我即将开始为多个小型办公室切换一些网络。每个办公室大约有 10 到 15 个用户和 10 到 15 台计算机。每个办公室都有大量的通用路由器和接入点。路由器从用作路由器到仅用作无线接入点。10 个办公室中的每一个都没有真正实施任何正式的措施。

我想要的是为每个办公室设置一个 pfSense 框来配置以下内容：

• 流量整形（用于 VoIP QOS）
• 网址过滤
• DHCP
• 静态路由
• 多个 VLAN

然后我将使用一些现有的无线硬件。甚至可能根据办公室布局将无线直接集成到防火墙中。

所以我的问题是，做一个完整的防火墙盒会更好，还是做一个新的商业级或高端消费级 Linksys 路由器来做 URL 过滤、QOS 和 DHPC？

每个选项都可以允许远程访问和 VPN 进行远程维护，并且每个选项只需要象征性地购买一些体面的东西，即低于 250 美元。

是否可以设置 PFsense 来执行 IPv6 到 IPv4？

我正在设置一个 IPv6 LAN 以进行“测试”，同时也搞砸了，但我无法从我的 ISP 获得 IPv6 地址，因此我需要一种将 IPv6 更改为 IPv4 的方法。

更新

好的，我升级到支持 IPv6 的 PFsense 2.0 RC1。

在“高级设置”下有 IPv6 数据包的 IPv4 NAT 封装选项。

有一个复选框可以启用该选项，还有一个输入框显示“IP 地址”

我在那里输入什么？

上周，我的网络遭到 DDoS 攻击，使我们 100 MBps 的互联网链接完全饱和，几乎关闭了我们托管的所有站点和服务。

我明白（从这次经历以及其他答案中）我无法处理这样的 DDoS 攻击，因为即使我们丢弃了数据包，它们仍然通过我们的链接发送并且使我们的连接饱和。

然而，当这种情况发生时，我的 ISP（奇怪的是）无法告诉我攻击来自哪里。他们说如果我能确定来源（EG通过tcpdump），我可以给他们IP地址来阻止。但是事情tcpdump实在是太重了，跑起来是不可能的。我只是无法查看输出。

我们几乎所有的服务器都在 pfSense 路由器后面。如何使用 pfSense 检测 DDoS 攻击，以便告诉我的 ISP 阻止谁？我不想自己阻止攻击，我只想获得警报/能够查看使用比正常情况更多带宽的 IP 地址列表。

pfSense 路由器正在运行 Snort，如果它可以以任何方式提供帮助。

与业主协会的另一名成员一起，我的任务是为我们的公寓楼设计和设置共享的高速互联网接入。我们的预算很少，希望能够做到这一点，硬件已经在手（意味着不是最先进的）。

我有超过十年的系统管理员经验，但专注于服务器端。虽然对（大部分）术语并不陌生，并且至少在设置较小的网络方面有一些实践经验，但设计这样的设置肯定超出了我的主要能力范围。

我对如何实现这一点有一个想法，但我可能没有考虑到所有因素，当然欢迎第二意见和健全性检查。

虽然这个问题是基于我的具体挑战，但我认为答案将形成一个总体上合理的方法，在预算紧张的情况下建立公平共享、分段、多租户的互联网访问。我希望这对于本网站是可以接受的。

这怎么做最好？

范围

环境

• 54 套公寓，现有 CAT5e 布线
• 公寓大约 50/50 分成两个配线间，中间有一根 CAT5e 电缆（以后可能会添加另一个）
• 基于光纤的互联网连接，最初的上限为 300 Mbps，将在一个配线间终止
• 没有对互联网路由器的管理访问权限

硬件软件

所有硬件至少已使用 5 年。有些是我们不久前购买的，有些是给我们的，因为它对于该公司的生产用途来说太旧了（昂贵的服务、性能等等）。

• HP Proliant DL380 G6，双 Xeon CPU，32 GB RAM，4 个千兆网卡
• 2 x Dell PowerConnect 5324 千兆管理型交换机
• 2 台 HP ProCurve 2524 管理型 100 Mbit 交换机
• 由于现有知识和经验，首选 pfSense 作为网关/防火墙
• 由于可管理性（快照、完整映像备份、硬件抽象）以及无需额外套件即可运行小型网络服务器的可能性，首选在 VMWare ESXi 上运行虚拟防火墙

要求和目标

• 我们必须共同能够利用我们支付的互联网带宽
• 我们希望将来能够支持更高的带宽
• 作为 100 Mbps 交换机，我们需要能够将至少两个上行链路从 HP 中继/组合到戴尔交换机
• 公寓之间应该没有通道
• IP 地址必须通过 DHCP 分发给公寓
• 我们还将运行 Web 服务器和邮件服务器，它们必须可以从内部和外部访问
• 有什么明显的缺失吗？

