pfSense是一款基于FreeBSD的免費(fèi)開(kāi)源防火墻和路由器軟件的發(fā)行版。它主要作用是提供企業(yè)級(jí)網(wǎng)絡(luò)安全和路由功能，使其成為家庭網(wǎng)絡(luò)、小型企業(yè)和大型企業(yè)的熱門(mén)選擇。

核心功能

?防火墻和路由器功能：實(shí)施狀態(tài)數(shù)據(jù)包檢測(cè)(SPI)和NAT。

?VPN支持:支持OpenVPN、IPsec和WireGuard安全遠(yuǎn)程訪問(wèn)。

?流量整形(QoS):確定關(guān)鍵應(yīng)用的帶寬使用優(yōu)先級(jí)。

?入侵檢測(cè)和預(yù)防:集成Snort和Suricata進(jìn)行安全監(jiān)控。

?DNS和DHCP管理:充當(dāng)DNS解析器和DHCP服務(wù)器。

?高可用性和負(fù)載平衡:確保冗余并有效分配網(wǎng)絡(luò)流量。

?強(qiáng)制網(wǎng)絡(luò)門(mén)戶(hù)和認(rèn)證:適用于公共網(wǎng)絡(luò)和訪客Wi-Fi管理。

重要提示: pfSense在基于ARM的架構(gòu)上沒(méi)有得到官方支持，這意味著您需要依靠虛擬化(例如QEMU)來(lái)讓它工作

為什么要在Raspberry Pi上使用pfSense？

定制化和靈活性

pfsense的開(kāi)源特性允許定制腳本、包和集成。

除了pfSense之外， Raspberry Pi還支持其他網(wǎng)絡(luò)工具，如Pi-hole、WireGuard和OpenVPN。

可配置用于物聯(lián)網(wǎng)安全、家庭網(wǎng)絡(luò)保護(hù)或小型辦公室VPN。

小型網(wǎng)絡(luò)的輕量級(jí)路由和防火墻

可用于基本的網(wǎng)絡(luò)安全、DNS過(guò)濾和流量整形。

在家庭自動(dòng)化和智能家居安全等低流量環(huán)境中工作良好。

支持VPN設(shè)置來(lái)安全地連接遠(yuǎn)程設(shè)備。

備份防火墻和網(wǎng)絡(luò)故障轉(zhuǎn)移

萬(wàn)一主防火墻出現(xiàn)故障，可以充當(dāng)輔助或備用防火墻。

適用于緊急情況或測(cè)試網(wǎng)絡(luò)中的快速部署。

在需要輕量級(jí)解決方案的邊緣網(wǎng)絡(luò)場(chǎng)景中工作良好。

需要考慮的限制

性能限制–Raspberry Pi的ARM處理器和有限的RAM可能會(huì)與高吞吐量網(wǎng)絡(luò)相沖突。

有限的網(wǎng)絡(luò)端口–雙接口設(shè)置需要USB轉(zhuǎn)以太網(wǎng)適配器。

虛擬化開(kāi)銷(xiāo)——在QEMU或另一個(gè)虛擬機(jī)上運(yùn)行pfSense將使用額外的系統(tǒng)資源。

不適合企業(yè)使用–最適合小型應(yīng)用，而不是大型應(yīng)用

真實(shí)世界的場(chǎng)景

家庭網(wǎng)絡(luò)防火墻和安全性

您希望保護(hù)您的家庭網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅，管理帶寬使用，并阻止不需要的流量。

小型企業(yè)和遠(yuǎn)程辦公室網(wǎng)絡(luò)

小型辦公室或遠(yuǎn)程工作人員需要安全且經(jīng)濟(jì)高效的防火墻來(lái)保護(hù)敏感數(shù)據(jù)并允許遠(yuǎn)程訪問(wèn)。

學(xué)習(xí)和網(wǎng)絡(luò)安全培訓(xùn)

實(shí)驗(yàn)室網(wǎng)絡(luò)安全學(xué)生或IT專(zhuān)業(yè)人員需要一個(gè)真實(shí)的環(huán)境來(lái)測(cè)試防火墻規(guī)則、VPN設(shè)置和網(wǎng)絡(luò)安全。

物聯(lián)網(wǎng)和智能家庭網(wǎng)絡(luò)

保護(hù)用戶(hù)擁有多臺(tái)物聯(lián)網(wǎng)設(shè)備(智能鎖、攝像頭、恒溫器)，出于安全原因，他希望將這些設(shè)備從主網(wǎng)絡(luò)中隔離出來(lái)。

面向訪客Wi-Fi的低成本強(qiáng)制網(wǎng)絡(luò)門(mén)戶(hù)

一家小企業(yè)(咖啡館、Airbnb、聯(lián)合辦公空間)希望為安全的訪客Wi-Fi提供登錄頁(yè)面和帶寬控制。

面向偏遠(yuǎn)地區(qū)的邊緣網(wǎng)絡(luò)

農(nóng)村地區(qū)的小型辦公室或社區(qū)網(wǎng)絡(luò)需要基本的網(wǎng)絡(luò)功能，而不需要昂貴的硬件。

在Raspberry Pi上運(yùn)行pfSense的挑戰(zhàn)

