میں نے ایک سال پہلے ایک نئے گھر میں منتقل کر دیا جب میں نے آخر میں شامل ہونے کے قابل تھا 21st صدی اور ایک SmartHub کے ساتھ فراہم کی جاتی ہے جس میں بی ٹی انفینٹی حکم دیا. SmartHub دراصل معقول مہذب کٹ غور کر رہی ہے جو مفت کے لئے آتا ہے, لیکن سب سے زیادہ کے ساتھ کے طور پر آئی ایس پی سپلائی آلات جو کچھ طریقوں سے نیچے بند کر دیا ہے, for example you can’t use your own DNS جن پر عمل کرنے کو ترجیح دیتے ہیں سرورز. ADSL کے ابتدائی دنوں میں (سرکا 2001) میں نے ایک روٹر کی جگہ میں ایک smoothwall باکس بھاگ گیا, اور وجوہات کی ایک رینج کے لئے (سمیت انٹرنیٹ فلٹرنگ میری طرف سے کنٹرول کیا, بجائے ایک آئی ایس پی) میں نے ایک لینکس پر مبنی فائروال روٹر پر واپس جانے کا فیصلہ.
The little Celeron J1900 box I got to do the hardware side of things didn’t want to install smoothwall, تو میں بجائے pfsense نصب. میں نے بھی ایک VDSL حاصل تھا (فائبر) modem to connect the router to the phone socket. I got a netgear DM200 which is actually a full router that can be switched into “modem only” mode. Getting the whole arrangement working took quite some fiddling, so I thought I’d pull all the resources together in one place
1. نصب ہو pfsense
مجھے بذریعہ pfsense انسٹال کرنے کی ضرورت یوایسبی, so effectively by flash drive. This was made possible by the use of a blank pen drive, software called rufus, and the ‘memstick’ download of pfsense.
2. NETGEAR DM200 تشکیل
To do anything with the DM200 you will have to connect both a LAN cable to it, and the phone socket to it. Your PC should get an address from the netgear by DHCP but if it doesn’t you will need to manually set you آئی پی 192.168.5.x کو خطاب (x being anything from 2 - 254). You can then log in via web interface at 192.168.5.1. The default login username is منتظم and the password is password. Select the “advanced” tab, and then the “advanced” menu option at the bottom left of that page. Under that select the “device mode” option. Change the device mode to “Modem (موڈیم صرف)” and click apply. You can see more details and screenshots on the netgear help pages
3. لاگ ان کریں اور ڈیفالٹ پاس ورڈ تبدیل
Connect your pfsense box to the lan and connect to it using web interface via it’s lan آئی پی ایڈریس (which it will display on it’s default boot up screen if you connect a display to it). You may have to change your local آئی پی اس مقصد کو حاصل کرنے کے لئے سے نمٹنے کے. Login to the pfsense with the username منتظم and password pfsense. Go through the setup wizard and when given the opportunity change the default webui password. For more detailed information on steps 1–3 I recommend a tecmint پر گائیڈ
4. pfsense باکس تشکیل ایک بنیادی کنکشن حاصل کرنے کے لئے
I use BT infinity and getting the right settings proved trickier than I had hoped. I had to first configure the وان settings correctly and after that, set the correct profile for the وان interface. پہلا, کے پاس جاؤ Interfaces: وان اور مندرجہ ذیل مقرر.
IPv4 Configuration Type | ہے PPPoE |
IPv6 Configuration Type | DHCP6 |
Use IPv4 connectivity as parent interface | ticked کی |
درخواست صرف ایک IPv6 کی سابقہ | ticked کی |
DHCPv6 Prefix Delegation size | 56 |
username | bthomehub@btbroadband.com |
password | کوئی بھی قدر کام کریں گے |
تبدیلیوں کو محفوظ کریں, اور پھر میں جاتے ہیں Interfaces: Assignment. مقرر وان interface to “PPPOE…” which after saving should show with the physical interface in brackets — in my case it says “PPPOE (em0)". Save the changes again and hopefully you will get a connection.
4B. وان MTU ویلیو
میں وان Interface settings you might want to adjust your MTU setting to work optimally with BT Infinity to avoid fragmented packets and possible packet loss. I have written a [intlink id=“4002” type=“post”]وقف مضمون[/intlink] اس مسئلے پر.
