथा hint.p4tcc.0.विकलांग). करने के लिए धन्यवाद SecondEdge तथा dreamslack­er इन सुझावों के लिए. To check this is work­ing you will need to log into the router via SSH के, विकल्प चुनें 8 (खोल) और भाग खड़ा हुआ sysctl dev.cpu. | ग्रेप freq. This took my cpu core tem­per­at­ure from 66C to 57C — not bad for a tiny fan­less sys­tem packed in next to anoth­er PC, मोडम, and an 8‑port switch.

7. पोर्ट फॉरवार्डिंग

के लिए जाओ fire­wall: नेट and then click the add but­ton. प्रवेश करें आईपी address and port for the des­tin­a­tion and (सबसे अधिक संभावना) the same port for the extern­al port. For more detailed inform­a­tion I recom­mend splurben द्वारा एक पोस्ट pfSense मंचों पर.

8. नेट प्रतिबिंब

I use my laptop both at home on the LAN and away from home and in both cases want to access vari­ous web inter­faces on the LAN. I use DDNS to get a domain name and wanted to use this to con­nect even when con­nec­ted to the LAN. This requires NAT reflec­tion which can be enabled under sys­tem: उन्नत: NAT Reflec­tion mode for port for­wards. आप कर सकते हैं (शायद) भी सक्षम करने की आवश्यकता 2 oth­er options on this page: Enable NAT Reflec­tion for 1:1 नेट तथा Enable auto­mat­ic out­bound NAT for Reflection

9. Adblocking

All of my PC webbrowsers have adb­locked installed, but the same can­’t be said of my android devices as these have to be rooted to install block­ers. So being able to block ads with pfsense is one of the major advant­ages of using it. प्रथम, के लिए जाओ sys­tem: pack­age man­ager और उसके बाद के लिए खोज pfb­lock­erng और इसे स्थापित. You can then con­fig­ure it using Fire­wall: PFB­lock­erNG. मैं तब तक गाइड का इस्तेमाल किया Fred­Merc to con­fig­ure it. A brief sum­mary of the set­tings I’ve used is as fol­lows. के लिए जाओ Fire­wall: PFB­lock­erNG और फिर पर क्लिक करें DNSBL टैब, और फिर पर क्लिक करें DNSBL EasyL­ist tab. Turn on the top EasyL­ist feed and point it to EasyL­ist. Then click the add but­ton, and set the second EasyL­ist feed to EasyP­ri­vacy and turn that on too. List action should be “unbound” and I set the update fre­quency to 1 दिन. फिर सहेजें क्लिक करें. तो जाना DNSBL टैब और विकल्प को सक्षम DNSBL सक्षम करें. अंत में करने के लिए जाना Gen­er­al टैब और enable pfB­lock­erNG.

9बी. Adblock फिक्स

The default PFB­lock­erNG con­fig­ur­a­tion causes prob­lems for the amazon android app. इससे बचने के लिए, and oth­er issues, it is worth using some whitel­ist­ing. के लिए जाओ Fire­wall: PFB­lock­erNG और फिर पर क्लिक करें DNSBL टैब, के लिए नीचे स्क्रॉल cus­tom domain whitel­ist and enter the fol­low­ing (करने के लिए धन्यवाद bchow on the pfsense for­ums)

.amazonaws.com
.amazon-adsystem.com
.amazon.com
.ssl.google-analytics.com
.ssl-google-analytics.l.google.com # के लिए CNAME (ssl.google-analytics.com)
.www.google-analytics.com
.www-google-analytics.l.google.com # के लिए CNAME (www.google-analytics.com)
.www.googleadservices.com
.plex.tv
.gravatar.com
.thetvdb.com
.themoviedb.com
.googleapis.com # 172.217.3.202 is important for amazon app to work
.1e100.net # CNAME? altname? for googleapis.com
.ad.doubleclick.net # कुलों के संघर्ष के लिए आवश्यक?
.g.doubleclick.net # कुलों के संघर्ष के लिए आवश्यक?
.q1mediahydraplatform.com # hungryhouse Android एप्लिकेशन के लिए आवश्यक?

