一般情况下只需要远程使用基于Web的GUI配置器（webConfigurator）或简称WebGUI来配置pfSense。也可以使用显示器和键盘直接在防火墙控制台执行一些操作，当然也可以通过串行端口或SSH来访问控制台。

连接到WebGUI

要访问防火墙的WebGUI，确保访问设备与防火墙LAN接口处在同一局域网内。全新安装的pfSense系统LAN IP默认地址为192.168.1.1/24，DHCP服务器处于启用状态。将计算机设置为使用DHCP，它将自动获取地址。然后打开浏览器访问https://192.168.1.1。

注意：如果默认LAN子网与WAN子网冲突，则必须先更改LAN子网，然后再将其连接到网络。

可以使用控制台更改LAN IP地址并禁用DHCP：

打开控制台（VGA，串口或从其他接口使用SSH）
从控制台菜单中选择选项2
输入新的LAN IP地址，子网掩码，并指定是否启用DHCP。
如果启用了DHCP，请输入DHCP池的开始和结束地址。

注意：分配新的LAN IP地址时，它不能与WAN或任何其他活动接口处于同一子网中。如果LAN子网中已经存在其他设备，则无法将其设置为与现有主机相同的IP地址。

如果禁用了DHCP服务器，则LAN上的客户端计算机必须在pfSense LAN子网范围配置静态IP地址，如 192.168.1.5，子网掩码必须与pfSense子网掩码保持一致。

确保访问设备与防火墙LAN接口处在同一局域网内，导航至防火墙LAN IP地址。GUI默认情况下监听HTTPS，但是如果浏览器尝试使用HTTP进行连接，它将被防火墙重定向到HTTPS端口。要直接访问GUI而无需重定向，可以直接访问 https://192.168.1.1。

防火墙默认登录用户名和密码为：用户名admin密码pfsense

配置向导

首次登录pfSense®时，防火墙会自动显示配置向导。

单击下一步 使用向导启动配置过程。

说明：如果不需要通过配置向导进行安装配置，只需单击页面左上方的pfSense徽标即可随时退出。

常规信息

常规信息页面配置防火墙的名称，所在域以及防火墙的DNS服务器。

主机名:主机名必须以字母开头，它可以只包含字母、数字或连字符。域输入域，例如example.com。如果该网络没有域，请使用.localdomain，其中是另一个标识符：公司名称，姓氏，昵称等。例如， company.localdomain主机名和域名组合在一起组成该防火墙的标准域名。主要/辅助DNS服务器如果需要并且已知的话，可以填写主DNS服务器和辅助DNS服务器的IP地址。

如果DNS解析器将使用其默认设置保持活动状态，则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式（不是转发模式）下处于活动状态，以这种方式设置时，DNS解析器不需要转发DNS服务器，因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器，请在DNS解析器中启用转发模式或使用DNS转发器。

如果此防火墙具有动态WAN类型，例如DHCP，PPTP或PPPoE，则它们可能会由ISP自动分配，可以保留为空白。

覆盖DNS选中后，动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器，取消选中此选项。单击下一步 继续。

NTP和时区配置

该页面设置与时间相关的选项。

时间服务器主机名网络时间协议（NTP）服务器主机名或IP地址。除非需要一台特定的NTP服务器，例如LAN上的一台，否则最佳做法是将时间服务器的主机名 保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。

要使用多个时间服务器，请将它们添加到同一栏中，并用空格将每个服务器分隔开。例如，要使用池中的三台NTP服务器，请输入：

0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

此编号特定于.pool.ntp.org操作方式，并确保每个地址都从唯一的NTP服务器池中提取，因此同一服务器不会被使用两次。

时区选择与该防火墙的位置最匹配的地理区域或其他任何所需区域。单击下一步 继续。

广域网配置

该页面配置防火墙的WAN接口。这是ISP或上游路由器的外部网络，向导提供了几种常见的ISP连接类型。

广域网类型选择类型 必须与ISP提供的WAN类型匹配。可以是“静态”，“DHCP”，“PPPoE ”和“PPTP”。默认是DHCP。在大多数情况下，默认设置允许防火墙无需额外配置即可“正常工作”。如果WAN类型未知，或者WAN的特定设置未知，则必须从ISP获得配置信息。

注意：如果WAN接口是无线接口，则向导将提供其他选项，这些其他选项在标准安装向导中不涉及。如果不清楚如何设置，请暂时跳过WAN设置，然后再执行无线配置。

MAC地址该字段可以更改WAN网络接口上使用的MAC地址。这也称为“欺骗” MAC地址。

注意：通过欺骗MAC地址缓解的问题通常是暂时的，并且很容易解决。最好的做法是维护硬件的原始MAC地址，仅在绝对必要时才采取欺骗措施。

更换现有的网络设备时，更改MAC地址可能有必要。因为有些ISP使用了MAC绑定技术来设置是否允许进行连接。

注意：如果此防火墙将用作高可用性群集的一部分，请不要使用欺骗MAC地址。

MTUMTU字段通常可以留空，但可以在必要时进行更改。在某些情况下，可能需要较低的MTU以确保数据包的大小适合Internet连接。MSSMSS通常可以留空，但可以在必要时进行更改。该字段启用MSS钳位，从而确保TCP数据包大小对于特定Internet连接保持足够小。

静态IP配置如果WAN类型选择了“静态”，则必须全部填写IP地址 、子网掩码 和上游网关 。

DHCP主机名仅少数ISP要求填写该此字段。该值与DHCP请求一起发送来获得WAN IP地址。如果该字段的值未知，请尝试将其留为空白，除非ISP另有要求。

PPPoE配置当WAN类型选择为PPPoE时，至少需要PPPoE用户名 和PPPoE密码 字段。这些字段的值由ISP确定。

PPPoE用户名PPPoE认证的登录名。该格式由ISP控制，但通常使用电子邮件地址样式，例如 myname@example.com。PPPoE密码登录到上述用户名指定的帐户的密码。默认情况下，密码被屏蔽。要查看输入的密码，请选中显示密码字符 。PPPoE服务名称ISP可能需要PPPoE服务名称，但是通常将其留空。如有疑问，请将其留空或与ISP联系，询问是否有必要。PPPoE按需拨号使pfSense断开连接/离线，直到请求了需要连接到Internet的数据为止。PPPoE登录发生得非常快，因此在大多数情况下，建立连接时的延迟可以忽略不计。如果公共服务托管在该防火墙后面，请不要选中此选项，因为在这种情况下必须尽可能保持在线连接。另外要注意，此选择不会删除现有连接。PPPoE空闲超时指定断开连接前pfSense使PPPoE连接保持不发送数据的时间。仅当与按需拨号结合使用时，此功能才有用，并且通常留空(禁用)。

注意：此选项还需要停用网关监控，否则连接将永远不会空闲。

PPTP配置PPTP(点对点隧道协议)WAN类型适用于需要PPTP登录的ISP，而不是用于连接到远程PPTP VPN。这些设置与PPPoE设置非常相似，将由ISP提供。还有一些其他选项：

本地IP地址该防火墙用来建立PPTP连接的本地(通常是私有)地址。CIDR子网掩码本地地址的子网掩码。远端IP地址PPTP服务器地址，通常与本地IP地址在同一子网内。

阻止RFC 1918私有网络阻止试图登录WAN接口的，来自注册私有网络(如192.168.xx和10.xxx)的连接。阻止Bogon网络处于活动状态时，如果防火墙来自不应使用的保留IP空间或未分配IP空间，则它将阻止流量进入。Bogon网络列表会在后台定期更新，不需要手动维护。填写完WAN设置后，单击下一步继续。

局域网接口配置

该页面配置LAN IP地址和子网掩码。如果该防火墙无法通过VPN连接到任何其他网络，192.168.1.0/24可以为默认网络。如果此网络必须连接到另一个网络(包括通过远程位置的VPN进行连接)，请选择一个私有IP地址范围，该范围比常见的默认IP地址模糊得多192.168.1.0/24。172.16.0.0/12RFC 1918专用地址块中的IP空间通常是最不常用的，因此请在两者之间进行选择172.16.x.x ，172.31.x.x来帮助避免造成VPN连接困难。

如果LAN 192.168.1.x使用无线客户端，并且远程客户端使用无线热点 192.168.1.x（非常常见），则客户端将无法通过VPN进行通信。在这种情况下，192.168.1.x热点是客户端的本地网络，而不是VPN上的远程网络。

如果必须更改LAN IP地址，请在此处输入。如果更改了这些设置，则通过局域网连接的用于完成向导的计算机的IP地址也必须更改。完成配置向导后，释放/更新DHCP租约，或在网络接口上执行“修复”或“诊断”。

单击下一步继续。

设置管理员密码

接下来，更改WebGUI的管理密码。最佳做法是使用安全可靠的密码。在管理员密码 和确认栏中输入密码，确保正确输入。

单击下一步继续。

注意：不要将密码设置为默认值 pfsense。如果通过WebGUI或SSH访问防火墙管理的访问暴露给Internet，如果防火墙仍使用默认密码，则很容易受到威胁。

完成配置向导

单击重新加载 ，然后WebGUI将应用向导中的设置并重新加载向导更改的服务。

提示：如果在向导中更改了LAN IP地址，并且该向导是从LAN运行的，请在单击重新加载 之后相应地调整客户端计算机的IP地址。当提示您再次登录时，输入新密码。用户名保持为 admin。

此时，防火墙将具有通过WAN与Internet的基本连接，而LAN端的客户端将可以通过此防火墙访问Internet站点。

如果在任何时候必须重复此初始配置，请从WebGUI的“系统>配置向导 重新访问该向导。

更改显示的语言

默认WebGUI显示的语言为英文，已建议官方在配置向导中增加语言选择，但目前还没有实现。要更改显示的语言，请导航至System →GeneralSetup→Localization→Language，选中简体中文，保存即可。