由于pfSense不能本地運(yùn)行，它需要一個(gè)使用QEMU、VirtualBox或類(lèi)似工具的虛擬機(jī)(VM)。

QEMU仿真是資源密集型的，減少了網(wǎng)絡(luò)任務(wù)的可用CPU能力。

在Raspberry Pi操作系統(tǒng)上虛擬化pfSense會(huì)增加設(shè)置和維護(hù)的復(fù)雜性。

硬件與軟件要求

硬件:

Raspberry Pi 5 (8GB/16GB RAM)(重要提示:性能更佳)。

存儲(chǔ):16GB/32GB microSD卡(10級(jí)或更高級(jí))。

網(wǎng)絡(luò):至少一個(gè)額外的USB轉(zhuǎn)以太網(wǎng)適配器。

電源:官方Raspberry Pi 5V/3A (USB-C)電源適配器。

軟件:

64位Raspberry Pi操作系統(tǒng)(基于Debian)。

pfSense ISO圖片:從官方網(wǎng)站獲取最新的pfSense社區(qū)版(CE) ISO，選擇x86_64架構(gòu)(因?yàn)槲覀冋谑褂锰摂M化)。

虛擬機(jī)管理器:QEMU(輕量級(jí)，最適合Raspberry Pi操作系統(tǒng))

步驟指南

1.準(zhǔn)備Raspberry Pi:安裝和配置Raspberry Pi操作系統(tǒng)，啟用SSH

安裝Raspberry Pi OS:https://www.sunfounder.com/blogs/news/raspberry-pi-operation-system-complete-guide-to-versions-features-and-setup

啟動(dòng)SSH:https://www.sunfounder.com/blogs/news/mastering-remote-control-unlocking-the-power-of-ssh-with-raspberry-pi

2.設(shè)置虛擬機(jī):打開(kāi)終端并運(yùn)行:

sudo aptupdate&&sudo apt upgrade-ysudo apt install qemu-system-x86 qemu-utils bridge-utils-y

我們需要?jiǎng)?chuàng)建一個(gè)虛擬硬盤(pán)來(lái)安裝pfSense。

qemu-img create -f qcow2 pfsense.qcow28G

3.使用pfSense ISO啟動(dòng)虛擬機(jī)

運(yùn)行以下命令在QEMU中啟動(dòng)pfSense安裝程序:

qemu-system-x86_64 \ -m2048\ -smp2\ -hda pfsense.qcow2 \ -cdrom pfSense-*.iso \ -boot d \ -net nic -net user \ -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no\ -vga std

參數(shù)說(shuō)明:

-m 2048 → 分配2GB RAM給pfSense(根據(jù)可用內(nèi)存進(jìn)行調(diào)整)。

-smp 2 → 分配2個(gè)CPU內(nèi)核以獲得更好的性能。

-hda pfsense.qcow2 → 使用之前創(chuàng)建的8GB虛擬磁盤(pán)。

-cdrom pfSense-*.iso → 加載pfSense ISO進(jìn)行安裝。

-boot d →從光盤(pán)啟動(dòng)(用于安裝)。

-net nic -net user → 創(chuàng)建基本虛擬網(wǎng)絡(luò)。

-net nic,model=virtio

-net tap,ifname=tap0,script=no,downscript=no → 創(chuàng)建虛擬網(wǎng)橋。

4.安裝pfSense:帶截圖的分步指南

使用默認(rèn)配置并選擇安裝pfSense的磁盤(pán)。

5.在終端中再次運(yùn)行虛擬機(jī)

qemu-system-x86_64 -m2048-smp2-hda pfsense.qcow2 -boot d -net nic -net user -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no-vga std

6.虛擬機(jī)運(yùn)行后:在另一臺(tái)設(shè)備上打開(kāi)web瀏覽器。輸入http://192.168.1.1(默認(rèn)pfSense LAN IP)。

登錄使用：1. 用戶(hù)名: admin 2. 密碼: pfsense

高級(jí)配置

分割隧道(選擇性流量路由)

僅允許特定流量通過(guò)VPN，而其他流量使用正常的internet連接。減少帶寬使用，提高非VPN應(yīng)用程序的速度。

多用戶(hù)WireGuard VPN(多對(duì)端)

允許多個(gè)用戶(hù)(家庭、團(tuán)隊(duì)、遠(yuǎn)程工作人員)同時(shí)連接到VPN。非常適合企業(yè)、共享訪問(wèn)或多種設(shè)備。

用于更改公共IP的動(dòng)態(tài)域名系統(tǒng)(DDNS)

即使您的ISP經(jīng)常更改您的公共IP，也允許VPN客戶(hù)端連接。如果沒(méi)有靜態(tài)公共IP，這是必不可少的。

站點(diǎn)到站點(diǎn)VPN(連接兩個(gè)網(wǎng)絡(luò))

通過(guò)WireGuard VPN連接兩個(gè)不同的網(wǎng)絡(luò)(例如，家庭和辦公室)。安全地訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)資源(文件共享、打印機(jī)、服務(wù)器)。