You may also want to enable the alexa whitel­ist of top sites.

10. पारदर्शी विद्रूप प्रॉक्सी

I decided to set up a trans­par­ent squid proxy as much of the brows­ing that we do hits the same sites repeatedly on dif­fer­ent devices, I don’t expect it to make a huge dif­fer­ence, but I can­’t see any good reas­ons not to. उपयोग sys­tem: pack­age man­ager व्यंग्य स्थापित करने के लिए. फिर जाएं सेवाएं: squid proxy serv­er to con­fig­ure it. This is also needed for Squid­Guard if you want to use it, जैसाकि मैं करता हूं.

11. SquidGuard साथ बच्चे की सुरक्षा के लिए वेब छानने

I have young chil­dren in the house and want to block unsuit­able con­tent. This can be achieved with the Squid­Guard pack­age and Shal­la’s Black­lists. Install squid­guard from sys­tem: pack­age man­ager. फिर जाएं सेवाएं: squid­guard proxy fil­ter. पर जाएं black­list टैब, पता दर्ज करें https://www.shallalist.de/Downloads/shallalist.tar.gz और क्लिक करें down­load. Then use the Com­mon ACL tab, click on the plus but­ton and select the cat­egor­ies you wish to block. It is also necesary to set up a dummy tar­get cat­egory due to a bug. For more inform­a­tion see this post on pfsense for­um. Don’t for­get to set the default for all of the lists to अनुमति देते हैं at the very bot­tom of the lists. Thanks to net­work­inggeek on the pfsense for­ums इस टिप के लिए. Lastly — it may be worth edit­ing a couple of advanced options so that blocked requests are only cached for a short peri­od of time — that way if you decide to unblock some sites you wont have to clear the browser cache to access those sites — there is more inform­a­tion on the pfsense for­um. I had to whitel­ist the category[blk_BL_sex_lingerie] so that my wife could buy under­wear as the fil­ter was block­ing the under­wear sec­tions on main­stream retail­ers (e.g. डेबेनहैम्स).

12. Enable U‑PNP for a range of services (जुआ, संदेश सेवा, धार, आदि)

के लिए जाओ Ser­vices: UPnP & नेट-पीएमपी, शीर्ष टिकटिक 2 बक्से (सक्षम करें UPnP & नेट-पीएमपी तथा अनुमति दें UPnP Port Map­ping), और सहेजें क्लिक करें.

13. दुर्भावनापूर्ण यातायात थिरकने के साथ अवरुद्ध

To block detect and block poten­tially mali­cious traffic you can install the SNORT pack­age. I recom­mend run­ning it without block­ing for the first few weeks as it will block lots of things you don’t want due to large num­bers of false pos­it­ives. I recom­mend using the fol­low­ing sup­pres­sion list to avoid some of the most annoy­ing false positives

#और पी 2 पी बिटटोरेंट पी 2 पी क्लाइंट उपयोगकर्ता-एजेंट (uTorrent)
gen_id को दबाने 1, sig_id 2011706
#और पी 2 पी BitTorrent DHT announce_peers request
suppress gen_id 1, sig_id 2008585
#(spp_ssl) Invalid Client HELLO after Server HELLO Detected
suppress gen_id 137, sig_id 1
#और पी 2 पी BitTorrent DHT ping request
suppress gen_id 1, sig_id 2008581
#(http_inspect) SIMPLE REQUEST
suppress gen_id 119, sig_id 32
#(http_inspect) UNKNOWN METHOD
suppress gen_id 119, sig_id 31
#(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE
suppress gen_id 120, sig_id 8
#(http_inspect) कोई सामग्री-लंबाई या स्थानांतरण एन्कोडिंग एचटीटीपी RESPONSE
suppress gen_id 120, sig_id 3
#(http_inspect) DOUBLE DECODING ATTACK
suppress gen_id 119, sig_id 2
#(http_inspect) एचटीटीपी RESPONSE GZIP DECOMPRESSION FAILED
suppress gen_id 120, sig_id 6
#(http_inspect) आईआईएस UNICODE CODEPOINT ENCODING
suppress gen_id 119, sig_id 7
#(http_inspect) BARE BYTE UNICODE ENCODING
suppress gen_id 119, sig_id 4
#(http_inspect) JAVASCRIPT कहानियो स्तर से अधिक है 1
gen_id को दबाने 120, sig_id 9
#(http_inspect) JAVASCRIPT WHITESPACES EXCEEDS MAX ALLOWED
suppress gen_id 120, sig_id 10
#(http_inspect) में नहीं छोड़ा जाएगा अंतरिक्ष एचटीटीपी यूआरआई
gen_id को दबाने 119, sig_id 33
#(http_inspect) U ENCODING
suppress gen_id 119, sig_id 3
#(http_inspect) DOUBLE DECODING ATTACK
suppress gen_id 119, sig_id 2
#(http_inspect) MULTIPLE ENCODINGS WITHIN JAVASCRIPT OBFUSCATED DATA
suppress gen_id 120, sig_id 11
#(http_inspect) एचटीटीपी RESPONSE HAS UTF CHARSET WHICH FAILED TO NORMALIZE
suppress gen_id 120, sig_id 4
#फ़ाइल-छवि Directshow GIF logical width overflow attempt
suppress gen_id 1, sig_id 27525