粗略的设计理念

物理网络

• 在每个配线间安装戴尔千兆交换机
• 通过配线间之间的单根电缆连接两台戴尔交换机
• 使用链路聚合通过两个上行链路将 HP 100 …

我有 2 个pfSense服务器（新的和旧的），用作路由器、DHCP 和 DNS 服务器。我想将旧的配置为新的备份。这意味着当一切正常时，所有流量都由新流量管理。如果新的出现故障，我希望旧的实时管理流量。

    Main internet               Backup internet
    (fiber)                     (ADSL)         

    ^                           ^              
    |                           |              
    |            +--------------+              
    |            |              |              
+---+------------+---+    +-----+------------+ 
|                    |    |                  | 
|  Main pfSense      |    |  Backup pfSense  | 
|  server            |    |  server          | 
|                    |    |                  | 
+---------+----------+    +----+-------------+ 
          | 192.168.1.1        |  
          |                    |               
          |                    |               
          |                    |               
+---------+--------------------+-------------+ 
|                                            | 
|             Ethernet switch                | 
|                                            | 
+--------------------------------------------+ 

我想知道是否有可能以及在哪里做（在 pfSense 级别或在交换机级别）？

我想组织一个已经运行的 pfSense 防火墙，第一件事是接口顺序。

我知道 pfSense 在重新安排事物时有点苛刻，但我想知道是否有任何简单的方法可以对防火墙上的接口进行重新排序，这是今天的状态：

在本例中，我想将 WAN 接口放在顶部，然后是 PFSYNC、MGMT、SRV，最后是 LAN。

这只是为了组织，但 pfSense 似乎不支持（至少在 Web 界面上）任何实现此目的的方法。

我有一个网络，其中有几台计算机都在同一网络上，并且由于我的带宽非常有限，我想像 CPU 调度程序优先处理进程一样优先处理流量。

示例：计算机 A：用于网络内容：youtube、下载、新闻、电子邮件等 计算机 B：通过 http 传输文件 计算机 C：通过 ftp、rsync 传输文件

我想做的是给 A 高达例如 90% 的可用带宽，如果 A 需要它。剩余部分 (10%) 在 B 和 C 之间分配（如果两者都忙，则各占 5%）如果 A 没有利用所有带宽，那么当然 B 和 C 应该共享全部带宽（只要两者都达到最大值，则各占 50%）他们的带宽）。

所有计算机都在同一网络上（例如 192.168.1.0 - 192.168.1-10）。

感谢是否有人可以阐明我应该如何设置我的网络以实现这一目标。老实说，我实际上需要一个关于如何设置它的分步指南。

将基于策略的路由应用于 pfSense 内部流量（源自防火墙本身）的当前正确方法是什么？使用选定的 WAN 接口、方向 OUT 和定义的网关创建浮动规则不再起作用。

我启用了此规则的日志记录，它显示流量始终来自 WAN1 的地址，即使规则上的网关设置为 WAN2。WAN1 是 pfSense 的默认网关。

硬件设置

• AMD E1-2100 Mini-ITX 主板，板载千兆位 ( re0)
• Intel PCI Express (x4) 4 端口千兆位适配器 ( igb[0123])

软件设置

• pfSense v2.3

我正在尝试复制我的 OpenWRT 路由器，它被设置为一个简单的路由器 + VLAN 2 => 不同的隔离子网，用于我不信任的各种 WiFi 设备。我的 WiFi 网桥运行两个不同的 SSID，其中一个标记流量 VLAN 2。我成功添加igb[0123]为单独的接口并将它们组合到BRIDGE0. 我10.0.1.1为BRIDGE0接口分配了一个 IP，启用了 DHCP，并且可以成功地将我的盒子用作简单的路由器。

但是，当我将 VLAN 2 的四个新虚拟接口（带有父接口）合并igb[0123]为一个BRIDGE1(IP 10.0.2.1) 时，我的硬连线 MacOS X 盒子上的 VLAN 2 接口10.0.2.20通过 DHCP 获取 IP，但无法路由任何内容。换句话说，我无法跨 WAN 甚至 ping 10.0.2.1。我创建了一个新的防火墙规则BRIDGE1来传递所有 IPV4 流量。根据 pfSense 文档，我还设置了一些系统可调参数 …

我正在 pfSense 2.3-RELEASE 盒中部署一个 IKEv2 VPN，对 RADIUS 服务进行身份验证。但是当 RADIUS 服务器关闭时，我担心这种方法的复杂性。

由于 RADIUS 在 pfSense 盒子后面，如果发生故障，我将失去连接到 IKEv2 VPN 的能力，并且没有任何进入 LAN 的选项。

我可以使用 pfSense 框中的本地用户帐户使用一些后备模式来做一个简单的解决方法，但问题是这种“后备模式”。这甚至存在？

在这种情况下有哪些选择？