接口配置

pfSense®接口配置可以在控制台和配置向导启动时进行，但是在初始设置后，也可以通过访问网络接口 菜单来进行更改。

接口管理

初始设置后要添加其他接口可以通过访问网络接口>接口管理 来进行。该页面允许分配和创建不同类型的接口。

接口管理 选项卡显示了所有当前分配的接口的列表：WAN、LAN和在防火墙上配置的所有OPTx条目。每个接口旁边是系统上找到的所有网络接口/端口的下拉列表。该列表包括硬件接口以及VLAN接口和其他虚拟接口类型。MAC地址、VLAN标识或其他标识信息会在接口名称旁边显示，以帮助标识。其他选项卡与VLAN 选项卡非常相似，可用于创建其他接口，然后可以对其进行分配。

要将现有接口分配更改为另一个网络端口，请执行以下操作：

导航到网络接口>接口管理
在列表中找到要更改的接口
从该接口行的下拉列表中选择新的网络端口
点击保存

要从未使用的网络端口列表中添加新接口，请执行以下操作：

导航到网络接口>接口管理
从标记为可用网络端口 的下拉列表中选择要使用的端口
点击“ ”添加

此操作将添加另一行，新OPT接口的编号要高于任何现有OPT接口的编号，或者如果这是第一个则附加接口名称为OPT1 。

接口配置基础

通过从网络接口 菜单下选择对应条目来配置接口。例如，要配置WAN接口，请选择网络接口>WAN 。在网络接口 >WAN 下的所有选项都与“配置向导” 的“WAN”部分中提到的选项相同。

每个接口都以相同的方式配置，并且任何接口都可以配置为任意接口类型(静态、DHCP、PPPoE等)。另外，可以在任意接口上执行私有网络和Bogon网络的阻止。每个接口(包括WAN和LAN)都可以重命名为自定义名称。此外，只要保持启用至少一个接口，就可以根据需要启用和禁用每个接口。

IPv4的配置类型 可以设置为静态IPv4 ，DHCP ， PPPoE协议 ，PPP ，PPTP ，L2TP ，或None，而无需IPv4地址。使用静态IPv4时 ，可以设置IPv4地址 、子网掩码和 IPv4上游网关 。如果选择了其他选项当中之一，则出现特定于该类型的字段来配置每种类型。

可以将“ IPv6配置类型” 设置为静态IPv6 ，DHCP6 ，SLAAC ，6rd隧道 ，6to4隧道 ，跟踪接口 或设置为None以使接口上未配置IPv6。选择“静态IPv6”时，填写IPv6地址 、前缀长度 和Pv6上游网关 。

如果是无线接口，则该页面将包含许多其他选项来配置接口的无线部分。

注意：从下拉列表中选择一个网关，或添加一个新网关并选中它，pfSense将该接口视为NAT和相关功能的WAN类型接口。这对于内部接口(例如LAN或DMZ)则是不期望看到的。但仍可以在那些接口上将网关用于静态路由和其他目的，而无需在接口页面上选择网关。

在GUI中管理列表

pfSense®WebGUI具有一组通用的图标，用于管理整个防火墙中的对象列表和对象集合。并非在每个页面中都使用了每个图标，但是根据其所处的上下文，它们的含义是一致的。此类列表的示例包括防火墙规则，NAT规则，IPsec，OpenVPN和证书。

将新项目添加到列表将项目添加到列表的开头将项目添加到列表的末尾编辑现有项目复制一个项目(根据所选项目创建一个新项目)禁用活动项目启用禁用的项目删除项目选择一个或多个项目后用于移动条目。单击则将所选项目移动到此行上方。按住Shift键并单击则将所选项目移动到该行下方。提示：要确定图标将执行的操作，请将鼠标指针悬停在图标上，然后就会显示图标的简短说明。

使用快捷键快速浏览GUI

GUI的许多区域在该区域中都存在快捷方式图标。这些快捷方式图标减少了查找相关页面所需的搜索量，从而使防火墙管理员可以在服务的状态页面、日志和配置之间快速导航。给定主题的快捷方式出现在与该主题相关的每个页面上。

在上图中，快捷方式具有以下效果：

启动服务如果服务已停止，则此图标将启动服务。重新启动服务如果服务正在运行，则此图标将重新启动服务。停止服务如果服务正在运行，则此图标将停止服务。相关设定出现此图标时，它将导航到该部分的设置页面。状态页链接如果存在，则指向此部分状态页的链接。日志页面链接如果此部分具有相关的日志页面，则此图标链接到该页面。帮助链接加载此页面的相关帮助主题。“服务状态”页面（状态>系统服务 ）还有用于与每个服务相关的页面的快捷控件，如下图所示。图标的含义与上一节中的含义相同。

常规设置

系统>常规设置 包含用于设置pfSense®和GUI的基本配置项目的选项。在配置向导中也可以找到其中一些选项。

主机名该主机名这个防火墙的短名称，例如 firewall1，hq-fw或site1。名称必须以字母开头，并且只能包含字母，数字或连字符。域输入该防火墙的域名，例如example.com。如果该网络没有域，请使用.localdomain，其中是另一个标识符：公司名称，姓氏，昵称等。例如，company.localdomain主机名 和域名名称相结合，构成了这个防火墙的完全限定域名(FQDN)。例如，如果主机名 是fw1 ，而域是example.com，则FQDN是fw1.example.com。

DNS服务器设置

本节中的选项控制防火墙如何使用DNS解析主机名。

DNS服务器1-4地址如果需要，并且已知DNS服务器的IP地址，则可以填写地址。

如果DNS解析器将使用其默认设置保持活动状态，则这些DNS服务器可以保留为空白。默认的pfSense配置使DNS解析器在解析器模式(不是转发模式)下处于活动状态。以此方式设置时，DNS解析器不需要转发DNS服务器，因为它将直接与根DNS服务器和其他权威DNS服务器通信。要强制防火墙使用这些配置的DNS服务器，请在DNS解析器中启用转发模式或使用DNS转发器。

如果此防火墙具有动态WAN类型，例如DHCP，PPTP或PPPoE，则它们会由ISP自动分配，可以保留为空白。

DNS服务器1-4网关除了DNS的IP地址，该页面还提供了一种设置用于访问每个DNS服务器网关的方法。这在多WAN方案中特别有用，在一般情况下，应该为每个WAN至少配置一个DNS服务器。DNS服务器覆盖选中后，动态WAN ISP可以提供覆盖手动设置的DNS服务器。要强制仅使用手动配置的DNS服务器，请取消选中此选项。禁用DNS转发器默认情况下，pfSense将查询在此防火墙上运行的DNS解析器或DNS转发器，以为其自身解析主机名。它通过将localhost（127.0.0.1）列为内部第一个DNS服务器来实现此目的。激活此选项将禁用此行为，从而迫使防火墙使用上面配置的DNS服务器而不是其本身。

本地设置

本节中的选项控制防火墙的时钟显示和语言。

时区选择与该防火墙的位置最匹配的地理区域或通用区域（例如UTC）。防火墙时钟，日志条目和防火墙的其他区域将其时间基于此区域。更改区域可能需要重新启动才能完全激活防火墙的所有区域。时间服务器网络时间协议(NTP)服务器主机名或IP地址。除非需要一台特定的NTP服务器，例如局域网上的一台，否则最佳做法是将时间服务器 值保留为默认值 0.pfsense.pool.ntp.org。该值将从已知良好的NTP主机池中选择一个随机服务器。

要使用多个时间服务器，请将它们添加到同一栏中，并用空格将每个服务器分隔开。例如，要使用池中的三台NTP服务器，请输入：

0.pfsense.pool.ntp.org 1.pfsense.pool.ntp.org 2.pfsense.pool.ntp.org

此编号特定于.pool.ntp.org操作方式，并确保每个地址都从唯一的NTP服务器池中提取，因此同一服务器不会被使用两次。

语言除了默认的英语语言外，pfSense GUI还被翻译成多种语言，包括由本人翻译的所有中文类型。

Web访问配置

本节中的选项控制GUI行为的各个方面。

主题：更改主题可控制GUI的外观。基本系统中包含几个主题，它们仅对WebGUI进行外观上的修改，而不对功能进行功能上的修改。
顶部导航 ：此选项控制每页顶部菜单栏的行为。有两种可能的选择：滚动页面默认行为。滚动页面时，导航将保持在页面顶部，因此向下滚动时将不再可见，因为它会滚动离开窗口顶部。对于大多数情况，这是最佳选择。固定选中后，导航将保持固定在窗口顶部，始终可见并且可以使用。
菜单上的主机名 ：设置后，防火墙的主机名 或完全限定域名 将包含在菜单栏中，以供参考。这有助于维护多个防火墙，从而更容易区分它们而无需查看浏览器标题或标签文本。
仪表大厅列数 ：默认情况下为2列。在更宽的显示器上，可以添加更多列以更好地利用水平屏幕空间。最大列数为4。
部件显示/隐藏 ：pfSense GUI的一些区域包含具有设置的可折叠部件。这些部件占用额外的屏幕空间，因此默认情况下处于隐藏状态。对于经常使用部件的防火墙管理员，这可能会很慢且效率低下，因此该组中的选项允许部件默认显示而不是隐藏。
左列标签 ：选中后，左列中的选项标签将设置为单击时切换选项。如果习惯了防火墙操作，这会很方便，但是在移动设备上或在意外情况下也可能会出现问题。
仪表板更新周期 ：控制仪表板数据的更新间隔。许多小部件使用AJAX动态更新。加载了许多小部件后，较短的更新间隔会导致防火墙产生较高的负载，具体数值取决于所使用的硬件。