5. IPv6 کی ٹیسٹنگ
The settings above should be sufficient to get IPv6 working on your LAN clients — you should also see an IPv6 address for the pfsense LAN interface (یعنی. one that doesn’t start fe80). Try pinging google.com from a terminal window on a LAN client — if you get a response from the IPv6 address then all is well. You can also check that all i correct using test-ipv6.com. کرنے کے لئے شکریہ Danneh for the settings. For more information I recommend this reddit thread.
There is one further tweak required to make sure IPv6 works fully, you need to allow ICMPv6 packets through the firewall. Go to Firewall, اور پھر رولز. ایک نیا اصول شامل کریں, set the address family to IPv6, change the protocol to ICMP, leave “any” selected as the subtypes (unless you want to do a lot more reading about specific subtypes). محفوظ کریں پر کلک, and then click “Apply Changes”.
6. کو چالو کرنے انٹیل بہتر رفتار قدمی
I don’t want my lower powered router running at full tilt all the time — but sadly pfsense doens’t seem to correctly support intel enhanced speed step by default at the moment. To get mine working (and a lower cpu temperature to go with it!) میں نے سب سے پہلے میں سے Powerd کو چالو کرنے کے لئے تھا System -> اعلی درجے کی -> Miscellaneous -> POWERD فعال. If you want to enable the lowest frequencies (ان altho زیادہ طاقت بچا نہیں کرتے) you will also need to do the following changes: کے پاس جاؤ Diagnostics, فائل میں ترمیم. اس کے بعد فائل کا پاتھ درج /بوٹ / device.hints. change the bottom 2 سے اندراجات 1 کرنے کے لئے 0 (کہا جاتا ہے hint.acpi_throttle.0.غیر فعال کر دیا اور hint.p4tcc.0.غیر فعال کر دیا). کرنے کے لئے شکریہ SecondEdge اور dreamslacker ان تجاویز کے لئے. To check this is working you will need to log into the router via SSH, منتخب آپشن 8 (شیل) اور چلانے کے sysctl dev.cpu. | grep کرنے Freq کا. This took my cpu core temperature from 66C to 57C — not bad for a tiny fanless system packed in next to another PC, موڈیم, and an 8‑port switch.
7. پورٹ فارورڈنگ
کے پاس جاؤ firewall: NAT and then click the add button. درج آئی پی address and port for the destination and (سب سے زیادہ امکان) the same port for the external port. For more detailed information I recommend splurben طرف ایک پوسٹ pfsense فورم پر.
8. NAT عکاسی
I use my laptop both at home on the LAN and away from home and in both cases want to access various web interfaces on the LAN. I use DDNS to get a domain name and wanted to use this to connect even when connected to the LAN. This requires NAT reflection which can be enabled under system: اعلی درجے کی: NAT Reflection mode for port forwards. آپ کر سکتے ہیں (شاید) بھی چالو کرنے کی ضرورت ہے 2 other options on this page: Enable NAT Reflection for 1:1 NAT اور Enable automatic outbound NAT for Reflection
9. Adblocking
All of my PC webbrowsers have adblocked installed, but the same can’t be said of my android devices as these have to be rooted to install blockers. So being able to block ads with pfsense is one of the major advantages of using it. پہلا, کے پاس جاؤ system: package manager اور اس کے بعد کے لئے تلاش pfblockerng اور اسے نصب. You can then configure it using Firewall: PFBlockerNG. میں نے اس وقت تک ہدایت نامہ کا استعمال کیا FredMerc to configure it. A brief summary of the settings I’ve used is as follows. کے پاس جاؤ Firewall: PFBlockerNG اور پھر پر کلک کریں DNSBL ٹیب, اور پھر پر کلک کریں DNSBL EasyList tab. Turn on the top EasyList feed and point it to EasyList. Then click the add button, and set the second EasyList feed to EasyPrivacy and turn that on too. List action should be “unbound” and I set the update frequency to 1 دن. پھر محفوظ کلک. پھر جانا DNSBL ٹیب اور آپشن کو فعال DNSBL فعال. آخر میں جاتے ہیں General ٹیب اور enable pfBlockerNG.
