pfsense

在我们访问网站时，运营商、各类搜索引擎等都可以收集我们的数据并通过庞大的互联网对我们进行跟踪，虽然可以通过安装浏览器扩展插件(uBlock Origin，uMatrix等)进行阻止，但需要在每个设备、每个浏览器上进行安装。如果我们有pfSense防火墙，那我们可以在防火墙上安装pfBlockerNG来搭建Web过滤器，保证内网的所有设备都可以过滤广告并阻止恶意网站，确保网络安全。 安装pfBlockerNG 首先，登录pfSense，导航到“系统>插件管理，可用插件”选项卡。找到pfBlockerNG-devel插件。 点击右侧的“安装”按钮，等待下载pfBlockerNG并安装。 pfBlockerNG初始设置 转到 防火墙→pfBlockerNG 。 配置向导会引导我们进行设置。点击“下一步”继续。 该页面解释了现在正在设置的内容： 为初学者进行标准设置。 如果以前安装过pfBlockerNG，则所有设置将被删除。 安装两个组件： IP：在WAN接口添加防火墙规则阻止已知最差的***者。 DNSBL：阻止广告和其他已知的恶意域。 点击“下一步”。 这里必须选择入站接口(WAN)和出站接口(LAN)。如果有多个内部接口，则可以选择要为其设置pfBlockerNG的所有接口。 接下来定义一个VIP地址。pfBlockerNG的Web服务器在该地址上运行

本文主要初步了解了下开源防火墙中的2兄弟pFsense和OPNsense差异，闲来无事顺便用它俩撸了一把site to site IPsec 。 一，oFsense(v2.3.3)和OPNsense（V20.1）通俗对比 这2兄弟前面的是大哥，差不多15岁了，后面的是弟弟也就4/5岁，因为都是一个爹妈（FreeBSD/m0n0wall）生的，虽然外表有所差异，但是骨子里的东西99%都一样。首先，哥哥长的丑一点（GUI中规中矩），弟弟长的就帅很多了，也比较时髦（2个系统的前端框架不一样，前者是Bootstrap后者是基于Phalcon PHP框架的Bootstrap）；其次，哥哥长大了想法也多了，感觉自己有些某些方面能力不足但自己有无能为力，所以需要第三方的力量来弥补（支持插件），而弟弟想法是引入第三方会影响到自身某些方面的发展，所以不想接入外来（不支持插件）；最后，他俩对周围环境的安全意识也发生了一些分歧（前者是IDS大佬Snort，这个已经被cisco撸到FTD中了，后者是Suricata），其他的2兄弟可以说基本都一样，最后他俩现在都出名了（主要国外名气大），哥哥开发布会比较随意，弟弟则是每周开发布会（安全更新周期不同）。 先来张他俩的自拍，大家体会下，上面的是哥哥，下面的是弟弟。 简要拓扑 目标：10.10.10.11和10.10.11.11之间通过 IPSEC 互通。 二

环境： 内网ftp服务器：CentOS-6.5-x86_64-bin-DVD.iso，ip为10.0.0.10； 网关路由为：pfSense 外网地址为：192.168.1.20（模拟） 步骤： 1、在ftp服务器上安装vsftpd ①、检测是否已经安装安装了vsftpd软件 rpm -qa |grep vsftpd ②、如果没有安装，使用YUM命令进行安装 yum -y install vsftpd ③、配置vsftpd.conf文件，位于/etc/vsftpd/目录下 vi /etc/vsftpd/vsftpd.conf 在vsftpd.conf中修改以下配置 anonymous_enable=NO #不允许匿名用户登陆 pasv_enable=YES pasv_address=192.168.1.20 #告诉ftp客户端回传的外网地址是这个 pasv_min_port=9923 #被动模式下，随机端口最小端口号 pasv_max_port=9925 #被动模式下，随机端口最大端口号 ④、关闭并保存配置文件，重启vsftpd service vsftpd restart ⑤、添加FTP账户 useradd -d /home/ftpUser/ -g ftp -s /sbin/nologin ftpUser ⑥、设置ftpUser用户密码 passwd ftpUser ⑦

