pfsense2.0.1安装设置图文教程

Pfsense2.0.1系统安装

硬件安装：

前提是这台电脑需要双网卡，最好网卡能够选择通用型的。硬盘大小无所谓，内存也无需有太多的顾虑，如果规模100台电脑以上，则内存最好256M以上

Pfsense2.0.1系统安装：

光盘引导后，默认执行程序后出现以下画面：

注意如果没有rl0和rl1网卡的MAC地址就说明网卡不正确，请重新插拔网卡或更换！

这里出现的画面是提示你是否将此台电脑设置成为VLANS（概念就是这台电脑比如有多张网卡，各个网卡出去的网线都在同一个交换机等设备上，也简单点自我理解就是这台电脑也等于是个交换机的概念），这里我们一般设置选项为NO！画面：

选NO后提示先设置哪张网卡为WAN（外网）：一般设置为rl0 ！画面：

之后是提示设置哪张网卡为LAN（内网）：一般设置为rl1 ！

出现这句话时enter the optional 1 interface name or `a` for auto-detection (or nothing if finished)（意思是以上输入的2张网卡名称自己定义还是自动检测，我们一般设置为a 自动检测），输入a后出现connect the optional 1 interface now and make sure that the link is up.then press enter to cantinue这句话的意思是你确定输入的链接起来吗，按回车继续，我们当然按回车来继续。

注意，这个步骤之前要确认网卡是通电或是工作的状态！之后出现的画面如下：

提示指定好后是否要继续，我们当然选Y

之后pfsense程序进行我们的配置，配置完成这后出现以下画面：

2张网卡出现的IP是pfsense系统现在默认设置的，我们暂且不用去管，接下来我们选择99进行安装pfsense2.0.1安装程序。之后出现这个画面： 这是第一步：

分别意思为改变视频字体默认 改变screenmap默认 改变keymap默认 接受这些设置当然我们选择（Accept these settings）最后一项 第二步：

我的理解是，如果你的硬盘本身已经有分区会出现以下画面：（因为我的硬盘本身已存在分区）

以上的意思是：快速/容易安装 自定义安装 救援config . xml 重启 退出 因为我的硬盘已存在分区，所以选择第二项，如果没有存在分区当然是上一张图上的第一项。

接下来选择硬盘，画面：

下一步后出现画面提示你要开始格式化你的硬盘了，默认选择进行下一步

这一步是说你要格式化并给你分区的大小数值，我们默认选择（Use this geometry）意思是使用用户数据不动

接下来会有一秒钟的进步，然后直接出现以下画面，这步是说真的要格式化分区了。

按回车后出现以下画面：

分别意思是 分区磁盘 跳过这一步 返回格式磁盘

当然我们选择第一项，选择后出现的地方我们选OK（也就是默认的选项）后出现画面：

以上的意思是 接受和创造 返回格式磁盘 恢复磁盘上的分区 我们选择第一项，如果有接下来这步的话我们选择跳过，看下图：

选择跳过后出现画面是硬盘信息，我们直接OK。之后出现：

意思是 接受并安装bootblocks 跳过这一步 回到分区磁盘 因为我们要将引导的程序安装在硬盘，我们自然是选择第一步。接下来有个步骤我们直接选择OK之后出现的画面又是选硬盘和OK之类的，选skip，之后提示提示化完成，出现画面：

这个画面是设置子分区的步骤，我们直接选择第一项。之后又是格式化进度，画面如下：

可能在某个进度会有点慢，这是正常的！ 如果中途有这个画面出现：

我们选择第一项。他的意思是：对称multiprocesing内核(超过一个处理器)

嵌入式内核(没有vga控制台、键盘) 内核开发人员(包括gdb,等等)

最后一步：不用说了，就是重启！

回车后pfsense会提示你默认用户名和密码，分别是 admin pfsense

重启后进入pfsense2.0.1的DOS界面：

分别意思为：

0.注销(ssh只有)1.分配接口2.设置界面(s)的ip地址

3. webconfigurator重置密码4.重置为出厂默认值 5.重启系统 6.停止系统 7.ping主机 8.壳 9.pftop 10.过滤日志

11.重启webconfigurator 12.pfsense开发者壳 13.升级从控制台 14.启用安全shell(sshd)

出现上述画面后，我们开始在这个环境下设置网卡的IP，但一般我们在这个环境下只设置LAN（本地）的IP，所以选2后出现：

因为我们只设置本地网卡LAN IP所以还是选择2，回车后出现提示，我们开始输IP地址，一般我设置IP地址池最后一个，192.168.1.254后回车，出现：

开始选择子掩码段，我们选择24之后回车，接下来的是提示是否将LAN设置成为DHCP功能，我们选择N（因为我们一般在WEB界面上来启用DHCP，如果我们设置成

Y的话将会影响接下来我们在WEB界面中绑定客户端MAC地址的影响）另外接下来的步骤中HTTP功能我们选择为Y（意思是我们可以在IE地址栏中通过HTTP功能访问WEB界面，如：http://192.168.1.254），最后我们按回车继续！见下图：

接着，拔掉本来插好的其中一根网线，试着用电脑通过IE地址栏输入

http://192.168.1.254来确认哪张网卡为LAN（本地网卡）确定后并为LAN和WAN网卡做好标识，一般情况下靠近CPU或是PCI插槽最前面的为rl0（就看你rl0本身定的是哪张网卡了）进入地址后出现以下画面：（我这里只是示范）

