Когда я переехал в новый дом год назад я, наконец, смог присоединиться к 21st века и заказал BT Бесконечность, которая поставляется с SmartHub. SmartHub на самом деле довольно приличный набор считая приходит бесплатно, но, как и большинство ISP Прилагаемые устройства он заблокированные в некотором смысле, Например, вы не можете использовать свои собственные DNS серверы, которые я предпочитаю делать. В первые дни ADSL (около 2001) Я побежал коробку Smoothwall вместо маршрутизатора, и для целого ряда причин (включая фильтрацию интернет контролируется мной, а не ISP) Я решил вернуться к маршрутизатору брандмауэра Linux на основе.
Маленький Celeron J1900 коробки я должен сделать аппаратную сторону вещей не хотел установить Smoothwall, поэтому я установил pfsense вместо. Я также должен был получить VDSL (волокно) модем для подключения маршрутизатора к телефонной розетке. Я получил Netgear DM200, который на самом деле полный маршрутизатор, который может быть включен в режим «только модем». Получение весь механизм работает взял некоторое пустячный, так я думал, что тянуть все ресурсы в одном месте
1. Установка pfsense
Мне нужно установить pfsense через USB, так эффективно с помощью флэш-накопителя. Это стало возможным за счет использования пустой флэш-накопитель, Программное обеспечение под названием Руфус, и «memstick» загрузка pfsense.
2. Настройка Netgear DM200
Для того, чтобы сделать что-нибудь с DM200 вам придется подключить оба кабеля локальной сети к нему, и телефон разъем для него. Ваш компьютер должен получить адрес от NETGEAR по DHCP, но если это не нужно будет вручную установить вас IP обратиться к 192.168.5.x (х быть что угодно, от 2 - 254). Вы можете войти через веб-интерфейс на 192.168.5.1. Имя пользователя Логин по умолчанию админ и пароль пароль. Выберите вкладку «Дополнительно», а затем «продвинутый» вариант меню в левом нижнем углу этой страницы. При том, что выбрать опцию «режим устройства». Измените режим устройства на «Модем (только модем)»И нажмите кнопку применить. Вы можете увидеть больше деталей и создания скриншотов Страницы помощи NETGEAR
3. Логин и изменить пароль по умолчанию
Подключите pfsense коробку к локальной сети и подключиться к нему с помощью веб-интерфейса через его LAN IP адрес (который будет отображаться на его загрузки по умолчанию на экране при подключении дисплея к нему). Вы, возможно, придется изменить свой локальный IP решения для достижения этой цели. Вход в pfsense с именем админ и пароль pfsense. Пройдите через мастер установки и когда предоставляется возможность изменить пароль по умолчанию WebUI. Для получения более подробной информации о шагах 1-3, я рекомендую руководство по tecmint
4. Настройка окна pfsense, чтобы получить базовое соединение
Я использую BT бесконечность и получить правильные настройки оказалось сложнее, чем я надеялся. Я должен был сначала настроить WAN настройки правильно и после этого, установить правильный профиль для WAN интерфейс. Первый, идти к Интерфейсы: WAN и установить следующие.
IPv4 Тип конфигурации | PPPoE |
IPv6 Тип конфигурации | Dkp6 |
Использовать подключение IPv4 в качестве родительского интерфейса | тикали |
Запрос только префикс IPv6 | тикали |
Размер DHCPv6 Приставка Делегирование | 56 |
имя пользователя | bthomehub@btbroadband.com |
пароль | любое значение будет работать |
Сохраните изменения, а затем перейти к Интерфейсы: присваивание. Установите WAN интерфейс «PPPOE ...», который после сохранения должны показать с физическим интерфейсом в скобках - в моем случае это говорит «PPPOE (em0)». Сохраните изменения еще раз, и, надеюсь, вы получите соединение.
4б. WAN Значение MTU
В WAN Настройки интерфейса вы можете захотеть, чтобы настроить параметры MTU для оптимальной работы с BT Бесконечность, чтобы избежать фрагментированных пакетов и возможные потери пакетов. Я написал [intlink id=“4002” type=“post”]посвященная статья[/intlink] по этому вопросу.
5. IPv6 Тестирование
Настройки выше должно быть достаточно, чтобы получить IPv6 работать на ваших клиентов локальной сети - вы должны увидеть адрес IPv6 для интерфейса LAN pfsense (i.e. один, который не начинается FE80). Попробуйте пинг google.com из окна терминала на клиенте локальной сети - если вы получаете ответ от адреса IPv6, то все хорошо. Вы также можете проверить, что все исправляем с помощью test-ipv6.com. Благодаря Danneh для настройки. Для получения более подробной информации рекомендую это Reddit нить.
