一、情境
Pfsense：2.2.4-RELEASE

二、IP情資來源
官網
https://github.com/herrbischoff

國家IP專案頁面：
https://github.com/herrbischoff/country-ip-blocks/tree/master/ipv4

舉例幾個範例國別的連結：
[Japan]
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/jp.cidr

[Taiwan]
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/tw.cidr

三、Pfsense設定國別IP清單
01、點選「Firewall」→「Aliases」

02、點選「URLs」頁面

03、輸入設定值
Name：
輸入可識別的名稱

Description：
輸入註解名稱

Type：
選擇URL Table (IPs)

在「URL Table (IPs)」欄位輸入參考網址所取得的url：
https://raw.githubusercontent.com/herrbischoff/country-ip-blocks/master/ipv4/tw.cidr

Update Freq. (days)：
選擇資料來源的更新頻率(以天為單位)

04、資料確認無誤的話，點選「Apply Changes」套用設定

05、接著到「Firewall」→「Rules」或「NAT」

06、在Source欄位，將「Type」選擇「Single host or alias」，在「Address」欄位輸入先前Aliases步驟所新增的物件名稱

07、防火牆規則設定完畢的狀態

一、停止iptables服務
(1)、暫停iptables功能：

systemctl stop iptables

(2)、停用iptables功能：

systemctl mask iptables

二、安裝firewalld套件
(1)、安裝firewalld套件：

sudo yum install firewalld

(2)、設定開機自動執行firewalld：

systemctl enable firewalld

(3)、檢查 firewalld 服務狀態：

systemctl status firewalld

(4)、啟動 firewalld 服務：

systemctl start firewalld

(5)、停止 firewalld 服務：

systemctl stop firewalld

(6)、重新啟動 firewalld 服務：

service firewalld restart

(7)、重新載入 firewalld 設定：

firewall-cmd --reload

三、查詢設定狀態
(1)、查詢現有區域：

firewall-cmd --get-zones

(2)、查詢「public」區域的設定：

firewall-cmd --zone=public --list-all

(3)、查詢「public」的永久設定值：

firewall-cmd --zone=public --list-all --permanent

(4)、查詢目前預設的區域：

firewall-cmd --get-default-zone

(5)、更改 firewalld 的預設區域為「office」：

firewall-cmd --set-default-zone=office

(6)、查詢各個網路介面所屬的區域：

firewall-cmd --get-active-zones

(7)、更改網路卡所屬的區域：
將ens160網路卡永久設定為public區域的範例語法如下：

sudo firewall-cmd --permanent --zone=public --change-interface=ens160

(8)、查詢系統內建服務名稱：

firewall-cmd --get-services

(9)、查詢防火牆目前所有規則：

firewall-cmd --list-all

四、設定防火牆規則

(1)、查詢各個網路介面所屬的區域：

firewall-cmd --get-active-zones

(2)、在public區域中「新增」暫時開放https服務規則：

firewall-cmd --zone=public --add-service=https

(3)、在public區域中「新增」永久開放https服務規則：

firewall-cmd --zone=public --permanent --add-service=https

(3)、在public區域中「新增」永久開放TCP 8080 Port規則：

firewall-cmd --zone=public --permanent --add-port=8080/tcp

(4)、在public區域中「新增」永久開放192.168.6.111這個IP可以連線mysql(3306)服務規則：

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.6.111/32" service name="mysql" accept' --permanent

(6)、在public區域中「新增」永久阻擋192.168.6.222這個IP連線的規則：

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.6.222/32" reject' --permanent

五、移除防火牆規則

(1)、在public區域中「刪除」暫時開放https服務規則：

firewall-cmd --zone=public --remove-service=https

(2)、在public區域中「刪除」永久開放https服務規則：

firewall-cmd --zone=public --permanent --remove-service=https

(3)、在public區域中「刪除」永久開放TCP 8080 Port規則：

firewall-cmd --zone=public --permanent --remove-port=8080/tcp

(4)、在public區域中「刪除」特定永久開放規則：

firewall-cmd --zone=public --remove-rich-rule 'rule family="ipv4" source address="192.168.6.111/32" service name="mysql" accept' --permanent

