在pfsense中的command怎样显示配置

一、WAN和LAN参数的设置及修改
在第二章中有一些初步的设置，那些都是基于向导来进行的，若通过向导设置后要进行修改，在pfSense1.2中修改相当方便，若是在pfSense2.0中修改有些不同。
在pfSense1.2中，点击“Interfaces”(接口)下的“WAN”或“LAN”可进行WAN或LAN参数的设置及修改，与向导方式相同，这里就不赘述。

在pfsesne2.0中，修改WAN接口参数时，WAN的网关是通过修改静态路由的方式来进行修改的，从这点可以看出pfsesne2.0开发者意图在于大型网络的管理。

设置完WAN接口的参数后，可以在系统菜单下的路由子菜单下看到WAN接口的默认网关参数。

二、防火墙规则的使用
pfSense的防火墙规则，有三种动作：通过、阻止和拒绝，能够基于IP地址，端口，网络协议进行，防火墙规则一般做在WAN或LAN接口上。在pfSense中还提供有“Schedules”功能，能做到按时段来起效某些防火墙规则。
由于防火墙规则众多，这里以实例方式进行阐述，请读者自行根据实例，自由发挥，管理你的网络。如网络上一般用“ping”命令检查网络的通断，若将icmp协议在LAN接口上进行阻止或拒绝，那么网内的机子就只能ping通LAN地址，LAN以外的地址就不能ping通。点击“Firewall”（ 防火墙）下的“Rules”（规则）选中“LAN”接口，系统默认有一条规则，表示“Source”（源地址）为与LAN接口地址同网段的IP地址，通过LAN接口所有的目的地址，所有的协议都是予以放行的。点击后面的“e”可能修改此规则，点击后面的“+”可以增加规则， 点击下面的“x”可以删除所选中的规则。（重要说明：初学者最好不要动这条规则，若删除所了此规则，并生效后，就进不了pfSense的web页面进行相关设置，只能通过pfSense的控制台，将pfSense恢复成出厂模式，进行重新设置）

默认的规则下面我们做一个禁止使用ping命令探测网络状况的实验，点击后面的“+”我们增加如下规则，动作：阻止，接口：LAN，协议：ICMP 源地址和目的地址都是任意。

编辑完规则保存后，系统回到LAN接口的规则表页面，点击“Apply changes”系统加载所有规则。这时我们迫不及待的试一下ping命令，不对，还是ping得通LAN以外的地址。如61.139.2.69（电信的DNS服务器地址），选中新增加的规则（点中规则前的小方框，出现一个小勾，就表示选中）接着点一下第一默认的那条规则后的“<”符号，将此规则移动到第一个位置上，并重新加载所有规则。再试一下ping命令，现在就无法ping通了。

从上面的实例，可以看出pfSense在匹配防火墙规则时，自上而下进行匹配的，这点非常重要，后面我们在进行流量整形的时候还要利用这点。
接下来我们再做一个“Schedules”方面的实例，让pfSense 限制内网在某时段访问外网。点击“Firewall”下的“Schedules”我们做一个名叫“100”在五月23日---31日和六月1日---7日的18:30---20:00生效的计划列表。
图3-10计划列表，名字叫“100”在18:30——20:00有效。
在LAN接口添加一条规则：动作：拒绝，协议：任意，源地址：LAN net，计划列表：100。若在图3-11中所设的时间内“schedule”栏那个红叉会由浅色的变成深色，表示该规则被匹配，此时网内所有的机子无法访问外网。不过通过笔者实施，发现只有在此规则被匹配时段的网络请求不能执行，若在此规则被匹配前已存在的网络连接不会中断，如此时段不能登录QQ，但已登录上的QQ此时段不会断线。

三、NAT设置
pfSense的NAT有许多功能，这里用两个实例来进行阐述。

在笔者所在的教育城域网，采用的租用网络运营商的线路，使用vpn模式组成的一个大型的局域网，网络出口统一在市信息中心，市中心、区县中心、网络运营商、学校各级采用三层路由结构组网。为了网络安全，市信息中心配备网络日志服务器，要求各学校必须采用纯路由模式接入教育城域网，一旦出现网络安全事故，方便进行责任追究。所以信息中心严禁将WAN接口地址进行转换（NAT）成另外地址进行网络连接。
在NAT的转出页面上，启用高级转出，将系统自动生成的转出规则删除，因为上级网络设备均做了下级设备的WAN 和LAN的静态路由，此时没有转出规则，就以路由模式进行网络连接了。

在一些常规的，稍大型的单位，采用独立公网IP接入互联网，内部采用NAT模式进行网络连接，一般运营商给单位提供许多公网IP给单位使用，这时网络如何设置呢，下面以一个模拟网络环境的实验来进行此方面的网络连接设置，网络拓扑图及网络参数如下。