9B. Adblock کے اصلاحات
The default PFBlockerNG configuration causes problems for the amazon android app. اس سے بچنے کیلئے, and other issues, it is worth using some whitelisting. کے پاس جاؤ Firewall: PFBlockerNG اور پھر پر کلک کریں DNSBL ٹیب, کرنے کے لئے ذیل میں سکرال custom domain whitelist and enter the following (کرنے کے لئے شکریہ bchow on the pfsense forums)
.amazonaws.com .amazon-adsystem.com .amazon.com .ssl.google-analytics.com .ssl-google-analytics.l.google.com # کے لئے CNAME (ssl.google-analytics.com) .www.google-analytics.com .www-google-analytics.l.google.com # کے لئے CNAME (www.google-analytics.com) .www.googleadservices.com .plex.tv .gravatar.com .thetvdb.com .themoviedb.com .googleapis.com # 172.217.3.202 is important for amazon app to work .1e100.net # CNAME? altname? for googleapis.com .ad.doubleclick.net # گٹوں کے تصادم کے لئے کی ضرورت? .g.doubleclick.net # گٹوں کے تصادم کے لئے کی ضرورت? .q1mediahydraplatform.com # hungryhouse لوڈ، اتارنا Android اے پی پی کے لئے کی ضرورت?
You may also want to enable the alexa whitelist of top sites.
10. شفاف سکویڈ پراکسی
I decided to set up a transparent squid proxy as much of the browsing that we do hits the same sites repeatedly on different devices, I don’t expect it to make a huge difference, but I can’t see any good reasons not to. استعمال system: package manager سکویڈ نصب کرنے کے لئے. پھر میں جاتے ہیں خدمات: squid proxy server to configure it. This is also needed for SquidGuard if you want to use it, مجھے کیا کرنا ہے کے طور پر.
11. SquidGuard ساتھ بچے کی حفاظت کے لئے ویب فلٹرنگ
I have young children in the house and want to block unsuitable content. This can be achieved with the SquidGuard package and Shalla’s Blacklists. Install squidguard from system: package manager. پھر میں جاتے ہیں خدمات: squidguard proxy filter. پر جائیں blacklist ٹیب, ایڈریس درج HTTPS://www.shallalist.de/Downloads/shallalist.tar.gz اور کلک کریں نیچے لوڈ. Then use the Common ACL tab, click on the plus button and select the categories you wish to block. It is also necesary to set up a dummy target category due to a bug. For more information see this post on pfsense forum. Don’t forget to set the default for all of the lists to اجازت دیتے ہیں at the very bottom of the lists. Thanks to networkinggeek on the pfsense forums اس ٹپ کے لئے. Lastly — it may be worth editing a couple of advanced options so that blocked requests are only cached for a short period of time — that way if you decide to unblock some sites you wont have to clear the browser cache to access those sites — there is more information on the pfsense forum. I had to whitelist the category[blk_BL_sex_lingerie] so that my wife could buy underwear as the filter was blocking the underwear sections on mainstream retailers (e.g. Debenhams).
12. Enable U‑PNP for a range of services (گیمنگ, پیغام رسانی, سیلاب, وغیرہ)
کے پاس جاؤ Services: ہے UPnP & NAT-PMP, سب سے نشان لگائیں 2 بکس (فعال کریں ہے UPnP & NAT-PMP اور اجازت دیں ہے UPnP Port Mapping), اور محفوظ کریں پر کلک.
13. بدنیت ٹریفک SNORT ساتھ مسدود
To block detect and block potentially malicious traffic you can install the SNORT package. I recommend running it without blocking for the first few weeks as it will block lots of things you don’t want due to large numbers of false positives. I recommend using the following suppression list to avoid some of the most annoying false positives