Существует еще один твик требуется, чтобы убедиться, что IPv6 работает полностью, Вам необходимо разрешить ICMPv6 пакеты через брандмауэр. Перейти к брандмауэру, а затем правила. Добавить новое правило, установить семейство адресов на IPv6, изменить протокол к ICMP, оставить «любой» выбран в качестве подтипов (если вы не хотите, чтобы сделать много больше читать о конкретных подтипов). Нажмите кнопку Сохранить, а затем нажмите кнопку «Применить изменения».
6. Включение Intel Увеличенная скорость шага
Я не хочу, чтобы мой ниже приведенный маршрутизатор работает на полную мощность все время - но, к сожалению pfsense doens't, кажется, правильно поддерживает Intel усиливается шаг скорости по умолчанию в данный момент. Для того, чтобы получить работу шахты (и более низкая температура процессора, чтобы пойти с ним!) Я первый должен был включить в Powerd система -> Дополнительно -> Разное -> Включить Powerd. Если вы хотите, чтобы включить самые низкие частоты (Altho они не экономит много энергии) Вам также необходимо сделать следующие изменения: идти к диагностика, Редактирование файла. Затем введите путь к файлу /загрузки / device.hints. изменить дно 2 записей из 1 к 0 (называемый hint.acpi_throttle.0.отключен и hint.p4tcc.0.отключен). Благодаря SecondEdge и dreamslacker для этих советов. Чтобы проверить это работает, Вы должны войти в маршрутизатор через SSH, выберите опцию 8 (оболочка) и запустить Sysctl dev.cpu. | Grep частота. Это взяло мою температуру ядра процессора от 66C до 57C - не плохо для крошечной системы безвентиляторной упакованы в рядом с другим ПК, модем, и переключатель 8-портовый.
7. Перенаправление порта
К брандмауэр: NAT а затем нажмите кнопку Добавить. Введите IP адрес и порт для назначения и (скорее всего) тот же самый порт для внешнего порта. Для получения более подробной информации рекомендую пост по splurben на pfsense форумах.
8. Отражение NAT
Я использую свой ноутбук как дома, в локальной сети и вдали от дома и в обоих случаях хотят получить доступ к различным веб-интерфейсов в локальной сети. Я использую DDNS, чтобы получить доменное имя, и хотел использовать это для подключения даже при подключении к локальной сети. Это требует NAT отражения, которое может быть включено при система: передовой: Режим NAT Reflection для порта вперед. Вы можете (вероятно) необходимо также включить 2 другие варианты на этой странице: Включить NAT для отражения 1:1 NAT и Включить автоматический исходящий NAT для отражения
9. Adblocking
Все мои ПК имеют веб-браузеры adblocked установлены, но то же самое нельзя сказать о моих андроид устройствах, поскольку они должны быть искоренены установить блокираторы. Таким образом, возможность блокировать рекламу с pfsense является одним из основных преимуществ использования его. Первый, идти к система: менеджер пакетов а затем искать pfblockerng и установить его. Затем вы можете настроить его с помощью брандмауэр: PFBlockerNG. Затем я использовал руководство по FredMerc настроить его. Краткий обзор настроек, которые я использовал это следующим образом. К брандмауэр: PFBlockerNG а затем нажмите на DNSBL таб, а затем нажмите на Вкладка DNSBL EasyList. Включите верхнюю EasyList корма и направьте его на EasyList. Затем нажмите кнопку Добавить, и установить второй канал EasyList к EasyPrivacy и превратить это слишком. Действие Список должен быть «несвязанным», и я установить частоту обновления для 1 день. Затем нажмите кнопку Сохранить. Затем перейдите к DNSBL Вкладка и включить опцию Включить DNSBL. Наконец перейти к общий Закладка и включить pfBlockerNG.
9б. Adblock исправления
Конфигурация PFBlockerNG по умолчанию создает проблемы для амазонки андроид приложения. Чтобы этого избежать, и другие вопросы, стоит использовать некоторые белые списки. К брандмауэр: PFBlockerNG а затем нажмите на DNSBL таб, прокрутите вниз до заказ домена белый список и введите следующую (благодаря bchow на pfsense форумах)
.amazonaws.com .amazon-adsystem.com .amazon.com .ssl.google-analytics.com .ssl-Google-analytics.l.google.com # CNAME для (ssl.google-analytics.com) .www.google-analytics.com .www-Google-analytics.l.google.com # CNAME для (www.google-analytics.com) .www.googleadservices.com .plex.tv .gravatar.com .thetvdb.com .themoviedb.com .googleapis.com # 172.217.3.202 важно, чтобы приложение Amazon работало .1e100.net # CNAME? altname? для googleapis.com .ad.doubleclick.net # необходимо для столкновения кланов? .g.doubleclick.net # необходимо для столкновения кланов? .q1mediahydraplatform.com # необходимо для hungryhouse андроид приложения?