高级配置

系统>高级选项 包含众多高级设置。这些选项中很少有需要针对基本路由/ NAT部署进行调整的，这些选项帮助自定义防火墙配置，以适应更复杂的环境。

管理员访问
防火墙/ NAT
网络设置
其他
可调参数
通知

管理员访问

管理访问权 选项卡上的选项控制着各种管理防火墙的方法，包括通过Web界面、SSH、串行和物理控制台管理防火墙。

WebGUI

协议

WebGUI协议可以设置为HTTP 或HTTPS 。通常使用HTTPS，以便对往返WebGUI的通信进行加密。

SSL证书

如果选择了HTTPS，则还必须从SSL证书 下拉列表中选择一个证书。默认证书是自动生成的自签名证书。这不是理想的情况，但是比没有加密要更好。

提示：要使用外部签名的SSL证书和密钥，请使用证书管理器 导入它们，然后在此处选择证书。

使用自定义的自生成证书的主要弊端是缺乏对主机身份的保护，因为该证书不是由浏览器信任的证书颁发机构签名的。此外，由于对于大多数Internet用户来说，这种无效的证书总被视为一种风险，因此主流浏览器会严格处理。例如，Firefox发出警告页面，并强制用户导入证书并允许永久例外。Internet Explorer将显示警告页面，Chrome也是如此。Opera将显示一个警告对话框。

提示：要为GUI生成新的自签名证书，请使用控制台或ssh进行连接，并在shell提示符下运行以下命令：

pfSsh.php playback generateguicert

TCP端口

出于安全考虑，某些管理员倾向于将WebGUI移至备用端口，以提高访问的安全性。将GUI移至另一个端口将释放标准Web端口，以与端口转发或其他服务(例如HAproxy)一起使用。默认情况下，WebGUI在端口443上使用HTTPS，并从端口80进行重定向，以实现最佳兼容性并简化初始配置。要更改默认端口，请在TCP端口 字段中输入新的端口号。

并发登录

如果多个管理员同时查看GUI，并且页面加载时间太长或无法加载，可以增加并发登录 的数值。默认为2，允许两个登录进程。

WebGUI重定向

默认情况下，为了便于访问和兼容，防火墙在端口80上运行重定向，如果浏览器尝试使用HTTP访问防火墙，则防火墙将接受请求，然后将浏览器重定向到端口443上的HTTPS。可以选中该选项来禁用。禁用重定向还允许另一个守护程序绑定到端口80。

WebGUI登录自动完成

为了方便起见，登录表单允许自动完成，因此浏览器可以保存登录凭据。在高安全性环境中，此行为是不可接受的。这仅控制登录表单上的自动完成功能。

注意：很少有浏览器遵守此选项。即使表单指定不允许使用密码，他们中的许多人仍然会提供保存密码的权限。必须使用浏览器选项控制或更改此行为。

WebGUI登录消息

成功登录后会在控制台上发送一条消息，在某些硬件上，这些控制台消息会导致设备发出“哔”的声音。要停止此类日志消息(以及发出的哔声)，请禁用该选项。

防锁设置

由于使用了反锁定规则，因此无论用户如何定义过滤规则，默认情况下都允许访问LAN接口上的WebGUI端口和SSH端口。当存在两个或多个接口时，防锁定规则在LAN接口上处于活动状态；如果仅配置一个接口，则防锁定规则将在该接口上处于活动状态。

注意：启用此选项之前，必须存在过滤规则以允许GUI访问！如果LAN规则不允许访问GUI，则删除反锁定规则将阻止对GUI的访问，从而可能使管理员无法访问防火墙。

从系统控制台重置LAN IP地址也会重置防锁定规则。如果启用此选项后将管理访问权限锁定，请选择控制台菜单选项2，然后选择设置LAN IP地址，并输入完全相同的IP地址和其他信息。

DNS重绑检查

防火墙默认会阻止来自已配置DNS服务器的专用IP地址响应，以防止DNS重新绑定攻击。如果禁用了DNS重新绑定保护，则它会干扰webConfigurator访问或域名解析。

禁用此功能的最常见情况是将防火墙设置为使用内部DNS服务器，该服务器将为主机名返回私有(RFC1918)应答。通过IP地址访问防火墙时，由于攻击仅在使用主机名时才有意义，因此不执行这些检查。

提示：除了禁用所有DNS重新绑定保护外，还可以在DNS解析器或DNS转发器中基于每个域有选择进行禁用。

HTTP_REFERER检查

GUI在访问引用URL时会对其进行检查，以防止另一个站点上的表单向防火墙提交请求，并在管理员不打算这样做时更改选项。这也破坏了一些理想的便利行为，例如具有链接到各种防火墙设备的页面。要禁用此行为，请选中该选项。

备用主机名

要使DNS重新绑定检查 和HTTP_REFERER检查 保持活动状态，但要稍微控制其行为，请在该栏中填写备用主机名 。默认情况下，系统将允许访问防火墙上配置的主机名和防火墙上配置的所有IP地址。在此字段中添加主机名将允许这些主机名用于GUI访问和引用URL的目的。

中间人攻击/警告

如果浏览器尝试使用未在防火墙上配置的IP地址(例如从另一个防火墙转发的端口)访问GUI，则会显示一条消息，表明中间人(MITM)攻击可能会损害对防火墙的访问。

如果在防火墙上或此防火墙之前的防火墙上故意配置了这种转发，则可以安全地忽略该消息。如果是直接访问防火墙，则在登录之前请格外小心，以确保不会通过不受信任的系统路由登录凭据。在这种情况下，不会禁用访问，只是警告，因此没有选项可以禁用此行为。

浏览器标签

默认情况下，防火墙GUI在页面/选项卡标题中首先显示防火墙主机名，然后是页面名称。要解决此问题并首先显示页面名称 ，然后显示主机名称，请选中该选项。

在不同选项卡中同时访问许多防火墙的管理员倾向于使用主机名优先（默认）。访问带有多个页面且位于单独选项卡中的防火墙的管理员通常更喜欢首先拥有页面名称。

安全SHELL（SSH）

可以启用安全Shell(SSH)服务器，该服务器允许远程访问控制台和文件管理。用户可以通过任意标准SSH客户端(例如OpenSSH命令行ssh客户端，PuTTY，SecureCRT或iTerm)进行连接。要登录到管理员帐户，可以使用admin用户名或root帐户。

用户管理器中具有用户-系统-SHELL程序帐户访问权限的用户也可以通过ssh登录。这些用户没有root用户访问权限，并且在登录时不显示菜单，因为许多选项都需要root用户权限。要授予用户其他Shell特权，请使用该sudo软件包。

也可以通过使用Secure Copy (SCP)客户端（例如OpenSSH的命令行scp，FileZilla，WinSCP或Fugu ）与pfSense防火墙进行文件传输。要使用SCP，请以root用户（而非admin）身份连接。如果自定义用户具有“用户-系统-复制文件”权限或所有访问权限，则他们也可以利用SCP。

提示：SSH客户端必须保持最新版本。随着技术的发展，安全标准不断更新，pfSense使用的SSH服务器设置也会进行改变。过时的客户端可能无法使用pfSense上sshd所需的强大安全密钥和算法进行连接。如果客户端无法连接，请检查程序版本是否满足要求。

启用安全Shell

要启用SSH守护程序，请选中启用安全Shell 。启用此选项保存后，如果尚不存在，则防火墙将生成SSH密钥，然后启动SSH守护程序。

认证方法

可以将SSH配置为仅允许基于密钥的登录，而不允许密码。尽管需要做更多准备工作，但是基于密钥的登录是一种更为安全的做法。

要强制基于密钥的身份验证，请选中禁用安全Shell密码登录 。

通过在用户管理 中编辑用户来添加用于基于密钥登录的用户密钥。编辑用户时，将允许的公共密钥粘贴到其帐户的认证SSH密钥 文本字段中。

SSH端口

将SSH服务器移至备用端口可提供的安全性改进可忽略不计，只是释放了该端口供其他用途。要更改端口，请在SSH端口 项输入新端口。

提示：暴力SSH扫描程序将重点放在命中TCP端口22上，但是如果守护程序在另一个端口上向Internet开放，则它将最终被扫描程序找到并被它命中。

SSH最佳做法

如果此防火墙安装在要求不受防火墙规则限制的SSH访问的环境中(这很危险)，我们强烈建议您将SSH服务移至备用随机端口并强制进行基于密钥的身份认证。移至备用端口将防止许多(但不是全部)暴力SSH登录尝试和偶然扫描带来的日志提醒。仍然可以通过端口扫描找到它，因此必须始终在每个可公开访问的SSH服务器上进行切换到基于密钥的身份认证，以消除成功进行暴力攻击的可能性。

来自同一IP地址的多次失败登录将会导致该IP地址被防火墙锁定，但仅此一项不能视为足够的保护。

串行通讯

如果pfSense在没有监视器的硬件上运行，也未连接键盘和显卡，那么只要硬件具有串行端口(而USB)，就可以启用串行控制台来进行物理控制。

如果检测到没有VGA端口的硬件，则会强制打开串行控制台，并且无法禁用它，并且除了速度以外，所有串行通信的选项都被隐藏。

串口终端

设置“串口终端”后，将在第一个串行端口上启用控制台。防火墙完成引导后，此控制台将接收内核引导消息和菜单。这不会禁用板载键盘和视频控制台。

要连接到串行控制台，请使用调制解调器电缆连接到另一台PC或串行设备上的串行端口或适配器。

对串行控制台进行任何更改时，必须重新启动防火墙才能生效。

串口速度

默认的串行控制台速度为115200bps，几乎所有硬件都可以该速度正常工作。在极少数情况下，可能需要较低的速度。

主控制台

在同时启用了串行控制台和VGA端口的硬件上， 主控制台 选择器选择哪个是首选控制台，因此它将接收来自pfSense的启动日志消息。其他操作系统内核消息将显示在所有控制台连接上，并且两个控制台都将具有可用菜单。如果引导无法完成，则必须使用首选控制台来解决该问题，例如重新分配接口。