運(yùn)行多個(gè)VPN

同時(shí)允許您同時(shí)連接到多個(gè)VPN提供商(例如，一個(gè)用于工作，一個(gè)用于個(gè)人使用)。對(duì)于分離不同VPN服務(wù)之間的流量非常有用。

VLAN分段(物聯(lián)網(wǎng)和訪客網(wǎng)絡(luò)的安全VPN)

您可能不希望VPN用戶(hù)訪問(wèn)家庭網(wǎng)絡(luò)上的所有設(shè)備。VLANs允許您隔離流量。

VPN設(shè)置(WireGuard)

1.轉(zhuǎn)到:系統(tǒng)>軟件包管理器>可用軟件包。

2.搜索“WireGuard”，然后點(diǎn)按“安裝”。

3.安裝后，轉(zhuǎn)到VPN > WireGuard。

2.1創(chuàng)建一個(gè)WireGuard隧道(VPN服務(wù)器)

(1).轉(zhuǎn)到:VPN > WireGuard > Tunnels

(2).單擊+添加Tunne。

(3).配置以下設(shè)置:

o啟用(選中)

o描述:WireGuard VPN服務(wù)器

o監(jiān)聽(tīng)端口:51820(默認(rèn)WireGuard端口)

o接口密鑰:單擊生成(創(chuàng)建一個(gè)私有/公共密鑰對(duì))。

oTunnel 地址:192.168.1.23/24(客戶(hù)端的VPN子網(wǎng))。

4.保存并應(yīng)用更改。

2.2將WireGuard指定為網(wǎng)絡(luò)接口

(1).轉(zhuǎn)到Interfaces > Assignments。

(2).添加新的WireGuard接口(wg0)。

(3).將其重命名為WG_VPN，然后保存并應(yīng)用更改。

配置VPN客戶(hù)端(對(duì)等)

3.1添加對(duì)等方(遠(yuǎn)程客戶(hù)端)

1.轉(zhuǎn)到:VPN > WireGuard >Peers。

2.單擊+添加Peer。

3.配置以下設(shè)置:

o啟用

o描述:客戶(hù)端1(筆記本電腦、電話等。)

o公鑰:(暫時(shí)留空，我們稍后將在客戶(hù)機(jī)上生成它)

o允許的IP:192 . 168 . 1 . 100/32(為此客戶(hù)端分配一個(gè)靜態(tài)IP)。

o Keepalive: 25(防止NAT斷開(kāi))。

4.保存并應(yīng)用更改。

重要提示:我們需要允許VPN流量通過(guò)pfSense的防火墻。

優(yōu)化RASPBERRY PI上的PFSENSE性能

限制日志記錄以減少SD卡磨損

在pfSense中，轉(zhuǎn)到:System > Advanced > Miscellaneous → Enable "RAM Disk for Logs"

降低CPU使用率

修改QEMU命令以減少負(fù)載:taskset -c 1 qemu-system-x86_64

潛在的限制

性能瓶頸

技術(shù)專(zhuān)業(yè)知識(shí)要求

要考慮的替代方案

所以關(guān)于樹(shù)莓PI上的PFSENSE值不值？

家庭實(shí)驗(yàn)室和學(xué)習(xí)環(huán)境。

基本防火墻和VPN設(shè)置。

適用于小型網(wǎng)絡(luò)的輕型路由器。

?x 高速網(wǎng)絡(luò)(> 500 Mbps)——raspberry pi的虛擬化網(wǎng)絡(luò)限制了吞吐量。

?x 企業(yè)應(yīng)用–與專(zhuān)用pfSense硬件相比，性能有限。

此外，我們建議您使用Raspberry Pi訪問(wèn)我們的防火墻帖子

結(jié)論

使用虛擬機(jī)在Raspberry Pi上設(shè)置pfSense是在預(yù)算有限的情況下探索高級(jí)網(wǎng)絡(luò)安全特性的好方法。雖然它可能無(wú)法提供專(zhuān)用硬件的性能，但它是家庭實(shí)驗(yàn)室、小型網(wǎng)絡(luò)和學(xué)習(xí)環(huán)境的可行解決方案。在本指南中，我們介紹了安裝、性能優(yōu)化和WireGuard VPN等高級(jí)配置的基本步驟。盡管存在虛擬化開(kāi)銷(xiāo)和硬件限制等限制，但這種設(shè)置為網(wǎng)絡(luò)安全提供了一個(gè)靈活且經(jīng)濟(jì)實(shí)惠的切入點(diǎn)。對(duì)于要求更高的環(huán)境，考慮專(zhuān)用的pfSense設(shè)備可能是更好的選擇。無(wú)論如何，這個(gè)項(xiàng)目對(duì)于任何希望提高自己的網(wǎng)絡(luò)技能和嘗試尖端開(kāi)源解決方案的人來(lái)說(shuō)都是一次寶貴的經(jīng)歷。

原文鏈接：

https://www.sunfounder.com/blogs/news/raspberry-pi-pfsense-using-a-vm-complete-guide-to-building-a-virtual-firewall