Вы также можете включить Алексы белый список топ сайтов.
10. Прозрачный прокси кальмаров
Я решил создать прозрачный кальмар прокси столько из просмотра, что мы делаем хиты одни и те же сайты, неоднократно на разных устройствах, Я не ожидаю, что это сделать огромную разницу, но я не вижу каких-либо веских причин не. Использование система: менеджер пакетов установить кальмар. Затем перейдите к услуги: кальмаров прокси-сервер настроить его. Это также необходимо для SquidGuard, если вы хотите использовать его, как я.
11. Веб-фильтрация для безопасности детей с SquidGuard
У меня есть маленькие дети в доме, и вы хотите, чтобы блокировать неподходящее содержимое. Это может быть достигнуто с помощью пакета SquidGuard и черные списки Shalla в. Установить SquidGuard из система: менеджер пакетов. Затем перейдите к услуги: SquidGuard прокси-фильтр. Перейти к черный список таб, введите адрес https://www.shallalist.de/Downloads/shallalist.tar.gz и нажмите скачать. Затем откройте вкладку Общие ACL, нажмите на кнопку плюс и выбрать категории, которые вы хотите заблокировать. Также necesary создать фиктивную целевую категорию из-за ошибки. Для получения дополнительной информации см этот пост pfsense форум. Не забудьте установить значение по умолчанию для всех списков позволять в самом низу списков. Благодаря networkinggeek на pfsense форумы для этого наконечника. И наконец - это может стоить редактирования пары дополнительных опций, так что заблокированные запросы кэшируются только в течение короткого периода времени - таким образом, если вы решили разблокировать некоторые сайты, вы не должны очистить кэш браузера, чтобы получить доступ к этим сайтам - там более подробная информация о pfsense форум. Мне пришлось внести категорию в белый список[blk_BL_sex_lingerie] так что моя жена могла купить нижнее белье в качестве фильтра блокировали секцию нижнего белья на основных розничных (например. Debenhams).
12. Включение U-ПНФ для ряда услуг (азартные игры, обмен сообщениями, поток, так далее)
К услуги: UPnP & NAT-PMP, отметьте верхнюю 2 ящики (Включить UPnP & NAT-PMP и Позволять UPnP Отображение порта), и нажмите кнопку Сохранить.
13. Вредоносный трафик блокирования Snort
Для того, чтобы блокировать обнаруживать и блокировать потенциально вредоносный трафик вы можете установить пакет Snort. Я рекомендую запускать его без блокировки в течение первых нескольких недель, как он будет блокировать много вещей, которые вы не хотите из-за большое количество ложных срабатываний. Я рекомендую использовать следующий список подавления, чтобы избежать некоторых из наиболее раздражающих ложных срабатываний.
#И P2P Bittorrent P2P Клиент User-Agent (Utorrent) подавляет GEN_ID 1, sig_id 2011706 #И P2P BitTorrent DHT запрос объявления подавить gen_id 1, sig_id 2008585 #(spp_ssl) Обнаружен неверный клиент HELLO после обнаружения сервера HELLO подавить gen_id 137, sig_id 1 #И P2P Пинг-запрос BitTorrent DHT подавить gen_id 1, sig_id 2008581 #(http_inspect) ПРОСТОЙ ЗАПРОС подавить gen_id 119, sig_id 32 #(http_inspect) НЕИЗВЕСТНЫЙ МЕТОД подавить gen_id 119, sig_id 31 #(http_inspect) НЕПРАВИЛЬНЫЙ ДЛИНА КОНТЕНТА, ДЛИНА ИЛИ РАЗМЕР подавить gen_id 120, sig_id 8 #(http_inspect) НЕТ Content-Length ИЛИ Transfer-Encoding В HTTP ОТВЕТ подавить gen_id 120, sig_id 3 #(http_inspect) ДВОЙНАЯ ДЕКОДИРОВАННАЯ АТАКА подавить gen_id 119, sig_id 2 #(http_inspect) HTTP ОТКЛОНЕНИЕ ОТКЛОНЕНИЯ GZIP ОТКЛЮЧЕНО подавить gen_id 120, sig_id 6 #(http_inspect) IIS UNICODE CODEPOINT ENCODING подавить gen_id 119, sig_id 7 #(http_inspect) BARE BYTE UNICODE ENCODING подавить gen_id 119, sig_id 4 #(http_inspect) JAVASCRIPT запутывания УРОВНИ ВЫШЕ 1 подавляет GEN_ID 120, sig_id 9 #(http_inspect) JAVASCRIPT WHITESPACES ПРЕВЫШАЕТ МАКСИМАЛЬНО РАЗРЕШЕННЫЕ подавить gen_id 120, sig_id 10 #(http_inspect) Unescaped ПРОСТРАНСТВО В HTTP URI подавляет GEN_ID 119, sig_id 33 #(http_inspect) U ENCODING подавить gen_id 119, sig_id 3 #(http_inspect) ДВОЙНАЯ ДЕКОДИРОВАННАЯ АТАКА подавить gen_id 119, sig_id 2 #(http_inspect) МНОЖЕСТВО КОДИРОВАНИЯ В ОБЛАСТИ ОБЪЯВЛЕНИЯ JAVASCRIPT подавить gen_id 120, sig_id 11 #(http_inspect) HTTP ОТВЕТ ИМЕЕТ UTF CHARSET, КОТОРЫЙ НЕ УДАЛ НОРМАЛИЗОВАТЬ подавить gen_id 120, sig_id 4 #FILE-IMAGE Directshow GIF Попытка переполнения логической ширины подавить gen_id 1, sig_id 27525
