Расширенные настройки pfSense - System Advanced
Раздел System > Advanced объединяет параметры, требующие понимания архитектуры pfSense и влияющие на безопасность, производительность и стабильность системы. Неверная конфигурация может привести к потере доступа к веб-интерфейсу или деградации сетевых функций. Перед изменением расширенных параметров рекомендуется выполнить резервное копирование конфигурации .
Доступ администратора (Admin Access)
Вкладка Admin Access управляет протоколами и параметрами доступа к интерфейсу управления межсетевым экраном.
Веб-интерфейс (webConfigurator)
Протокол и порт
| Параметр | Описание | По умолчанию |
|---|---|---|
| Protocol | HTTP или HTTPS. HTTPS рекомендуется для всех сред | HTTPS |
| SSL/TLS Certificate | Сертификат для HTTPS-соединения. Самоподписанный генерируется при установке | Автоматический |
| TCP Port | Порт веб-интерфейса | 443 |
| Max Processes | Количество рабочих процессов nginx | 2 |
Увеличение Max Processes до 4-6 может потребоваться при одновременной работе нескольких администраторов. Каждый процесс потребляет дополнительную память.
Warning:
Не публикуйте веб-интерфейс pfSense в недоверенные сети. При необходимости удалённого доступа используйте VPN.
Перенаправление и безопасность
| Параметр | Описание | Рекомендация |
|---|---|---|
| WebGUI Redirect | Перенаправление HTTP (порт 80) на HTTPS-порт GUI | Включить, если порт 80 не нужен другим сервисам |
| HSTS | HTTP Strict Transport Security - браузер запоминает HTTPS-only | Включить для постоянных администраторов |
| OCSP Must-Staple | Принудительное OCSP-сшивание для сертификата GUI | Включить при использовании публичного CA |
| Login Autocomplete | Разрешает браузерам сохранять пароль | Отключить в средах с общими рабочими станциями |
| Anti-Lockout Rule | Запрещающие правила не блокируют доступ к GUI/SSH на LAN | Не отключать без альтернативного доступа |
Проверки безопасности
DNS Rebind Check - предотвращает атаки DNS rebinding, отклоняя DNS-ответы, содержащие частные IP-адреса. Отключите, если внутренние DNS-записи указывают на pfSense по приватному адресу и доступ к GUI блокируется.
HTTP_REFERER Enforcement - проверяет заголовок Referer для защиты от межсайтовых атак. Может вызывать ложные блокировки при использовании прокси-серверов, модифицирующих заголовки.
Alternate Hostnames - список дополнительных имён хостов, принимаемых проверками DNS Rebind и HTTP_REFERER. Добавьте сюда все имена, через которые администраторы обращаются к интерфейсу.
Browser Tab Text - по умолчанию заголовок вкладки показывает hostname первым, затем имя страницы. Включение опции меняет порядок.
SSH-доступ
| Параметр | Описание | По умолчанию |
|---|---|---|
| Enable Secure Shell | Активирует демон SSH, генерирует ключи при первом запуске | Отключён |
| SSHd Key Only | Метод аутентификации: пароль или ключ, только ключ, оба | Пароль или ключ |
| Allow Agent Forwarding | Разрешает перенаправление SSH-агента | Отключено |
| SSH Port | Порт SSH-сервера | 22 |
Рекомендации по безопасности SSH:
- Используйте аутентификацию только по ключам в production-средах
- Смена порта с 22 на нестандартный обеспечивает минимальную защиту и не заменяет правила межсетевого экрана
- SSH-ключи пользователей настраиваются в разделе управления пользователями
- Для доступа из внешних сетей используйте VPN, а не прямой SSH через WAN
Последовательная консоль
| Параметр | Описание | По умолчанию |
|---|---|---|
| Serial Terminal | Включает консоль на первом последовательном порту | Отключено |
| Serial Speed | Скорость передачи данных (бит/с) | 115200 |
| Primary Console | Выбор основной консоли: видео или последовательная | Video (VGA) |
Включение последовательной консоли требует перезагрузки. На безголовых системах (серверы без видеовыхода) последовательная консоль часто является единственным средством физического доступа.