六、查看系統內建服務樣板

(1)、查看系統預設防火牆服務樣板：

ls /usr/lib/firewalld/services

※如無適合的樣板，可以透過既有的樣板產生一個客製化的設定

(2)、建立客製化防火牆服務樣板：

cd /usr/lib/firewalld/services
cp mysql.xml oracle.xml
vim oracle.xml

EOO(End of Order Date)：
中止接受訂單日期，不過這是原廠的日期，通常SI或代理商會把日期往前推，避免遇到無法出貨的狀況。

LSED(Last Service Extension Date)：
最後服務展延日期，指的是如果有購買維護合約這是日期是最後可以下單的日期，且購買的延伸保固服務日期不得超過EOS日期。

EOS(End of Support Date)：
產品服務中止日期，也就是宣告這個產品的中止了，如果遇到設備故障或有Bug，那就只能重新採購新產品而無法得到相關服務了。

FortiGate防火牆設備產品生命週期(2022-10-15更新)
※如資訊有誤以原廠資訊為主

原廠產品生命週期查詢網頁(需要登入帳號才可查詢)
https://support.fortinet.com/Information/ProductLifeCycle.aspx

小編今天要來介紹如何啟動VMware Esxi Host Server的內建防火牆，以確保管理服務只有被授權的IP存取。

環境：VMware Esxi 7.0.2

Set01、確認防火牆狀態
指令：

esxcli network firewall get

Set02、啟動防火牆

指令：

esxcli network firewall set --enabled true

Set03、設定服務可連線的IP
(a).點選ESXi主機左方選單的「網路」。

(b).點選右邊畫面的「防火牆規則」頁面，接著搜尋要設定防火牆的服務(本範例是設定443Port的Web管理畫面連線)，透過選取確認要設定的服務，接著點選「編輯設定」。

(c).點選「僅允許從下列的網路連線」，輸入要放行的IP，完成IP輸入後點選「確定」套用設定。

(d).最後檢查該服務的防火牆規則是否有「啟用」， 滑鼠指著要確認的服務，接著按下滑鼠右鍵，如果有看見「啟用」選項，就點選「啟用」。
如果看見「停用」，代表防火牆規則已啟用無須變更設定。

補充說明：
如果防火牆規則有誤設定，導致無法連入VMware ESXi主機，此時需要到實體Server機的Console面前設定ESXi Server啟動「Troubleshooting Options」。

選擇「Enable ESXi Shell」

接著在鍵盤輸入「Ctrl」+「Alt」+「F1」，切換到本機的Console命令提示畫面，通過管理者帳號密碼驗證後，接著透過指令將防火牆關閉，即可重新連線ESXi Server並重新設定防火牆規則。
關閉防火牆指令：

esxcli network firewall set --enabled false

[官方公告網址]
https://www.fortiguard.com/psirt/FG-IR-21-206

[受到CVE-2021-43072影響的產品]
FortiManager version 5.6.0 through 5.6.11
FortiManager version 6.0.0 through 6.0.11
FortiManager version 6.2.0 through 6.2.9
FortiManager version 6.4.0 through 6.4.7
FortiManager version 7.0.0 through 7.0.2

FortiAnalyzer version 5.6.0 through 5.6.11
FortiAnalyzer version 6.0.0 through 6.0.11
FortiAnalyzer version 6.2.0 through 6.2.9
FortiAnalyzer version 6.4.0 through 6.4.7
FortiAnalyzer version 7.0.0 through 7.0.2

FortiOS version 6.0.0 through 6.0.14
FortiOS version 6.2.0 through 6.2.10
FortiOS version 6.4.0 through 6.4.8
FortiOS version 7.0.0 through 7.0.5

FortiProxy version 1.0.0 through 1.0.7
FortiProxy version 1.1.0 through 1.1.6
FortiProxy version 1.2.0 through 1.2.13
FortiProxy version 2.0.0 through 2.0.8
FortiProxy version 7.0.0 through 7.0.3