控制台菜单

通常，控制台菜单始终显示在系统控制台上，并且只要有人可以实际访问控制台，该菜单就可以使用。在高安全性环境中，这不是希望的选项。此选项允许控制台受到密码保护。此处可以使用与WebGUI相同的用户名和密码。设置此选项后，必须重新启动防火墙才能生效。

注意：尽管这将阻止意外的按键操作并阻止临时用户进入，但这绝不是完美的安全方法。能够进行物理访问的知识渊博的人仍然可以重设密码。如果需要控制台安全性，请考虑其他物理的安全性方法。

防火墙/ NAT

高级设置

IP不分段兼容性

对于生成具有不分段(don’t fragment ，简写为DF)位设置的分段数据包的操作系统，此选项是一种解决方法。Linux NFS（网络文件系统）以及某些VoIP系统都可以做到这一点。

启用此选项后，防火墙将不会丢弃这些格式错误的数据包，而是清除不分段位。防火墙还将随机化外发数据包的IP标识字段，以补偿设置DF位但将IP标识头字段设置为零的操作系统。

IP随机ID生成

选中则防火墙会将数据包的IP标识字段替换为随机值，以补偿使用可预测值的操作系统。此选项仅适用于在可选的数据包重组后未分段的数据包。

防火墙优化选项

优化模式控制防火墙如何使状态表条目失效：

正常标准优化算法，对于大多数环境来说是最佳的。高延迟用于高延迟链接，例如卫星链接。闲置连接过期时间晚于默认设置。野蛮更快地使空闲连接过期。更有效地使用CPU和内存，但可以比预期的时间早删除合法连接。此选项还可以通过大量连接（例如Web服务）提高高流量部署中的性能。保守尝试避免删除任何合法连接，但要以增加内存使用量和CPU利用率为代价。可以在需要长期但主要是空闲的UDP连接的环境中提供帮助，例如VoIP。

禁用防火墙

选中后，该pfSense®防火墙变成了唯一的路由平台。这是通过完全禁用pf来完成的，因此，NAT也被禁用，因为它也由pf处理。要仅禁用NAT，请不要使用此选项。

禁用防火墙清除

设置后，设置后，将禁用pf中的清理选项。 pf中的清理操作可能会干扰NFS，在极少数情况下，也包括VoIP流量。默认情况下，pfSense使用片段重新组合选项，该选项会在可能的情况下在将分段的数据包发送到目的地之前重新组合分段的数据包。

注意：禁用scrub还会禁用依赖scrub该功能的其他功能，例如DF位清除和ID随机化。如果scrub禁用了VPN，或者在接口上配置了MSS值，则禁用不会禁用MSS钳位。

防火墙自适应超时

当状态表快满时，自适应超时控制pf中的状态处理。使用这些超时，防火墙管理员可以控制在几乎没有剩余空间来存储新连接状态时如何到期或清除状态。

默认情况下，自适应超时 是启用的，并且默认值是根据配置的防火墙最大状态 值自动计算。

自适应起始一旦状态表达到此级别（表示为多个状态），便开始自适应缩放。自适应启动 默认为防火墙最大状态的 60％。自适应结束当状态表的大小达到此值（表示为多个状态表条目）时，所有超时值均假定为零，这将导致pf立即清除所有状态条目。此设置定义比例因子，应将其设置为大于允许的状态总数。 自适应结束 默认为防火墙最大状态的 120％。当连接状态的数量超过自适应起始 设置的阈值时，超时值将根据在起始和结束值状态计数之间使用多少个状态来线性缩放。超时调整因子的计算方法如下：(自适应结束 值与当前状态表数值的差）/（自适应结束 和自适应起始 值之间的差）。

注意：例如，考虑将自适应起始 设置为 600000，自适应结束 设置为1200000并将防火墙最大状态 设置为1000000。在这种情况下，当状态表大小达到900000条目时，状态超时将被缩放为其正常值的50％。

(1,200,000 – 900,000) / (1,200,000 – 600,000) = 300,000 / 600,000 = 0.50, 50%

当状态表在1,000,000个状态下已满时，超时值将减少为其原始值的1/3。

防火墙最大状态

这是防火墙可以在其状态表中保留的最大连接数。默认大小基于总RAM的10％计算。对于大多数安装实例而言，建议保留默认值，但可以根据负载和可用内存来调整为更高或更低。

每个状态大约消耗1 KB RAM，或者每1000个状态大约消耗1 MB RAM。在增加此值之前，防火墙必须具有足够的可用RAM来包含整个状态表。

提示：在具有8GB RAM的防火墙上，状态表的默认大小约为800,000个状态。自定义的 防火墙最大状态 值4,000,000将消耗大约4GB的RAM，是可用的8GB总数的一半。

防火墙最大表条目

定义防火墙用于地址集合(例如别名，ssh / GUI锁定记录，被snort警报阻止的主机)的地址表中可以存在的最大条目数。默认为200,000个条目。如果防火墙启用了可将大的地址空间块加载到别名(例如URL表别名或pfBlocker程序包)中的功能，然后增加此值，以使所有别名中包含的条目总数至少增加一倍。

防火墙最大分片条目

启用清理功能后，防火墙会维护一个数据包碎片表，等待重组。默认情况下，该表可以容纳5000个片段。在极少数情况下，网络可能会有异常高的分片数据包速率，这可能需要此表中的更多空间。达到此限制后，以下日志消息将出现在主系统日志中：

kernel: [zone: pf frag entries] PF frag entries limit reached

静态路由过滤

如果防火墙有一个或多个静态路由定义。如果启用此选项，防火墙将不会检查通过同一接口进出的流量。在多个子网连接到同一接口的情况下，可能需要这样做，以避免阻塞仅由于非对称路由而在一个方向上通过防火墙的流量。

禁止自动添加VPN规则

默认情况下，启用IPsec后，防火墙规则会自动添加到适当的接口，这将允许建立隧道。选中该选项，则防火墙不会自动添加这些规则。通过禁用这些自动规则，防火墙管理员可以控制允许哪些地址连接到VPN。

禁用应答

在多WAN配置中，防火墙具有有益的默认行为，可确保流量离开其到达的接口。这是使用pf关键字完成的，该关键字reply-to自动添加到WAN类型接口的“接口”选项卡防火墙规则中。当连接将规则与reply-to匹配时，防火墙会记住建立连接的路径，并将应答流量路由回该接口的网关。。

WAN类型的接口是在“接口”菜单项配置中设置了网关的接口，或者是具有动态网关（如DHCP，PPPoE或已分配的OpenVPN，GIF或GRE接口）的接口。

在诸如桥接的情况下，如果WAN网关IP地址与桥接接口后面的主机的网关IP地址不同，则此行为是不希望的。禁用reply-to将允许客户端与合适的网关进行通信。

reply-to存在问题的另一种情况涉及到较大WAN子网中的其他系统的静态路由。在这种情况下，禁用reply-to将有助于确保应答返回到正确的路由器，而不是被路由回网关。

也可以在单个防火墙规则上禁用此行为，而不是使用此选项全局禁用。

禁用否定规则

在多WAN配置中，使用策略路由时，直接连接的网络和VPN网络的流量通常仍必须正确流动。pfSense将插入规则以在不指定网关的情况下传递此本地和VPN通信，以保持连接性。在某些情况下，这些否定规则可能会使流量过度匹配，并允许超出预期的范围。

提示：我们建议在内部接口（例如LAN）的顶部创建手动否定规则。这些规则应传递到本地和VPN目的地，而无需在该规则上设置网关，以遵守系统路由表。这些规则不必位于接口规则的顶部，但是必须位于设置了网关的规则之上。

别名主机名解析间隔

此选项控制filterdns守护程序解析和更新别名中的主机名的频率。默认情况下，这是300秒（5分钟）。在主机名数量较少或DNS服务器快速/低负载的配置中，减小此值可更快地获取更改。

检查别名网址证书

选中该选项，则防火墙将对URL表别名中使用的Web服务器要求有效的HTTPS证书。此行为更安全，但是如果Web服务器是私有服务器并使用自签名证书，则忽略证书的有效性并允许下载数据会更方便。

注意：对于这种类型的角色，我们始终建议使用具有有效信任链的服务器证书，而不是通过允许自签名证书来削弱安全性。

Bogon网络

更新频率 下拉列表控制这些列表的更新频率。

网络地址转换

端口转发NAT回流

端口转发 的NAT回流模式 选项控制防火墙如何处理NAT回流。这些NAT重定向规则允许客户端从本地内部网络内部使用防火墙上的公共IP地址访问端口转发。

NAT回流有三种可能的模式：

禁用默认值。禁用后，只能从WAN访问端口转发，而不能从本地网络内部访问。纯NAT此模式使用一组NAT规则将数据包定向到端口的目标转发。它具有更好的可伸缩性，但是必须能够在加载规则时准确确定用于与目标进行通信的接口和网关IP地址。除协议限制外，端口数量没有其他固有限制。支持所有可用于端口转发的协议。