Защита консольного меню
Параметр Console menu protection включает парольную защиту физической консоли с использованием учётных данных веб-интерфейса. Это дополнительная мера защиты, не заменяющая физическую безопасность серверного помещения. Требует перезагрузки для активации.
Межсетевой экран и NAT (Firewall & NAT)
Вкладка Firewall & NAT содержит параметры обработки пакетов, таблицы состояний и трансляции адресов.
Обработка пакетов
Параметры IP-пакетов
| Параметр | Описание |
|---|---|
| IP Do-Not-Fragment | Очищает бит DF в пакетах вместо их отбрасывания. Решает проблемы совместимости с ОС, генерирующими фрагментированные пакеты с установленным DF |
| IP Random ID | Заменяет предсказуемые значения поля IP ID случайными. Применяется только к нефрагментированным пакетам |
| Firewall Scrub | PF-нормализация пакетов. Отключение может потребоваться для NFS и VoIP-трафика |
Оптимизация межсетевого экрана
Параметр Firewall Optimization Options определяет алгоритм истечения записей таблицы состояний:
| Режим | Описание | Применение |
|---|---|---|
| Normal | Стандартный алгоритм | Большинство сред |
| High Latency | Увеличенные таймауты | Спутниковые и высоколатентные каналы |
| Aggressive | Ускоренное истечение неактивных соединений | Высоконагруженные среды |
| Conservative | Максимальное сохранение соединений | Среды, где критична непрерывность сессий |
Таблица состояний
| Параметр | Описание | По умолчанию |
|---|---|---|
| Maximum States | Максимальное число отслеживаемых соединений. Каждое состояние потребляет около 1 КБ памяти | ~10% RAM |
| Maximum Table Entries | Максимальное число записей в адресных таблицах (алиасы, заблокированные хосты) | 400 000 |
| Maximum Fragment Entries | Максимальное число фрагментов в таблице пересборки (при включённом scrub) | 5 000 |
Адаптивные таймауты
Управляют поведением таблицы состояний при приближении к предельной ёмкости:
- Adaptive Start - порог начала сокращения таймаутов (по умолчанию 60% от Maximum States)
- Adaptive End - порог максимального сокращения (по умолчанию 120% от Maximum States)
Между этими порогами таймауты линейно масштабируются, предотвращая переполнение таблицы.
Параметры VPN
| Параметр | Описание |
|---|---|
| VPN IP Do-Not-Fragment | Аналог IP Do-Not-Fragment, но применяется только к VPN-трафику |
| IP Fragment Reassemble | Буферизация фрагментов до формирования полного пакета перед фильтрацией |
| MSS Clamping | Ограничение максимального размера сегмента TCP в IPsec-туннелях. По умолчанию: 1400 байт |
Расширенные параметры межсетевого экрана
| Параметр | Описание |
|---|---|
| Disable Firewall | Полностью отключает PF, превращая устройство в маршрутизатор. Также отключает NAT |
| State Policy | Interface Bound (более безопасный) или Floating (для асимметричной маршрутизации) |
| Static Route Filtering | Пропуск правил для трафика, входящего и выходящего через один интерфейс |
| Disable Auto-added VPN rules | Отключает автоматические правила для IPsec, передавая контроль администратору |
| Disable Reply-To | Отключает автоматическую привязку ответного трафика к входящему интерфейсу |
| Disable Negate rules | Удаляет автоматические правила для локальной и VPN-связности в Multi-WAN |
| Allow APIPA | Снимает блокировку трафика 169.254.0.0/16 |
Bogon Networks
Параметр Update Frequency определяет частоту обновления списков bogon-сетей (зарезервированные и нераспределённые IP-диапазоны). Регулярное обновление важно, так как IANA периодически выделяет новые блоки адресов.