[官方建議更新版本]
FortiManager version 7.0.3 或以上版本
FortiManager version 6.4.8 或以上版本
FortiAnalyzer version 7.0.3 或以上版本
FortiAnalyzer version 6.4.8 或以上版本
FortiProxy version 7.0.4 或以上版本
FortiProxy version 2.0.9 或以上版本
FortiOS version 7.2.0 或以上版本
FortiOS version 7.0.6 或以上版本
FortiOS version 6.4.9 或以上版本
FortiOS version 6.2.11 或以上版本

假設情境網路架構圖

[情境架構說明]
Pfsense防火牆的內部網路有一台Web Server 提供80 Port的服務，IP為192.168.168.100，本範例要設定防火牆讓外部網路可以存取這一台Web Server的80Port服務。

[防火牆設定步驟]
01、登入Pfsense防火牆系統
http://192.168.168.254
※192.168.168.254為本範例的內部介面IP，請自行變更為相對應的IP

02、設定NAT規則
點選「Firewall」 → 「NAT」

03、點選「Port Forward」

04、點選「Add」新增NAT設定規則

05、設定NAT設定規則
(a)、Interface：選擇「WAN」
(b)、Address Family：選擇「IPv4」
(c)、Protocol：選擇「TCP」

(d)、Destination：選擇「WAN Address」
(e)、Destination port：選擇「HTTP」
(f)、Redirect target IP：選擇「Single host」並輸入「192.168.168.100」
(g)、Redirect target port：選擇「HTTP」

(h)、Description：填寫可以識別這一條NAT規則的敘述文字
(i)、Filter rule association：選擇「Add associated filter rule」進行自動設定對應的防火牆放行規則
(j)、最後點選「Save」完成NAT規則新增。

(k)、點選「Apply Changes」

(l)、點選「Firewall」 → 「Rules」

(m)、點選「WAN」，即可看見剛剛自動新增的防火牆規則

(n)、連線Pfsense防火牆80 Port，即可看見剛剛內部網路192.168.168.100的IIS Web Server。

01、登入系統後點選「System」→「Update」

02、點選「Confirm」進行系統更新
※由下圖畫面可得知，目前系統的版本為「2.4.5_1」，可更新的版本為「2.5.1」

03、下圖為系統更新過程畫面，畫面上有提示更新過程會耗費數分鐘，並請勿關閉視畫面窗或重新整理該視窗畫面

04、該畫面表示系統正在做背景更新，請稍後。

如果此時到Pfsense系統的Console畫面可以看到正在努力的跑更新中。

04、當畫面自動變更為系統登入畫面時，代表系統已順利更新完畢。

05、登入系統後確認版本
※下圖為順利完成更新至2.5.1的畫面

假設情境網路架構圖

01、第一次開機時畫面，此時詢問是否設定VLAN，輸入「n」後按下Enter
※注意畫面中的資訊，系統有偵測到兩張網路卡分別為「hn0」及「hn1」，該資訊下一步驟設定會使用到

02、接著設定WAN端(外部網路)的網路卡介面代號，輸入系統畫面上偵測到的網路卡代號，哪一張做為WAN端網路卡都沒關係，但網路線別接錯就好，這一個介面通常是連接到外端設備，例如：ATUR(小烏龜設備)。
本範例採用hn0當作WAN網路介面，因此輸入「hn0」後按下Enter繼續設定步驟。
※不同的網路卡晶片會有不同的網路卡代號，請自行變更為相對應的設定值，勿直接跟著本範例輸入hn0

03、接著設定LAN端(內部網路)的網路卡介面代號，輸入系統畫面上偵測到的網路卡代號，這一個介面通常是連接到內部的設備，例如：Switch或Wifi AP設備上。
本範例採用hn1當作WAN網路介面，因此輸入「hn1」後按下Enter繼續設定步驟。
※不同的網路卡晶片會有不同的網路卡代號，請自行變更為相對應的設定值，勿直接跟著本範例輸入hn1