启用此选项后，如果客户端和服务器在同一本地网络中，则还必须启用自动出站NAT 。

NAT 代理NAT 代理 模式使用帮助程序将数据包发送到端口的目标转发。回流守护程序接收该连接，该连接充当代理，从而创建与本地服务器的新连接。此行为给防火墙带来了更大的负担，但是在设置中，在加载规则时无法准确确定用于与目标进行通信的接口和/或网关IP地址的设置中，此操作很有用。不会为大于500个端口的范围创建NAT 代理 反射规则，并且不会在所有端口转发之间的总和超过1000个端口中使用。仅支持TCP端口转发。单个NAT规则具有覆盖全局NAT回流配置的选项，因此它们可能会根据具体情况强制启用或禁用NAT回流。

回流超时

该设置会强制对在NAT 代理模式下的端口转发执行NAT回流时建立的连接超时。如果连接保持打开状态并消耗资源，则此选项可以缓解该问题。

1：1 NAT回流

选中将添加其他回流规则，这些规则允许从内部网络访问外部IP地址的1：1映射。这提供了与端口转发（1：1 NAT）相同的功能。在复杂的路由方案中，此选项可能无效。

此选项仅影响1：1 NAT的入站路径，不影响出站。基础规则样式类似于端口转发的纯 NAT 模式。与端口转发一样，有每个条目选项可以覆盖此行为。

自动出站NAT回流

选中后会自动创建出站NAT规则，以协助回流规则将流量定向回原来的子网。通过这些附加规则，当客户端和服务器位于同一子网中时，纯NAT和1：1 NAT回流可以完全发挥作用。在大多数情况下，必须选中来使NAT回流正常工作。

注意：此行为是必需的，因为当客户端和服务器位于同一子网中时，必须更改流量来源，以使连接似乎源自防火墙。否则，返回流量将绕过防火墙，并且连接将不会成功。

TFTP代理

内置的TFTP代理将代理与防火墙外部的TFTP服务器的连接，以便可以与远程TFTP服务器建立客户端连接。按住Ctrl键或Shift键单击以从列表中选择多个条目。如果未选择任何接口，则将禁用TFTP代理服务。

状态超时

允许对各种协议的状态超时进行微调。这些通常由防火墙自动处理，其值由“防火墙优化选项” 选项决定。在极少数情况下，可能需要向上或向下调整这些超时，以解决设备行为或特定于站点的需求方面的不正常情况。

所有值均以秒为单位表示，并控制该状态下的连接将在状态表中保留多长时间。

网络设置

IPv6选项

允许IPv6

如果取消选中，则将阻止所有IPv6通信。

默认情况下，在新配置中选中此选项，以便在规则允许的情况下防火墙能够发送和接收IPv6流量。

注意：此选项不会禁用IPv6功能或阻止对其进行配置，它仅控制流量。

IPv6 over IPv4隧道

启用IPv6数据包的IPv4 NAT封装 选项启用IP协议41 / RFC 2893转发到IP地址字段中指定的IPv4地址。

配置后，它将所有传入的协议41 / IPv6通信转发到此防火墙后面的主机，而不是在本地进行处理。

提示：启用此选项不会添加防火墙规则以允许协议41通信。WAN接口上必须存在一条规则，以允许流量传递到本地接收主机。

在IPv6上优先使用IPv4

设置后，防火墙本身在DNS查询返回两者的结果时，优先将流量发送到IPv4主机而不是IPv6主机。

在极少数情况下，当防火墙已部分配置但未完全路由IPv6时，这可以使防火墙继续通过IPv4到达Internet主机。

注意：此选项控制防火墙本身的行为，例如轮询更新，程序包安装，下载规则以及获取其他数据。它不能影响防火墙后面的客户端的行为。

网络接口

硬件校验和卸载

选中后，将禁用网卡上的硬件校验和卸载。校验和卸载通常是有益的，因为它允许以比软件处理更快的速率在硬件中计算（发送）或验证（输入）校验和。

注意：启用校验和卸载后，数据包捕获将显示为空（全零）或标记不正确的数据包校验和。当硬件中发生校验和处理时，这是正常现象。

在某些硬件中，尤其是Realtek卡和Xen / KVM上的虚拟化/仿真卡，校验和卸载已中断。校验和卸载中断的典型症状包括数据包损坏和吞吐量性能不佳。

提示：在虚拟化情况下（例如Xen / KVM），可能有必要在主机以及VM上禁用校验和卸载。如果这些类型的VM的性能仍然很差或出现错误，请尽可能切换NIC的类型。

硬件TCP分段卸载

选中此选项将禁用硬件TCP分段卸载（TSO，TSO4，TSO6）。TSO使NIC可以将数据包拆分为MTU大小的块，而不是在OS级别进行处理。对于服务器和设备而言，这可能会更快，因为它允许OS将任务卸载到专用硬件上，但是当充当防火墙或路由器时，此行为是非常不希望的，因为它实际上已经增加了负载，因为此任务已经在网络上的其他地方执行过，因此，通过修改并非源自此主机的数据包，打破了端到端原则。

注意：对于路由器和防火墙，此选项不是理想的，但可以使工作站和设备受益。默认情况下禁用它，除非防火墙主要或仅以设备/端点角色运行，否则应保持禁用状态。

除非支持代表指示不要取消选中此选项。这种卸载在某些硬件驱动程序中已被破坏，并且可能会对受影响的网卡和角色的性能产生负面影响。

硬件大量接收分载

选中此选项将禁用硬件大容量接收卸载（LRO）。LRO与TSO相似，但是LRO用于输入路径而不是输出路径。它允许NIC接收大量较小的数据包，然后再将它们作为较大的块传递给操作系统。对于服务器和设备而言，这可能会更快，因为它可以将通常是繁重的工作分担给网卡。当用作防火墙或路由器时，这是非常不可取的， 因为它会延迟接收和转发非发往该主机的数据包，并且必须在出站路径上将它们再次拆分，从而大大增加了工作量并破坏了端到端原则。

抑制ARP消息

当IP地址显示为切换到其他MAC地址时，防火墙在主系统日志中创建一个日志条目。该日志条目指出设备已移动地址，并记录IP地址以及旧的和新的MAC地址。

此事件可能是完全良性的行为（例如，Microsoft服务器上的NIC分组，正在更换的设备）或合法的客户端问题（例如IP冲突），并且可能持续出现或很少出现。一切都取决于网络环境。

我们建议允许显示这些ARP消息以便记录日志，因为它可能会报告值得网络管理员注意的问题。但是，如果网络环境包含正常运行时会生成这些消息的系统，则抑制错误可以使系统日志更加有用，因为它不会因不必要的日志消息而造成混乱。

其他

代理支持

如果此防火墙位于需要代理来进行出站Internet访问的网络中，请在本节中输入代理选项，以使来自防火墙的有关软件包和更新等项目的请求将通过代理发送。

代理网址

指定用于建立外部连接的代理的位置。它必须是IP地址或完全限定的域名。

代理端口

连接到代理URL时使用的端口。默认情况下，默认情况下，HTTP代理URL的端口为8080，SSL代理URL的端口为443。端口由代理确定，并且可以完全是一个不同的值（例如3128）。

代理用户名

这是发送给代理身份验证的用户名。

代理密码

这是与上一个选项中设置的用户名关联的密码。

负载平衡

粘性连接

当设置pfSense®进行负载平衡时，连续的连接将以循环方式重定向到Web服务器或网关，从而平衡所有可用服务器或路径上的负载。当粘性连接 处于活动状态时，将更改此行为，以便将来自同一源的连接发送到同一Web服务器或通过同一网关，而不是以纯循环方式发送。

启用粘性连接 后，会影响出站负载平衡（Multi-WAN）以及服务器负载平衡。只要表中存在来自给定源地址的连接状态，就会存在这种“粘性”关联。一旦该来源的状态失效，粘性关联也将失效。来自该源主机的其他连接将重定向到池中的下一个Web服务器或组中的下一个可用网关。

对于使用负载平衡网关组的出站流量，粘性关联位于用户和网关之间。只要本地地址在状态表中具有状态，它的所有连接都将从单个网关流出。这可以帮助使用HTTPS和FTP等协议，其中服务器可能严格限制来自同一源的所有连接，或者必须从同一源接收其他入站连接。这种行为的缺点是平衡效率不高，繁重的用户可以控制单个WAN，而不能分散连接。

对于服务器负载平衡，就依赖于在整个给定会话中为用户维护相同服务器IP地址的应用程序来说，需要粘性连接。服务器上的Web应用程序可能不够智能，无法允许用户会话同时存在于多个后端服务器上，因此，只要他们正在浏览站点，这便允许用户始终访问同一台服务器。

提示：为了更好地控制负载平衡情况下用户连接与服务器的关联方式，请考虑使用HAProxy软件包而不是内置的relayd负载平衡器。HAProxy支持多种确保用户正确定向到后端服务器的方法。

粘性连接的源跟踪超时 控制了该主机的所有状态到期后，该主机将保持粘性关联的时间。以秒为单位。默认情况下，未设置此值，因此状态到期后立即删除关联。如果粘性连接一开始似乎起作用，但似乎在会话中途停止，请增加该值以保持关联更长时间。Web浏览器通常会在用户访问站点时保持打开连接一段时间，但是如果有很多空闲时间，连接可能会关闭并且状态可能会过期。

默认网关切换

如果默认网关无法访问，则该选项允许其他非默认网关接管。默认情况下禁用此行为。对于多个WAN，自动切换默认网关将确保防火墙始终具有默认网关，以便来自防火墙本身的通信可以传到Internet进行DNS查询、更新、软件包和鱿鱼等附加服务。