14. मॉडेम के लिए वेब का उपयोग कर सकते हो रही है, pfSense बॉक्स के माध्यम से

My Net­gear DM200 modem (पास के माध्यम से मोड में) is only access­ible via a fixed आईपी पता (192.168.5.1). I wanted to be able to access its web inter­face on LAN com­puters. There are some instruc­tions in the pfSense विकि, but these did­n’t work for me at first. There is a help­ful post by user Non­sense on the pfsense for­um

14बी. pfSense डैशबोर्ड पर मॉडेम कनेक्शन आंकड़े दिखाए

After some head­scratch­ing I figured out a way to make the modem stat­ist­ics for my net­gear modem show on my dashboard.
This is done by cre­at­ing a cus­tom wid­get with php code.
Go to dia­gnostics and edit file. Cre­ate a new file at the path

/usr / स्थानीय / www / विगेट्स / विजेट / modemstatus.widget.php

सामग्री के साथ

< ?php $ स्थिति = file_get_contents("https://उपयोगकर्ता नाम:password@192.168.5.1/RST_statistic.htm"); $स्थिति = str_replace("था timereset = "5\";","था timereset = "0\";",$स्थिति); गूंज $ स्थिति ?>

You will need to cus­tom­ise the user­name and pass­word. The above code works for the Net­gear DM200, and prob­ably oth­er net­gear modems and routers. For oth­er makes of hard­ware you will need a dif­fer­ent address for the stat­ist­ics and you may need to do addi­tion­al manip­u­la­tion of the response using php.
Note that I have over-rid­den the default net­gear refresh inter­val — I’ve turned it off as the reload breaks the dash­board dis­play. To get updated num­bers just refresh the pfsense dash­board using your web browser reload button
Now go to the dash­board and add the wid­get and you’re all done.

15. प्रमाणपत्र चेतावनी फिक्सिंग लॉगिन करते समय

देख इस गाइड

16. फ़ायरफ़ॉक्स पूछो स्थानीय उपयोग करने के लिए डीएनएस HTTPS पर, इसके बजाय हमारे फिल्टर को दरकिनार करने का (added April 2020)

In Ser­vices -> डीएनएस का समाधान
Add fol­low­ing line to “cus­tom options” field…

सर्वर:स्थानीय क्षेत्र: "use-application-dns.net।" always_nxdomain

17. अवरोधित संसाधनों के बजाय के लिए pfSense बॉक्स के डोमेन नाम का उपयोग आईपी (added April 2020)

Ser­vices -> Squid­Guard Proxy Fil­ter -> Com­mon ACL
Change “ReDir­ect Mode” to “ext url move (दर्ज यूआरएल)"
In the “Redir­ect info” field set “https://अपने रूटर-नाम / sgerror.php?url=403%20&एक =% एक&एन =% n&मैं% i =&रों =% s&टी =% टी&u=%u”