04、再次確認網路卡相關配置，沒問題後輸入「y」後按下Enter繼續

05、該畫面為登入系統後的Console主選單畫面。

各項功能如下：
0)、登入(透過SSH登入時使用)
1)、定義網路介面卡
2)、設定網路介面的IP
3)、重置網頁設定的密碼
4)、還原為原廠/出廠設定值
5)、重開機
6)、關機
7)、ping測試其他電腦
8)、進入Shell命令提示字元模式
9)、執行Pf客製TOP
10)、過濾log
11)、重新啟動網頁設定
12)、執行PHP命令及pfSense工具
13)、在命令提示字元下更新系統
14)、啟動SSH服務
15)、恢復近期的設定值
16)、重新啟動PHP-FPM

06、輸入「2」後按下Enter，進行網路介面IP設定

07、輸入「2」後按下Enter，設定LAN的網路介面IP

08、輸入LAN網路介面所配置的IP，本範例輸入「192.168.168.254」後按下Enter繼續設定
※192.168.168.254為本範例情境LAN網路介面所配置的IP，請自行變更為實際狀況所需的LAN(內部網路)介面IP，勿直接跟著本範例輸入

09、以CIDR格式輸入LAN網路介面所配置的子遮罩，本範例輸入「24」後按下Enter繼續設定
※24為本範例情境的子遮罩，請自行變更為實際狀況所需的LAN(內部網路)介面IP，勿直接跟著本範例輸入
CIDR數字所代表的子遮罩
24 = 255.255.255.0 (通常居家環境都是選這個)
25 = 255.255.255.128
26 = 255.255.255.192
27 = 255.255.255.224
28 = 255.255.255.240
29 = 255.255.255.248
30 = 255.255.255.252
31 = 255.255.255.254
32 = 255.255.255.255

10、輸入LAN(內部網路)的gateway閘道IP，直接按下Enter略過設定，之後有需要在web介面再進行設定

11、輸入LAN(內部網路)的IPv6 IP，直接按下Enter略過設定，之後有需要在web介面再進行設定

12、詢問是否設定內部網路的DHCP自動配發IP服務，輸入「y」後按下Enter繼續設定
※內部網路是否需要啟動DHCP服務，請自行依據實際狀況進行設定，勿直接跟著本範例，通常內部網路只會啟動一個DHCP服務，如果您的內部網路已有DHCP服務，就不該再啟動另一台DHCP服務避免IP配發衝突的狀況。

13、輸入DHCP服務發放IP區間的起始值，本範例輸入「192.168.168.1」，該範圍可以依據實際狀況上去設定範圍

14、輸入DHCP服務發放IP區間的結束值，本範例輸入「192.168.168.10」，該範圍可以依據實際狀況上去設定範圍

15、輸入「y」套用LAN網路介面的新IP

16、提示LAN網路介面新IP已生效，可以透過瀏覽器連線該IP進行系統登入，按下「enter」後可以返回Console功能選單畫面。

17、到該步驟已完成LAN內部網路介面IP的設定，並提供內部網路DHCP服務自動派送 192.168.168.1~10區間的IP

18、到網路架構圖的PC端，驗證是否有自動取得IP

19、測試PC端透過ping測試是否可以連線到Pfsense的Lan段IP
ping 192.168.168.254
※192.168.168.254為本範例Pfsense的Lan端IP，請自行變更為實際狀況的IP進行測試。

20、透過瀏覽器登入pfsense系統，推薦使用Google Chrome或Firefox瀏覽器

21、輸入預設的帳號密碼登入pfsense系統
預設帳號：admin
預設密碼：pfsense

22、變更管理者密碼
(1)、登入後系統上方的功能選單下，會有變更管理者密碼的提示，點選「Change the password in the User Manager」變更密碼。

(2)、輸入admin帳號新的密碼

(3)、點選最下方的「SAVE」進行密碼變更儲存

23、變更WAN介面卡IP
(1)、點選「Interfaces」→「WAN」

(2)、設定WAN網路介面為固定IP方式
a.確認「EnableInterface」有勾選
b.將「IPv4 Configuration Type」選項變更為「Static IPv4」
c.將「IPv6 Configuration Type」選項變更為「None」