提示：在默认的非转发模式下使用DNS解析器时，需要使用默认网关切换多WAN才能正常运行。如果无法使用默认网关切换，请考虑改用转发模式。

在某些情况下，不希望切换默认网关，例如，当防火墙具有未连接到Internet的其他网关时。

注意：已知此选项无法与PPP类型的WAN（PPPoE，L2TP等）作为默认网关一起正常使用。

电源设置

选中时powerd守护进程启动。该守护程序监视系统，并可以根据系统活动降低或提高CPU频率。如果进程需要电源，则将根据需要提高CPU速度。此选项将降低CPU产生的热量，并且还可以降低功耗。

注意：此选项的行为在很大程度上取决于所使用的硬件。在某些情况下，CPU频率可能会降低，但不会对功耗和/或热量产生可知的影响，而在其他情况下，CPU的频率会降低并显着降低功耗。它被认为可以安全运行，但是除非检测到支持的硬件，否则默认情况下将其保留。

powerd可以为三种系统状态选择模式：

交流电模式正常运行已连接到交流电源。电池模式防火墙依靠电池运行时使用的模式。对电池电量检测的支持因硬件而异。未知模式powerd无法确定电源时使用的模式。这些状态中的每个状态都有四种模式选择：

最大值始终保持尽可能高的性能。最小值将性能保持在最低水平，以减少功耗。高适应性尝试通过在系统空闲时降低性能并在忙碌时提高性能来平衡节约。自适应性调整为以增加功耗为代价保持高性能。它可以更快地提高CPU频率，而降低它的速度则更慢。这是默认模式。注意：某些硬件需要powerd运行才能以其最大可达到的CPU频率运行。如果防火墙设备尚未启用powerd ，但始终在较低CPU频率情况下运行，powerd应设置在交流电源模式， 并将其设置为“最大值” 。

看门狗

某些防火墙硬件包括看门狗功能，当看门狗守护程序在指定的超时后不再与硬件接口连接时，该功能可以重置硬件。通过在遇到硬锁时重置设备可以提高可靠性，否则可能需要手动干预。

启用看门狗选中后，将watchdogd守护程序运行，该守护程序将尝试关联到受支持的硬件看门狗设备上。看门狗超时以秒为单位，如果设备未能响应看门狗请求，设备将在此时间后重置。如果防火墙经常有高负载并意外触发看门狗，请增加超时时间。

加密和温度传感器

加密硬件

有一些选项可用于通过硬件加速加密操作。有些内置于内核中，而另一些则是可加载的模块。这里可以选择一个可选模块：AES-NI （高级加密标准，新指令）。如果选择了基于AES-NI CPU的加速（aesni），则将在保存时和在启动时加载其内核模块。AESNI模块将加快IPsec中提供的AES-GCM的操作。近期的Intel和某些AMD CPU都内置了对AES-NI的支持。

AES-NI的速度因基础软件的支持而异。由于OpenSSL内置了对AES-NI的支持，因此某些基于OpenSSL的软件（例如OpenVPN）在AES-NI卸载的情况下可以执行不同的操作。如果使用并正确配置了AES-GCM，则加载AES-NI后，IPsec支持将大大增加。

这些驱动程序连接到crypto(9)FreeBSD 的框架中，因此系统的许多方面都将自动使用加速来支持受支持的密码。

还有其他受支持的加密设备，例如hifn（4）和 ubsec（4）。在大多数情况下，如果检测到支持的加速器芯片，它将显示在仪表板上的系统信息小部件中。

温度传感器

pfSense可以从几个来源读取温度数据并显示在仪表板上。如果防火墙具有受支持的CPU，则选择温度传感器将加载适当的驱动程序来读取CPU温度。

支持以下传感器类型：

None/ ACPI如果存在，防火墙将尝试从符合ACPI的主板传感器读取温度，否则将无法获得传感器读数。Intel Core加载coretemp模块，该模块支持使用其内置传感器（包括基于Atom的处理器）从Intel核心系列CPU和其他现代Intel CPU读取温度数据。AMD K8，K10和K11加载amdtemp模块，该模块支持使用内置传感器从AMD CPU读取温度数据。如果防火墙没有受支持的温度传感器芯片，则此选项无效。要卸载所选模块，请将此选项设置为None / ACPI ，然后重新启动。

注意：coretemp和amdtemp模块直接从CPU核心报告温度数据。外壳温度可能会与CPU裸片上的温度相差很大。

时间计划

该选项控制当计划的规则转换为会阻塞流量的状态时是否清除状态。如果不选中，则在计划时间到期后终止连接。如果选中，则连接将保持单独状态，并且不会被防火墙自动关闭。

网关监控

网关故障时清除状态

使用多WAN时，默认情况下，当网关进入关闭状态时，监视过程将不会刷新状态。在网关不稳定的情况下，每个网关事件的刷新状态可能会中断。

注意：触发此操作后，将清除整个状态表。这是必需的，因为不可能终止发生故障的WAN的所有状态以及与发生故障的WAN相关的LAN端状态。仅在WAN侧删除状态无效，必须同时清除LAN侧状态。

网关关闭时跳过规则

默认情况下，当规则设置了特定的网关并且该网关已关闭时，该网关将从规则中省略，并且通过默认网关发送流量。

该选项将覆盖此行为，并且当网关关闭时，规则集中将省略整个规则。流量不会通过默认网关，而是匹配不同的规则。如果流量必须仅使用一个特定的WAN，并且绝不流经任何其他WAN，该选项将发生作用。

提示：使用此选项时，请在策略路由规则下使用相同的匹配条件创建拒绝或阻止规则。这将防止流量潜在地匹配规则集中位于其下方的其他规则，并使用其他意外路径。

RAM磁盘设置

该/tmp和/var目录用于写入文件，并保存暂时的和易失性数据。使用RAM磁盘可以减少发生在防火墙磁盘上的写入量。SSD不会像以前的驱动器那样担心磁盘写入问题，但是从低质量的闪存（例如U盘）运行时仍然会成为问题。

此行为的好处是可以保留基本系统中磁盘的大部分写入操作，但是程序包可能仍会频繁地写入硬盘驱动器。它还需要进行其他处理，以确保在重新启动后保留诸如RRD图和DHCP租约之类的数据。两者的数据都会在正常关闭或重新引导期间保存，如果已配置，也会定期保存。

使用RAM磁盘选中后，将在引导时为/ tmp和/ var /创建一个内存磁盘，并初始化关联的结构。切换此设置后，需要重新启动并强制保存。/ tmp RAM磁盘大小RAM磁盘的大小，以MiB为单位。默认值为40，但如果有可用的RAM，则应将其设置为更高的值。/ var RAM磁盘大小RAM磁盘的大小，以MiB为单位。默认值为60，但应将其设置得更高，尤其是在使用软件包的情况下。一般设置为512-1024，具体取决于防火墙可用RAM大小。定期备份定期备份RRD文件的时间间隔（以小时为单位）。如果防火墙意外重新启动，则在防火墙启动时恢复上一次备份。值越低，在这种情况下丢失的数据越少，但是备份越频繁，写入磁盘的内容就越多。定期备份DHCP租约DHCP租约数据库的定期备份时间间隔（以小时为单位）。如果防火墙意外重新启动，则在防火墙启动时恢复上一次备份。注意：除了上述要点外，在选择是否使用RAM磁盘时还有几项注意事项。如果使用不当，此选项可能会导致数据丢失或其他意外故障。

系统日志保存在/ var中，但没有像RRD和DHCP数据库那样进行备份。每次重新启动后，日志将重新设置为新的。对于永久日志，请使用远程系统日志将日志发送到网络上的另一台设备。

软件包可能无法正确说明RAM磁盘的使用，并且可能在启动时或以其他方式无法正常运行。测试每个软件包，包括重新启动后是否立即起作用。

这些是RAM磁盘，因此其他程序可用的RAM量将减少RAM磁盘使用的空间量。例如，如果防火墙有2GB的RAM，/ var占用512MB，/ var占用512MB，则只有1GB的RAM可供操作系统使用。

RAM磁盘大小

将/ tmp和/ var的大小设置得太小会适得其反，尤其是在软件包方面。该页面上建议的容量是绝对最小值 ，通常需要更大的容量。最常见的故障是在安装软件包时，软件包的某些部分接触到/ tmp和/ var中，并且最终可能填满RAM磁盘并导致其他数据丢失。另一个常见的故障是设置/var为RAM磁盘，然后忘记将鱿鱼缓存移动到外部位置/var，如果未选中，它将填满整个RAM磁盘。

对于/tmp，最少40需要MiB。对于/var最少需要60MIB。要确定适当的大小，请在进行切换之前检查/tmp和/var目录的当前用量。在几天的使用过程中，请多次检查使用情况，以确保它不会被占满。

可调参数

系统 >高级选项 下的可调参数 选项卡提供了设置运行时FreeBSD系统可调项(也称为sysctl OID)的方法。强烈建议将这些可调参数保留为默认值。熟悉FreeBSD的防火墙管理员，或在开发人员或支持代表的指导下进行操作的用户，可能希望在此页面上调整或添加值，以便在系统启动时进行设置。

注意：此页面上的可调项与Loader Tunables 不同。系统启动后，Loader Tunables 是只读值，必须在/boot/loader.conf.local中设置这些值。

创建和编辑可调参数

要编辑现有的可调参数，请单击编辑。

要创建新的可调参数，请单击列表顶部的新建图标。

编辑或创建可调参数时，可以使用以下字段：

参数：sysctl要设置的OID参数值：设置的值。注意：一些值具有格式要求。由于存在大量的sysctl OID，因此GUI无法验证给定的值是否适用于所选的参数。描述：可选说明，以供参考。完成后，单击保存。