#AND P2P BitTorrent کے P2P کلائنٹ صارف ایجنٹ (uTorrent کے) gen_id دبانے 1, sig_id 2011706 #AND P2P BitTorrent DHT announce_peers request suppress gen_id 1, sig_id 2008585 #(spp_ssl) Invalid Client HELLO after Server HELLO Detected suppress gen_id 137, sig_id 1 #AND P2P BitTorrent DHT ping request suppress gen_id 1, sig_id 2008581 #(http_inspect) SIMPLE REQUEST suppress gen_id 119, sig_id 32 #(http_inspect) UNKNOWN METHOD suppress gen_id 119, sig_id 31 #(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE suppress gen_id 120, sig_id 8 #(http_inspect) NO مواد کی طوالت یا منتقلی انکوڈنگ HTTP RESPONSE suppress gen_id 120, sig_id 3 #(http_inspect) DOUBLE DECODING ATTACK suppress gen_id 119, sig_id 2 #(http_inspect) HTTP RESPONSE GZIP DECOMPRESSION FAILED suppress gen_id 120, sig_id 6 #(http_inspect) IIS UNICODE CODEPOINT ENCODING suppress gen_id 119, sig_id 7 #(http_inspect) BARE BYTE UNICODE ENCODING suppress gen_id 119, sig_id 4 #(http_inspect) جاوا سکرپٹ obfuscation کے فہرست سطح سے زیادہ 1 gen_id دبانے 120, sig_id 9 #(http_inspect) JAVASCRIPT WHITESPACES EXCEEDS MAX ALLOWED suppress gen_id 120, sig_id 10 #(http_inspect) میں unescaped SPACE HTTP URI gen_id دبانے 119, sig_id 33 #(http_inspect) U ENCODING suppress gen_id 119, sig_id 3 #(http_inspect) DOUBLE DECODING ATTACK suppress gen_id 119, sig_id 2 #(http_inspect) MULTIPLE ENCODINGS WITHIN JAVASCRIPT OBFUSCATED DATA suppress gen_id 120, sig_id 11 #(http_inspect) HTTP RESPONSE HAS UTF CHARSET WHICH FAILED TO NORMALIZE suppress gen_id 120, sig_id 4 #فائل IMAGE DirectShow کی GIF، logical width overflow attempt suppress gen_id 1, sig_id 27525
14. موڈیم کو ویب تک رسائی حاصل کر رہا ہے, pfsense باکس کے ذریعے
My Netgear DM200 modem (پاس کے ذریعے موڈ میں) is only accessible via a fixed آئی پی ایڈریس (192.168.5.1). I wanted to be able to access its web interface on LAN computers. There are some instructions in the pfsense وکی, but these didn’t work for me at first. There is a helpful post by user Nonsense on the pfsense forum
14B. pfsense ڈیش بورڈ پر موڈیم کنکشن کے اعداد و شمار کی نمائش
After some headscratching I figured out a way to make the modem statistics for my netgear modem show on my dashboard.
This is done by creating a custom widget with php code.
Go to diagnostics and edit file. Create a new file at the path
/usr / مقامی / دیکھیے ورلڈ وائڈ ویب / ویجٹ / ویجٹ / modemstatus.widget.php
مواد کے ساتھ
< ?پی ایچ پی کی $ کی حیثیت = file_get_contents("HTTPS://کا صارف کا نام:password@192.168.5.1/RST_statistic.htm"); $اسٹیٹس = str_replace("تھا timereset = "5\";","تھا timereset = "0\";",$حالت); گونج $ اسٹیٹس ?>
You will need to customise the username and password. The above code works for the Netgear DM200, and probably other netgear modems and routers. For other makes of hardware you will need a different address for the statistics and you may need to do additional manipulation of the response using php.
Note that I have over-ridden the default netgear refresh interval — I’ve turned it off as the reload breaks the dashboard display. To get updated numbers just refresh the pfsense dashboard using your web browser reload button
Now go to the dashboard and add the widget and you’re all done.
15. میں لاگ جب سرٹیفکیٹ انتباہ فکسنگ
ملاحظہ کریں اس گائیڈ
16. مقامی استعمال کرنے کے لئے فائر فاکس پوچھو DNS HTTPS زائد, بجائے ہمارے فلٹرز بائی پاس کے (added April 2020)
In Services -> DNS حل
Add following line to “custom options” field…
سرور:مقامی زون: "use-application-dns.net." always_nxdomain
17. بجائے بلاک کر وسائل کے لئے pfsense خانے کے ڈومین نام استعمال کریں آئی پی (added April 2020)
Services -> SquidGuard Proxy Filter -> Common ACL
Change “ReDirect Mode” to “ext url move (داخل یو آر ایل)"
In the “Redirect info” field set “https://آپ کے روٹر نام / sgerror.php?url=403%20&ایک =٪ ایک&ن =٪ ن&میں نے٪ میں =&S =٪ s کو&T =٪ T&u=%u”
Fantastic guide where do i place this in floating rules?
There is one further tweak required to make sure IPv6 works fully, you need to allow ICMPv6 packets through the firewall. Go to Firewall, اور پھر رولز. ایک نیا اصول شامل کریں, set the address family to IPv6, change the protocol to ICMP, leave “any” selected as the subtypes (unless you want to do a lot more reading about specific subtypes). محفوظ کریں پر کلک, and then click “Apply Changes”.
Pls keep the guides coming!!
اضافی معلومات کا شکریہ. I had indeed enabled ICMPv6 packets but must have forgotten that I had when I wrote this. I’ll update it. I’m not sure which part of the guide your first question refers to?