Netify 可以对内部网络中的流量提供完整的可见性和完整分析。Netify从深度数据包检查(DPI)网络数据包分析器开始，被动地收集本地网络上的数据。然后将元数据安全地发送到云进行收集、分析和报告。 NETIFY的底层的网络化深度数据包检查代理是免费且开源，并根据GPLv3进行了许可。 NETIFY FWA是基于本地的应用不收费 。Netify基于云的服务是一项付费订阅服务。 pfSense安装NETIFY Netify软件包占用资源不多，不涉及pfSense正常部署。 底层的Netify深度数据包检查引擎所需的CPU使用与***检测/预防系统所需的占用差不多，网络越繁忙，所需的CPU占用就越多。 最新的Netify软件包已保存在 pfSense存储库中 。要安装软件包，请使用管理员帐号在shell环境下运行以下命令： curl http://download.netify.ai/netify/pfsense/2.4.x/stable/netify-install.sh | sh 目前只支持pfSense2.4x的安装，暂不支持pfSense2.5.x。 安装完成后，导航至 状态> 服务， 查看netifyd服务是否正在运行。再导航到 服务> Netify ，单击“ Provision ”选项卡，然后单击“ enabled ”按钮来初始化Netify系统。稍等就会看到“

portal是入口的意思，我的理解，在这里其实就是门户或者主页。captive portal，就是强制主页。校园网里面的验证通常都是通过一个网页验证来完成，不管你点要访问哪一个网站，它都会强制给你转到我们设置的主页。 其实这个技术主要的还是用在authentication。 wifidog 在wifidog的官网，我看到，它的主打功能其实是一个Captive portal的意思。 现在许多做收费Wi-Fi接入的都是用wifidog。 nocat 真怀疑这两个软件是不是同一批人在做，第一个叫wifi狗，第二个叫不要猫。。。 好吧，网络上已经找不到它的踪迹了。 pfsense 这个是freebsd的，用户口碑贼好，超级稳定。 事实上，我搜到的时候，有个工具叫m0n0wall。有人建议用它来做captive portal。但是去看的时候发现，这个页面好像好久没人更新了的样子。之后便找到了pfsense。啊哈，pfsense是在m0n0wall基础上开发出来的，是为了直接在PC上安装而诞生的；主页上说，还有为嵌入式设备开发的另一个系统，但是两者已经差别很大了。 好吧，我没找到为嵌入式设备开发的版本= = pfsense事实上已经是一个不错的router和firewall。2.0版本之后甚至已经增加了负载均衡。 Chillispot 好吧，这个也是直接奔着强制主页去的，有人用着也不错

一、起因 1、家中无公网IP，不方便管理家中的设备。 2、 使用pfsense原因，当然是有公网地址了，也想过用SSH隧道转发，因openwrt路由器自带frp client为省事。 二、系统版本 1、使用版本：pfsense2.3.5 （32位版) 2、frp软件包下载地址，下载对应自己系统的版本（frp_0.27.0_freebsd_386.tar.gz） https://github.com/fatedier/frp/releases 三、具体操作 1、解压软件包得到如下文件 2、通过winscp将frps、frps_full.ini上传pfsense防火墙对应目录 /usr/local/bin/frps /usr/local/etc/frps/frps_full.ini 3、设置执行权限 chmod +x /usr/local/bin/frps 4、编写开机启动脚本，创建脚本文件 touch autorun-frps.sh 5、写入如下代码(最重要的是最后一行，根据自己上传文件路径填写) #!/bin/sh #autorun frps #2019-05-25 /usr/local/bin/frps -c /usr/local/etc/frps/frps_full.ini & 6、将脚本放置到 /usr/local/etc/rc.d 7、设置文件权限 chmod 755