可调OID和值

sysctl使用了许多OID ，这里的设置只是其中的一些，有一些是只读输出，而其他的则必须在系统作为Loader Tunables引导之前进行设置。OID的完整列表及其可能的值不在本书的讨论范围之内，但是对于那些有兴趣进一步研究的人， FreeBSD 的sysctl手册页包含了详细的说明和信息。

通知

pfSense®通过在菜单栏中显示警报（由图标来提示）来通知管理员重要事件和错误。pfSense还可以使用SMTP或Growl通过电子邮件远程发送这些通知。

SMTP电子邮件

电子邮件通知通过直接SMTP连接传递到邮件服务器。服务器必须配置为允许从防火墙中继或接受经过身份验证的SMTP连接。

禁用SMTP选中后，将不会发送SMTP通知。E-mail服务器通知将通过其发送的电子邮件服务器的主机名或IP地址。E-mail服务器的SMTP端口与SMTP服务器通信时使用的端口。最常见的端口是25和587。在许多情况下，除非用于本地或内部邮件服务器，否则25端口将无法工作。连接超时防火墙等待SMTP连接完成的时间（以秒为单位）。SMTP安全连接设置后，防火墙将在发送电子邮件时尝试进行SSL / TLS连接。服务器必须具有有效的SSL证书并接受SSL / TLS连接。发送E-MAIL邮件From: 标题的电子邮件地址，用于指定消息的来源。某些SMTP服务器尝试验证此地址，因此最佳作法是在此字段中使用真实地址。通常将其设置为与接收E-MAIL相同的地址。接收E-MAIL邮件To:标题的电子邮件地址，这是防火墙将通知电子邮件发送到的目的地。E-Mail认证用户名可选的。如果邮件服务器要求用户名和密码进行身份验证，请在此处输入用户名。E-Mail认证密码可选的。如果邮件服务器要求用户名和密码进行身份验证，请在此处和确认字段中输入密码。E-Mail认证机制该字段指定邮件服务器所需的身份验证机制。大多数电子邮件服务器都使用PLAIN 身份验证，其他服务器（例如MS Exchange）可能需要LOGIN 样式身份验证。单击保存设置，然后继续。

单击 测试SMTP设置 来生成测试通知，并使用以前存储的设置通过SMTP发送通知。单击此按钮之前，请保存设置。

启动/关机声音

如果防火墙硬件有PC扬声器，则pfSense将在启动完成时和启动关闭时再次播放声音。

选中禁用启动/关闭提示音 可以防止防火墙播放这些声音。

Growl

Growl提供了一种简便的方法来传达桌面通知。这些通知会在桌面上弹出，然后隐藏或消失。Growl在Mac OSX的App Store中可以下载，在Windows和 FreeBSD / Linux上也可以使用。

禁用Growl通知选中后，防火墙将不会发送Growl通知。注册名称防火墙将用于向Growl服务器注册的服务名称。默认为pfSense-Growl。将此视为 Growl服务器看到的通知类型。通知名称产生通知的系统的名称。默认pfSense growl alert即可，或者使用防火墙主机名或自定义。IP地址防火墙将Growl通知发送到的IP地址。密码Growl服务器所需的密码。单击保存设置，然后继续。

单击 测试Growl设置， 使用先前保存的设置通过Growl发送测试通知。

时间同步

时间和时钟问题在硬件上相对常见，但在防火墙上则很关键，尤其是如果防火墙执行的任务包括将证书作为PKI基础结构的一部分进行验证。

在嵌入式系统上，绝对正确的时间同步是绝对必要的，其中一些系统没有内置电池，可以在断电时保留其日期和时间设置。

这一切不仅可以帮助完成关键的系统任务，而且还可以确保正确标记防火墙上的日志文件的时间戳，从而有助于进行故障排除，记录保存和常规系统管理。

计时问题

硬件在保持时间方面可能会遇到重大问题，此类问题通常与硬件的质量有关。所有PC时钟都会发生一定程度的漂移，但是某些有质量问题的硬件可能会每隔几分钟就漂移多达一分钟，并迅速失去同步。NTP旨在定期更新系统时间以解决正常漂移。它不能合理地校正明显漂移的时钟。避免计时问题的最佳方法是使用经过测试且不会遇到这些问题的优质硬件，有四个项目要检查硬件是否存在严重的计时问题。

网络时间协议

默认情况下，pfSense尝试使用ntp.org网络时间协议(NTP)服务器池同步其时间。这样可以确保防火墙上的日期和时间准确，并可以适应正常的时钟漂移。如果防火墙的日期和时间不正确，请确保NTP同步正常。阻止同步的最常见问题是防火墙上缺少正确的DNS配置。如果防火墙无法解析主机名，则NTP同步将失败。同步结果在启动时显示在系统日志中，并且NTP时钟同步的状态可以在状态>NTP服务 中查看。仪表板的NTP状态 小部件还提供了有关选定供防火墙使用的NTP服务器的基本信息。

BIOS更新

必须注意的是，在Windows上运行良好的较旧的硬件一旦在FreeBSD（以及相应的pfSense）上进行了重新部署，就会遇到计时问题。这是因为系统运行的BIOS版本已经过时，可以通过进行BIOS更新解决该问题。

BIOS中的PNP OS设置

除非将BIOS中的PNP OS 设置为No ，否则其他硬件在FreeBSD和pfSense中可能会出现计时困难。如果BIOS没有PNP OS 配置选项，请查找OS 设置并将其设置为Other 。

禁用ACPI

在不止一种情况下，我们遇到了在ACPI支持处于活动状态时无法启动或正常运行的硬件。虽然可以在BIOS和操作系统中禁用ACPI支持，但我们不建议您使用需要进行此类更改的硬件。

调整计时器硬件设置

在罕见的系统上，可能需要更改kern.timecounter.hardwaresysctl的值以更正不准确的时钟。已知这是旧版本VMware（例如ESX 5.0）与基于amd64的pfSense或FreeBSD映像结合使用时的问题。这种特殊情况是虚拟机管理程序中的一个错误，该错误已在ESX 5.1及更高版本中修复。

在这些系统上，默认的计时器最终将使时钟停止计时，从而导致加密、VPN和服务出现问题。在其他系统上，时钟可能会因错误的计时器而大量偏移。

要更改时间计数器，请浏览至系统>高级选项>可调参数 标签，然后添加一个条目来设置kern.timecounter.hardware为 i8254

这将使系统使用i8254时间计数器芯片，该芯片通常可以保持良好的时间，但可能不如其他方法快。

如果在进行此更改后系统正确地保留了时间，则将可调参数项保留在适当的位置以使此更改永久生效。如果更改没有帮助，请删除可调参数或尝试其他值。

根据平台和硬件的不同，可能还会尝试其他计时器。有关在防火墙上找到的可用计时器的列表，请执行以下命令：

# sysctl kern.timecounter.choice

防火墙将打印可用计时器的列表，以及FreeBSD报告的“质量”：

kern.timecounter.choice: TSC-low(1000) ACPI-safe(850) i8254(0) dummy(-1000000)

尝试对sysctl kern.timecounter.hardware 设置使用这四个值中的任何一个。就此列表中的“质量”而言，数字越大越好，但是实际可用性因系统而异。

TSCCPU上的计数器，但与时钟速率相关，其他CPU无法读取。它可以在裸机SMP系统中使用，但要求所有CPU上的TSC都同步。它不能在具有变频CPU的系统或具有多个CPU的虚拟化系统上可靠地使用。i8254大多数硬件中都存在一种时钟芯片，这种时钟芯片通常很安全，但可能会带来性能缺陷。ACPI-safe如果它得到硬件的适当支持，则这是一个不错的选择，因为它不受i8254的性能限制，但实际上，其准确性和速度会因实现方式而有很大差异。ACPI-fast在不受已知ACPI问题困扰的硬件上可以更快地实现ACPI时间计数器。HPET某些硬件中提供了高精度事件计时器。如果可用，通常认为它是精确计时的良好来源。有关FreeBSD Timecounters的更多信息，可以在FreeBSD项目的Poul-Henning Kamp 的论文以及FreeBSD源代码中找到。

调整内核计时器频率

在极少数情况下，调整内核计时器频率或kern.hz内核可调参数可以帮助提高性能或稳定性。在虚拟环境中尤其如此。默认值为1000，但是在某些情况下100， 50甚至10会根据系统而定是一个更好的值。在VMware中安装pfSense时，它将检测到并自动将此可调参数设置为100，这在VMware产品的几乎所有情况下都可以正常工作。

要调整此设置，请在/boot/loader.conf.local中添加一行新值：

kern.hz=100

GPS时间同步

为了帮助保持准确的时钟，pfSense还在支持的硬件上提供了GPS时间同步。支持某些串行或USB GPS设备，并与外部时间服务器结合使用，它们可以帮助保持时钟准确。

故障排除

配置向导和相关的配置任务在大多数情况下都可以使用，但是在使连接按预期的方向正常流动时可能会出现问题。其中一些问题可能是特定环境或配置所独有的，但可以通过基本故障排除来解决。

无法从LAN访问WebGUI

如果无法从LAN访问WebGUI，则首先检查网线，请尝试更换一根网线。如果客户端PC直接连接到防火墙上的网络接口，则在其网卡上不支持Auto-MDIX的较旧硬件上可能需要交叉网络。

一旦客户端网卡和防火墙LAN接口上都有链接指示灯，请检查客户端PC上的TCP / IP配置。如果默认情况下在防火墙上启用了DHCP服务器，请确保也为客户端设置了DHCP。如果在防火墙上禁用了DHCP，则在与防火墙LAN IP地址位于同一子网中，并设置相同的子网掩码，并将防火墙LAN IP地址用作网关和DNS服务器。

