安装 OPNSense 防火墙

虽然云服务越来越流行，但是最近还是想学习一下如何从零开始架设一个网站。为了防止以后遗忘一些细节，决定把自己实验的东西记录下来作为以后的参考，顺便也为其他有需要的同学们作个参考。

个人觉得，自己架设网站的最总要的东西就是安全防护。网站程序能不能正常运行先放一边，服务器被人黑、数据库被人搞，用户信息泄露弄不好要惹上官司的。所以第一步先把防火墙弄好，安全第一。墙里面随便怎么搞都是自己的事。

开源防火墙最火的莫过于 pfsense，网络上大多数教程和讨论也都是围绕 pfsense 的。但是在考虑了诸多因素（穷）之后，我还是毅（Wan）然（Ban）决（Wu）然（Nai）的选择的 pfsense 的分支，OPNSense。这其中，最重要的原因就是 pfsense 需要支持 AES-NI 的 CPU，然而我只有一块上古时期的 Core E6300（泪目）。其他有条件的同学可以使用 Intel i3/5/7系列的 CPU，或者 AMD 的 CPU，基本都支持 AES-NI。

OPNSense 是开源防火墙，可以在官方下载页面（https://opnsense.org/download/）免费下载最新版的安装包。安装包有不同版本，我因为日常用水果电脑，所以下载的 VGA 版本，文件后缀名为.img。官网页面中也有详细的、针对不同平台的启动 U 盘制作方法。对 OSX 来说：1. 用 diskutil list 命令找出 U 盘的盘号；2. 用 sudo dd if=OPNsense-XXXX-OpenSSL-vga-amd64.img of=/dev/rdiskXXXX bs=64k 命令制作启动 U 盘。

开机设置 u 盘启动，等它加载系统文件。如果电脑配置像我这样比较老的话，用时可能会比较长，但是千万别走开，因为一会儿它会要求“5秒之内按任意键跳过自动设置”。OPNSense 的自动设置比较迷，在我的印象里从来没正确过。所以如果不想一会儿自己再重新弄一次的话，就老老实实等在屏幕前面。

OPNSense 安装初始页

进入手动配置之后，首先屏幕上会列出本机安装的所有网卡的编号、MAC 地址和芯片名。如果是单插口网卡或者各个网卡芯片不一样的话，还好分辨编号所对应的插口。如果像我这样插了一个多口网卡，又完全不知道每个插口的 MAC 地址，就会比较2。对此我的解决方案是，挨个试。网线插入不同插口的时候，屏幕上会显示出来 “XX 插口上线”。试的过程中建议把编号和 MAC 地址都记下来，以后可能会用到。

网卡设置页

第一项设置是“是否要设置虚拟局域网”，输入 n，先跳过去；第二项是输入互联网网线插口；第三项是输入局域网网线插口；第四项是输入其他插口，跳过去。系统一通操作之后，如果顺利，屏幕上会显示防火墙的外网地址和内网地址。

登陆 root 用户（默认密码 opnsense），如果有问题或者之前手滑了，现在可以再重新设置。我们选择选项7，输入百度或者谷歌的 IP 地址，如果没有丢包，说明我们的防火墙已经顺利连接到了互联网。

OPNSense 初次设置

注意，到现在安装还没有完成，现在还都是演示模式。要登陆安装器才开始安装到硬盘上，否则下次开机还得从头再来。登陆用户名 installer，密码opnsense，然后一路回车搞定重启。重启后按照 LAN 口的网址访问 OPNSense 的网页。

OPNSense 安装

首先看到的是设置向导，页面默认鸟文，不要怕，先点 NEXT，下一个页面找到 Language 选项换成 Chinese，其他先不管直接点两次 NEXT。世界突然明亮了。