(3)、在下方「Static IPv4 Configuration」區域設定WAN網路介面的固定IP資訊
a.在「IPv4 Address」欄位輸入「192.192.205.205」，後方「/」下拉選項選擇「24」
b.點選「IPv4 Upstream gateway」後方的「Add a new gateway」新增WAN端得預設閘道IP

(4)、在「Gateway IPv4」欄位輸入本範例的WAN預設閘道IP「192.192.205.254」，並點選「Add」完成新增步驟

(5)、確認「IPv4 Upstream gateway」欄位有順利完成設定

(6)、在該設定頁面最下方點選「Save」

(7)、在該設定頁面最上方點選選「Apply Changes」完成設定

24、設定DNS
(1)、點選「System」→「General Setup」

(2)、在「DNS Server Settings」新增一組DNS資訊。
在DNS Servers後方依序輸入「168.95.1.1」、「Hinet」、選擇「WAN端的預設閘道」，並點選「Add DNS Server」新增次要DNS設定
※該設定並非固定值，請自行依據實際的狀況輸入主要DNS資訊

(3)、在新增的欄位後方依序輸入「8.8.8.8」、「google」、選擇「WAN端的預設閘道」
※該設定並非固定值，請自行依據實際的狀況輸入次要DNS資訊

(4)、在該頁面的最下方點選「Save」，進行DNS設定存檔

(5)、看見「The changes have been applied successfully.」代表DNS設定已順利完成變更

官網：
https://www.pfsense.org/

軟體下載快速連結：
https://www.pfsense.org/download/

適合安裝的平台(無論是實體機或是虛擬機，均需要準備兩張網路卡)：
個人電腦(PC)、伺服器硬體(HP、Dell、Lenovo等Server)、VMware ESXi、Microsoft Hyper-V、Linux KVM

小編為何會特別說該系統的「硬體移轉特性」十分的良好，是因為如果時體機硬體發生故障時，將系統移轉到其他硬體後，只要可以順利開機、網路卡可以被pfsense識別的到，接著重新定義LAN(內部網路介面)及WAN(外部網路介面)的網路卡就可以恢復服務瞜。

小編最近忙翻了，詞窮……廢話不多說，趕快開始。

01、連線到官網，點選「Download」切換到軟體下載頁面

02、小編安裝時最新的版本是2.4.5，安裝平台選擇「AMD64」即是64位元的系統，安裝媒體選擇ISO檔案格式，下載來源就採用預設不特別挑選了。
※該ISO檔下載後即可安裝在X86的硬體平台上

03、選擇光碟開機後的安裝歡迎畫面

04、按下「Accept」繼續安裝步驟

05、用鍵盤上下按鍵挑選「Install」選項，並用鍵盤Tab鍵切換到「OK」後，按下鍵盤「Enter」繼續

06、鍵盤設定不變更，採用預設值「default keymap」，並用鍵盤Tab鍵切換到「Select」後，按下鍵盤「Enter」繼續

07、磁碟格式選擇，採用預設的「Auto (UFS)」選項，並用鍵盤Tab鍵切換到「OK」後，按下鍵盤「Enter」繼續

08、開始安裝的過程畫面

09、等待系統安裝的過程畫面

10、詢問是否有要手動設定系統，用鍵盤Tab鍵切換到「No」後，按下鍵盤「Enter」繼續

11、用鍵盤Tab鍵切換到「Reboot」，按下鍵盤「Enter」後會進行重新開機，並完成Pfsense安裝步驟。

※下一單元
跟小編一起學-Pfsense防火牆-網路介面設定
https://ailog.tw/lifelog/2021/05/23/interface-config/