设置虚拟地址池10.139.196.8/29 ,此地址池有.8到.15共8个地址，与划分网段有区别，若划分网段则有.9到.14共6个可用主机地址。(按此方法设了一个10.139.196.10/32的单IP)
图3-15 设置虚拟地址池
在防火墙的转出项启用高级转出，并修改自动生成的转出规则，将NAT address修改成虚拟地址池10.139.196.8/29 。

在PC2上使用ping 10.139.196.1 -t的命令长时间ping软路由m0n0wall，并进入m0n0wall在防火墙的状态项中可以查看到NAT成10.139.196.8的数据信息。

在防火墙的端口转发中将192.168.1.1的80端口NAT成10.139.196.10的80端口，在PC1上可以基于10.139.196.10或接口地址10.139.196.2进入pfSense的web页面。

四、多WAN口的配置及负载均衡
现在许多单位的网络采用双出模式，一般是电信和网通双线，在大型核心级的网络（如高校、科研单位）一般采用策略路由的方式进行网络流量分配，以此达到负载均衡，这里我们采用双线自动负载均衡非常适用于网吧等对网络依赖比较大的中小型网络。这里笔者没有公网双出口条件，下面以一个实验来进行pfSense双线负载均衡设置阐述。
实验背景：电信adsl接入，采用NAT路由器进行地址转换成192.168.1.0/24，移动运营商赠送一条已转换成192.168.4.0/24的宽带，它们均是2M带宽。
在WAN口设置好电信ip(说明此ip经路由器进行NAT成私网ip,下同) ，在OPT1接口设置好移动
编辑负载均衡池，说明“行为”第一选项为负载平衡，将流量分到两条线路上。第二项为线路备份，当第一条线路出问题后自动转到第二条线路上。

说明：由于tcp/ip协议中的两大协议TCP和UDP的特性，TCP是面向连接的协议，UDP是无连接协议，当采用以上方式进行网络连接，若是客户机某时正在进行网络游戏（网络游戏一般采用的TCP协议）当WAN或OPT1某条线断了，而此时的网络游戏数据恰好走的是这条线路，此时游戏会中断，用户要重新登录才能继续游戏，若客户机此时正在进行视频观赏（网络视频一般采用的UDP协议），则用户不会有断线感觉，pfSense自动切换到正常线路上来继续进行UDP数据包的下载。

五、VLAN的设置
这里讲的VLAN的设置，有两种模式，一种是在pfSense上基于支持802.1Q协议的网卡进行VLAN的划分，这还必需要有能进行端口汇聚的二层交换机配合才能使用。另一种模式就是使用三层交换机划分VLAN，pfSense相当于一台NAT设备，接在三层交换机前端。
第一种模式，我们以划两个VLAN示例阐述，设置如下，点击“Interfaces”下的“Assign”中的“VLANs”在接中em0(LAN 所用的网卡)划了vlan20和vlan30的两个VLAN，在“Interface assignments”（接口指派）下将此两个VLAN的接口进行指派成OPT1和OPT2。并分别启用这两个接口并设置IP地址。对两个VLAN的接口添加防火墙规则。
同进在NAT转出上启用高级转出并设置好转出规则。若各VLAN互通，还应针对各接口地址设置静态路由。

在二层交换机上也划出vlan20和vlan30，并设好端口汇聚，将汇聚端口接在pfSense的LAN接口上。二层交换机下的机子就能正常接入网络中了。

第二种模式，VLAN的划分主要是在三层交换机上完成，主要思路为pfSense的LAN处在三层交换机的一个VLAN中，三层交换机的默认路由指向pfSense的LAN地址。此时在pfSense的LAN接口上要修改防火墙规则，允许其它VLAN的数据通行。下面我们也以划两个VLAN示例进行阐述。
交换机上设置（这里采用一台神州数码的三层交换机说明）
(1)、启用三层路由
l3-forward enable
(2)、配置vlan 10，将1－4号端口加入该vlan中。 （pfSense的LAN所在的vlan）
vlan 10
interface ethernet 0/0/1-4
switchport access vlan 10
interface vlan 10
ip address 192.168.1.2 255.255.255.0 （说明这是三层交换机与pfSense连接的接口地址）
(3)、配置vlan 20，将5－8号端口加入该vlan中。
vlan 20
interface ethernet 0/0/5-8
switchport access vlan 20
interface vlan 20
ip address 10.139.197.1 255.255.255.0
(4)、配置vlan 30，将,13－24号端口加入该vlan中。
vlan 30
interface ethernet 0/0/13-24
switchport access vlan 30
interface vlan 12
ip address 10.139.198.1 255.255.255.0
(5)、设置默认路由
ip route 0.0.0.0 0.0.0.0 10.139.196.1
在pfSense的防火墙上设置VLAN20和VLAN30的防火墙规则，针对VLAN20和VLAN30做VLAN10接口地址192.168.1.2为网关的静态路由。