如果网线和网络设置正确，则客户端将能够ping通防火墙的LAN IP地址。如果客户端PC可以ping但不能访问WebGUI，则还有其他更多尝试。首先，如果客户端PC上的错误是连接重置或失败，则运行WebGUI的服务器守护程序未运行，或者客户端正在尝试使用错误的端口。如果错误是连接超时，则更多地指向防火墙规则。

如果客户端收到连接超时，请参考锁定在WebGUI中该怎么办。使用正确配置的网络连接，就不会发生这种情况，该部分提供了解决防火墙规则问题的方法。

仔细检查WAN和LAN是否不在同一子网上。如果为DHCP设置了WAN，并将其插入另一个NAT路由器后面，则它可能也正在使用 192.168.1.1。如果WAN和LAN上存在相同的子网，则可能会发生不可预测的结果，包括无法路由流量或访问WebGUI。如有疑问，请拔出WAN网线，重新启动pfSense®防火墙，然后重试。

如果客户端收到连接重置，请首先尝试从系统控制台重新启动WebGUI服务器进程，通常是选项11，然后是选项16，来重新启动PHP-FPM。如果这样做没有帮助，请从控制台启动shell程序（选项8），然后输入：

# sockstat | grep nginx

防火墙将返回所有正在运行的nginx进程的列表，以及它们正在侦听的端口，如下所示：

root     nginx      41948 5  tcp4   *:443                 *:*
root     nginx      41948 6  tcp6   *:443                 *:*
root     nginx      41948 7  tcp4   *:80                  *:*
root     nginx      41948 8  tcp6   *:80                  *:*

在该输出中，它表明该进程正在侦听IPv4和IPv6上每个接口的端口443，以及用于重定向的端口80，但可能会根据防火墙配置而有所不同。

尝试直接使用该端口以及HTTP和HTTPS连接到防火墙LAN IP地址。例如，如果LAN IP地址为 192.168.1.1，并且正在侦听端口82，请尝试 http://192.168.1.1:82和https://192.168.1.1:82。

无法访问互联网

如果客户端PC可以访问WebGUI，但不能访问Internet，则需要考虑几件事。WAN接口可能配置不正确，DNS解析可能无法正常工作，防火墙规则，NAT规则甚至是像本地网关问题之类的问题都可能出现问题。

WAN接口问题

首先，检查WAN接口确保它可以运行。导航到状态>网络接口， 然后在其中查看WAN 接口状态。如果接口正常工作，则状态将显示为“up”。如果显示“no carrier”或“down”，请在网络接口> WAN 下仔细检查网线和WAN设置。

如果WAN接口使用PPPoE或PPTP，则会有一条附加状态行指示PPP连接是否处于活动状态。如果关闭，请点击刷新连接。如果这不起作用，请在网络接口>WAN 上仔细检查所有接口设置，检查或重新启动ISP CPE（电缆/ DSL调制解调器等），并可以向ISP咨询有关设置和线路状态的帮助。

DNS解析问题

在WebGUI内，导航至诊断>Ping， 然后输入ISP网关地址。网关地址可以在状态>网关状态 处查找。

如果网关未知，请尝试使用另一个已知有效的地址，例如8.8.8.8。如果防火墙能够ping通该地址并收到响应，则从客户端PC重复相同的ping测试。打开命令提示符或终端窗口，然后ping相同的IP地址。

如果客户端可以ping通上述地址，则尝试按名称ping网站www.google.com。从防火墙GUI和客户端PC尝试一下。如果IP ping测试正常，但域名测试失败，则DNS解析存在问题。

如果DNS解析在防火墙上不起作用，请首先检查防火墙上启用了哪些DNS服务以及如何对其进行配置。默认情况下，pfSense防火墙被配置为在不需要任何特定DNS服务器的模式下使用DNS解析器。它直接查询根服务器和其他权威服务器。

如果DNS解析器处于活动状态，但是防火墙无法解析主机名，则问题通常是缺少有效的WAN连接。除此之外，还有一种可能是WAN或上游网络设备没有以与DNSSEC兼容的方式正确传递DNS通信。在“解析器”选项中禁用DNSSEC，以查看解析是否起作用。ISP也可能过滤DNS请求并要求使用特定的DNS服务器。在这种情况下，请配置DNS服务器，然后激活转发模式或切换到DNS转发器。

防火墙DNS服务器设置位于系统>常规设置 下，并且在状态>网络接口 下也可看见。使用ping检查以确保这些DNS服务器可以访问。如果防火墙可以到达ISP的网关地址，但不能到达DNS服务器，请与ISP联系并仔细检查这些值。如果DNS服务器是通过DHCP或PPPoE获得的，并且防火墙无法访问它们，请与ISP联系。如果所有其他方法均失败，请考虑在防火墙上使用公用DNS（8.8.8.8、8.8.4.4、1.1.1.1）域名服务器，而不是由ISP提供的域名服务器。

如果DNS是从pfSense防火墙而不是客户端PC上运行的，则可能是防火墙上的DNS解析器或转发器配置、客户端配置或防火墙规则出现了问题。DNS解析器为防火墙后面的客户端处理DNS查询。如果客户端PC配置有DHCP，则除非手动更改，否则它们将作为DNS服务器接收与其连接的防火墙接口的IP地址。例如，如果PC在LAN接口上，并且防火墙LAN IP地址是 192.168.1.1，则客户端DNS服务器也应该是192.168.1.1。如果禁用了DNS解析器和DNS转发器，请在系统服务> DHCP服务 下调整已分配给DHCP客户端的DNS服务器。通常，当禁用DNS解析器和DNS转发器时，会将系统DNS服务器直接分配给客户端，但是，如果实际上不是这种设置，请在DHCP设置中定义它们。如果未为客户端PC配置DHCP，请确保它设置了正确的DNS服务器：可以设置为pfSense防火墙的LAN IP地址或ISP提供的DNS服务器地址、其他公用DNS服务器地址等。

从pfSense防火墙而不是本地客户端运行DNS的另一种可能性是LAN上的防火墙规则过于严格。检查状态>系统日志 ，防火墙 选项卡，从本地客户端尝试访问DNS服务器的日志中出现阻止的连接，则在该接口的LAN规则的顶部添加防火墙规则，该规则将允许通过TCP和UDP端口53连接到DNS服务器。

客户端网关问题

为了使pfSense防火墙正确路由客户端PC的Internet流量，它必须是所有客户端的网关。如果使用pfSense防火墙内置的DHCP服务器配置客户端PC，则会自动设置。但是，如果客户端从备用DHCP服务器接收到DHCP信息，或者已手动输入IP地址，请仔细检查其网关是否已设置为它们在pfSense防火墙上连接的接口的IP地址。例如，如果客户端位于pfSense LAN接口上，而LAN接口的IP地址为192.168.1.1，则必须将客户端PC上的网关地址设置为192.168.1.1。

防火墙规则问题

如果默认的“LAN to Any”规则已更改或从LAN接口中删除，则试图通过pfSense防火墙从客户端PC到达Internet的通信可能会被阻止。通过查看状态>系统日志 ，防火墙 选项卡，可以轻松确认这一点。如果那里有显示试图访问Internet主机的LAN PC的连接被阻止的条目，请在防火墙>规则策略，LAN 选项卡上重新设置规则，进行必要的调整来允许访问Internet的流量通过。

如果它是从LAN端而不是从OPT接口工作的，请确保防火墙具有适当的规则以允许流量通过。默认情况下，不会在OPT接口上创建规则。

NAT规则问题

如果出站NAT规则已更改为默认值，则尝试访问Internet的流量可能未正确应用NAT。导航至防火墙> 地址转换 ，出站选项卡。在大多数情况下，该设置应为自动出站NAT规则生成 。如果不是，请更改为该设置，单击保存并应用更改，然后尝试再次从客户端PC访问Internet。

如果将出站NAT设置为手动出站NAT规则， 并且Internet访问是从LAN而不是从OPT接口进行的，请手动添加与来自OPT接口的流量匹配的规则。查看LAN的现有规则并进行相应调整。

来自VPN用户（OpenVPN，IPsec等）的流量也是如此。如果这些用户需要通过此pfSense防火墙访问Internet，则他们的子网将需要出站NAT规则。

pfSense XML配置文件

pfSense®防火墙将所有设置存储在XML格式的配置文件中。包括软件包设置在内的所有配置设置都保存在该文件中。基于XML配置文件中保留的设置，在运行时动态生成用于系统服务和行为的所有其他配置文件。

大多数人永远都不需要知道配置文件所在的位置，它位于/cf/conf/config.xml。

手动编辑配置

仅通过手动编辑配置文件可以使用一些配置选项，尽管在大多数部署中并不需要。

注意：即使对于经验丰富的管理员，仍然很容易错误地编辑配置文件。始终保留备份，以确保修改不会导致严重的后果。

编辑配置文件的最安全，最简单的方法是从系统诊断>备份恢复 进行备份，将文件保存到PC，编辑文件并进行任何必要的更改，然后将更改后的配置文件还原到防火墙。请使用能够正确理解UNIX的编辑器，最好使用对XML进行特殊处理（例如语法突出显示）的编辑器。千万不要在Windows上使用记事本进行编辑。

对于熟悉vi编辑器的管理员，该viconfig命令将实时编辑正在运行的配置，保存并退出编辑器后，防火墙将从其中删除缓存的配置 /tmp/config.cache，然后更改将在GUI中可见。在下一次重新启动/重新加载与配置的已编辑部分相关的服务之前，更改将不起作用。

# 转账- 鐵血男兒的BLOG

pfSense配置：常规和高级选项设置