在接下來的單元，小編會以比較平易近人的web管理畫面優先介紹，但如果你跟小編一樣是指令控的話，在文章後半段也會介紹如果用指令模式來進行設定。

介紹的內容為
透過web管理畫面：
(1)、變更預設帳號的密碼
(2)、新增管理者帳號

透過Console的Command指令模式：
(1)、變更預設帳號的密碼
(2)、新增管理者帳號

[web管理畫面]
一、變更預設帳號的密碼
(1)、登入系統
預設帳號為admin，預設密碼為空白(無須輸入)，點選「Login」即可登入。

(2)、開啟系統管理者帳號畫面
點選左邊功能列的「System」選項，接著點選「Administrators」

(3)、查看現有管理者帳號
在系統右邊畫面可以看見目前系統的管理者帳號列表，
選擇「帳號名稱」後，點選上方的「Edit」進入帳號的編輯模式。

(4)、變更帳號的密碼
進入帳號編輯畫面後，點選後方的「Change Password」即可變更密碼。

(5)、變更密碼
在下圖畫面中，分別在「New Password」及「Confirm Password」後方的空格輸入密碼，最後點選「OK」，即可完成密碼變更的程序。

※變更admin的密碼後系統會立即登入，需要透過剛剛建立的新密碼重新登入系統。

二、新增管理者帳號
(1)、開啟系統管理者帳號畫面
點選左邊功能列的「System」選項，接著點選「Administrators」

(2)、新增帳號
點選「Create New」後接著點選「Administrator」。

(3)、輸入帳號資訊及定義密碼
在「Username」後方輸入要建立的帳號名稱(本範例採用blackjack為帳號名稱)，接著在「New Password」及「Confirm Password」後方的空格輸入密碼。

(4)、設定帳號權限
在「Administrator Profile」選擇「super_admin」這個管理者腳色權限，最後點選「OK」即可完成帳號新增。

(5)、檢查帳號列表
完成帳號新增後，在管理者帳號列表中應該可以看見剛剛建立的帳號。

[Console的Command指令模式]
一、變更預設帳號的密碼
(1)、登入系統
預設帳號為「admin」，輸入完畢後按下Enter。
預設密碼為空白(無須輸入)，直接按下Enter即可登入系統

(2)、進入系統管理者帳號維護模式
輸入「config system admin」接著按下enter送出指令，即可進入系統管理者帳號維護模式

(3)、檢查現有管理者帳號
輸入「show」接著按下enter送出指令，可將現在所有管理者帳號列表出來，
由下圖可以發現目前只有「admin」這個帳號，且沒有設定密碼。

(4)、變更admin帳號的密碼
輸入「edit admin」接著按下enter送出指令，即可進入帳號編輯模式，
輸入「set password Password」接著按下enter送出指令，即可將管理者帳號admin的密碼邊更為「Password」。

(5)、檢查密碼是否完成設定
輸入「next」並按下enter送出指令，即可離開帳號編輯模式，接著輸入「show」並按下enter送出指令，即可查看帳號狀態。
由下圖可了解到，管理者帳號admin已有順利新增密碼。

二、新增管理者帳號
(1)、進入系統管理者帳號維護模式
輸入「config system admin」接著按下enter送出指令，即可進入系統管理者帳號維護模式

(2)、新增帳號
輸入「edit 帳號名稱(本範例為blackjack)」並按下enter送出指令，即可新增帳號並進入帳號編輯模式

(3)、設定帳號權限及定義密碼
輸入「set accprofile “super_admin”」並按下enter送出指令，設定腳色權限為管理者。
輸入「set password Password」並按下enter送出指令，設定密碼為「Password(該密碼為範例，請自行定義密碼)」。

(4)、檢查帳號是否完成設定
輸入「next」並按下enter送出指令，即可離開帳號編輯模式，接著輸入「show」並按下enter送出指令，即可查看帳號狀態。
由下圖可了解到，管理者帳號blackjack已順利新增並設定了密碼。

(5)、離開系統管理者帳號維護模式
輸入「end」並按下enter送出指令，即可系統管理者帳號維護模式。

※command line模式設定階層說明：在同一階層設定採用「next」進行下一個設定，離開該階層設定採用「end」指令。
以下圖範例說明：
config system admin → 進入第一層
edit admin → 設定帳號，進入第二層
next → 離開帳號設定，回到第一層
edit blackjack → 設定帳號，進入第二層
next → 離開帳號設定，回到第一層
end →離開第一層