输入默认的用户名和密码后出现如下界面：

首行菜单分别为 系统接口防火墙服务vpn状态诊断帮助

首先我们设置system中的Advanced:--Admin Access选择https（等于将本来的http访问形式改成https，https是加密型的访问，安全性高），接下来的Advanced下的子菜单都可以不设置，再设置system的Generd setup页面中在DNS server 中填入首选DNS和备用DNS域，按保存，图：

接下来在设置system中的setup wizard这个子菜单

按next—再next—再next—选择SelectedType（接入类型）里面有选项分别为DHCP（自动分配）、static（静态IP地址，就是固定IP）、pppoe（就是拨号方式）、pptp（点对点的传输方式，相当于VPN）

因为我这边是有静态IP的，所以这里上网方式以static为例。在Static IP Configuration中填入IP地址和网关后选择子掩码26后按next 如图：

下一步后显示LAN的IP和子掩码（这是原本在DOS配置好的）--按next--更改登陆密码（建议更改）--next—按reload（重启）后重新在地址栏里登陆

接下来，我们在选择system中的Package（功能包），里面会出现2个子页面，一个是选择Package（这个是网络在线形式的），一个是显示安装包的界面。

在这里我们一般企业用于上网管理的话我们只要下载squid这个包就可以了，这个是一个路由功能，但也是必下载之一。在列表中找到squid之后点右边的+号，如图

安装好后，我们点VPN菜单，具体见下图：

那个点是说明 开启PPTP server功能，下面2个地址是说明用VPN连进来的地址获得的范围是192.168.1.250至192.168.1.252之间，然后点sava保存，接着点users这个选项，添加一个能用VPN访问的用户，见下图：

然后sava保存，并执行更改。

我们直接选菜单 services中的proxy server（这个子菜单我们是用来控制可以通过代理来上网的设置选项），选择LAN然后在Administrator email这栏中填入网络管理员的联系方式，一般我们只填电子邮件，余下的我们不用做更改！然后按保存sava，这一步不做图片说明了！

接着，我们选择 services 中的DHCP server 菜单，出现后选择LAN页面，先不做任何设置，我们直接在页面下面添加需要固定分配的MAC地址和IP地址，最好在添加下说明，比如这个地址是谁的。 界面图：

按+号后如图：

最后save（保存），如图：

这样一个个添加后，我们再去设置这个页面上面的选项：

这个第一个勾是说启用DHCP服务器在局域网接口（也就是理解为开启DHCP功能） 第二勾是说明 未知客户 不能加入（也就是说下面列表中不存在的地址不能加入） 第一个框里填的IP是范围，也就是说1.245和1.250这些地址范围不分配

DNS server 填入DNS的地址 gateway 填入网关地址（图上的网关我写错了，应该是254）

Default lease time是指IP地址的租期数值86400等于是24小时

这里设好后我们最好重启下机器，因为接下来的一般来讲是最为重要的步骤了！ 重启机器我们登陆WEB后，选firewall菜单中的rules（规则）再点LAN后如图：

系统默认下面LAN net这个是pass，这个说明所有经过这台机器的网线都是可以访问intelnet的，所以我们要修改下这个规则，点击右边的e这个图标后：

在第一个下拉式菜单中我们选择block（意思是为阻止）然后点save保存，之后再点apply changes（执行更改）

注意的事是，这规则一定要在最下面 我们点击pptp vpn选项，添加一个规则：

在protocol中选择any后按sava并执行更改

然后我们回到LAN这个选项卡再添加几个邮件方式的规则：因为目前这个我们只要通过这台机器接入到这里的局域网络在这个规则里面目前只能允许访问局域网，而不能接收邮件，如果我想让这些不能上网的电脑要收邮件，那就需要添加一个邮件方式的规则，举例说明让这些不能上网的电脑只能收126的邮箱中的邮件，那就如下：（前提是我们要知道126的邮箱的IP地址、POP3以及SMTP服务器的IP地址）

第一个规则：

第二个规则：

添加好这2个POP3和SMTP的规则后我们再添加邮件端口规则共4个见下图：

之后在这个rules菜单下WAN有一个规则

之后保存并执行

然后回到LAN中我们添加一台可以上网的电脑到规则中： 如图：

如果在Protocol中选择any的话则不被tcp/udp的协议限制，也能ping的通IP了。 下面我们来设置通过代理上网的方法:

首先在在菜单System选择Package 然后下载squidGuard这个包安装好后，我们进入Firewall菜单中的 Rules页面，然后选择LAN这个选项卡，添加一个规则：

这个规则的意思是本地网卡跟规则的协议通讯，下面是配置好后的图片。

最后我们进入services 的Proxy server的选项上第一个选项卡General settings我们一般只要把Allow users on interface后面的勾打上和更改下下面的管理员通知方式就可以了！然后我们选择Access control这个选项卡

第一个框意思是可以通过代理上网的地址 IP规则未尾是/32

第二个框意思是不可以通过代理上网的地址 IP规则未尾是/24（一般我们不用） 第三个框意思是可以打开的网页地址，但一定要IP地址，而不是网址！ 第四个框意思是可以通过的关键字 第五个框意思是不可以通过的关键字

见下图：

就是这样，我们一般性的企业上网管理方式就设置完成了！ 当然可以根据自己的需要再进一步的可以进行设置研究！

本文来源：https://www.bwwdw.com/article/98c6.html