14. Получение веба-доступ к модему, через окно pfsense
Мой Netgear DM200 модем (в режиме сквозного) доступен только через фиксированный IP адрес (192.168.5.1). Я хотел, чтобы иметь возможность получить доступ к своему веб-интерфейс на компьютерах локальной сети. Есть некоторые инструкции в pfsense вики, но это не работает для меня на первом. Существует полезное сообщение от пользователя Чепуха на pfsense форум
14б. Отображение статистики подключения модема на pfsense приборной панели
После некоторой головной боли я придумал способ сделать так, чтобы статистика модема для моего модема netgear отображалась на моей приборной панели..
Это делается путем создания пользовательских виджетов с PHP кода.
Перейти к диагностике и редактирования файла. Создать новый файл в пути
/USR / местные / WWW / виджеты / виджеты / modemstatus.widget.php
с содержанием
< ?PHP $ статус = file_get_contents("https://Имя пользователя:password@192.168.5.1/RST_statistic.htm"); $статус = str_replace("был timereset = "5\";","был timereset = "0\";",$положение дел); $ Статусы эха ?>
Вам нужно будет настроить имя пользователя и пароль. Приведенный выше код работает для DM200 Netgear, и, возможно, другие NETGEAR модемы и маршрутизаторы. Для других производителей аппаратных средств вам потребуется другой адрес для статистики, и вы, возможно, придется делать дополнительные манипуляции с ответом с помощью PHP.
Обратите внимание, что я подавляться Netgear интервал обновления по умолчанию - Я выключил его, как перезарядка ломает дисплей приборной панели. Чтобы получить обновленные числа, просто обновите панель управления pfsense, используя кнопку перезагрузки веб-браузера.
Теперь переходим к приборной панели и добавить виджет и вы все сделали.
15. Закрепление предупреждение сертификата при входе в систему
Видеть это руководство
16. Попросите Firefox использовать локальный DNS через HTTPS, вместо того, чтобы в обход наших фильтров (добавлен апрель 2020)
В сфере услуг -> DNS решить
Добавьте следующую строку в поле «Пользовательские параметры»…
сервер:локальная зона: "use-application-dns.net." always_nxdomain
17. Используйте доменное имя pfsense поля для заблокированных ресурсов вместо IP (добавлен апрель 2020)
Услуги -> SquidGuard Proxy Filter -> Общий ACL
Измените «ReDirect Mode» на «ext url move» (вводить URL)»
В поле «Информация о перенаправлении» установите «https»://ваш-маршрутизатор имя / sgerror.php?URL = 403% 20&а =% в&п =% п&I =% I&s =% s&т =% т&u =% u ”
Фантастическое руководство, где я могу разместить это в правилах плавания?
Существует еще один твик требуется, чтобы убедиться, что IPv6 работает полностью, Вам необходимо разрешить ICMPv6 пакеты через брандмауэр. Перейти к брандмауэру, а затем правила. Добавить новое правило, установить семейство адресов на IPv6, изменить протокол к ICMP, оставить «любой» выбран в качестве подтипов (если вы не хотите, чтобы сделать много больше читать о конкретных подтипов). Нажмите кнопку Сохранить, а затем нажмите кнопку «Применить изменения».
Пожалуйста, держите гидов!!
Спасибо за дополнительную информацию. Я действительно включил пакеты ICMPv6, но, должно быть, забыл, что у меня было, когда я писал это. Я обновлю это. Я не уверен, к какой части руководства относится ваш первый вопрос?