NAT Reflection
NAT Reflection позволяет внутренним клиентам обращаться к портам, проброшенным через NAT, используя публичный IP-адрес межсетевого экрана.
| Режим | Описание | Ограничения |
|---|---|---|
| Disabled | Port forwards доступны только извне | По умолчанию |
| Pure NAT | Отражение через NAT-правила | Лучшая масштабируемость |
| NAT + Proxy | Отражение через прокси-программу | Ограничение: 500 портов в диапазоне, 1000 портов всего |
Дополнительные параметры отражения:
- Reflection Timeout - принудительный таймаут отражённых соединений в режиме NAT + Proxy
- NAT Reflection for 1:1 NAT - включает отражение для статических NAT-маппингов
- Automatic Outbound NAT for Reflection - создаёт правила исходящего NAT для отражения, когда клиент и сервер находятся в одной подсети
TFTP Proxy
Встроенный прокси для TFTP-протокола, позволяющий внутренним клиентам подключаться к внешним TFTP-серверам. Для активации необходимо выбрать интерфейсы.
Таймауты состояний
Раздел State Timeouts позволяет точно настроить протокол-зависимые таймауты (в секундах) для TCP, UDP, ICMP и других протоколов. В большинстве случаев таймаутами управляет режим оптимизации, но ручная настройка может потребоваться для специфических устройств или приложений.
Сетевой стек (Networking)
Вкладка Networking содержит параметры IPv6, аппаратной разгрузки и журналирования сетевых событий.
IPv6
| Параметр | Описание |
|---|---|
| Allow IPv6 | Управляет блокировкой IPv6-трафика. Отключение блокирует весь IPv6, но не отключает IPv6-функции в конфигурации |
| IPv6 over IPv4 Tunneling | Перенаправляет трафик протокола 41 (RFC 2893) на указанный IPv4-адрес. Требует правил, разрешающих протокол 41 на WAN |
| Prefer IPv4 over IPv6 | Межсетевой экран предпочитает IPv4 при наличии обоих типов записей в DNS. Влияет на обновления и пакеты, не на клиентов |
| IPv6 DNS Entry | При включении создаются только IPv4-записи DNS для самого межсетевого экрана |
Аппаратная разгрузка (Hardware Offloading)
Параметры аппаратной разгрузки управляют передачей вычислительных задач сетевому адаптеру. В контексте маршрутизаторов и межсетевых экранов эти функции часто вызывают проблемы.
| Параметр | Действие при включении | Рекомендация |
|---|---|---|
| Hardware Checksum Offloading | Отключает аппаратную проверку контрольных сумм | Включить (отключить offloading) для Realtek и виртуальных адаптеров |
| Hardware TCP Segmentation Offloading | Отключает TSO | Включить (отключить offloading) - TSO нежелателен для маршрутизаторов |
| Hardware Large Receive Offloading | Отключает LRO | Включить (отключить offloading) - LRO снижает производительность маршрутизации |
Warning:
Флажки в этом разделе работают инвертировано: установка флажка отключает функцию разгрузки. Это может ввести в заблуждение - внимательно читайте описание каждого параметра.
Virtual NIC ALTQ Support - включает поддержку ALTQ для виртуальных сетевых адаптеров гипервизора, что необходимо для работы шейпера трафика в виртуализированных средах. Требует перезагрузки.
Подавление ARP-сообщений
Параметр Suppress ARP Messages предотвращает запись в лог сообщений об изменении MAC-адреса для IP-адресов. Полезно в средах с частыми легитимными изменениями привязки (например, при использовании VRRP или миграции виртуальных машин).
Уведомления (Notifications)
Вкладка Notifications настраивает каналы оповещения о системных событиях.
Мониторинг сертификатов
| Параметр | Описание |
|---|---|
| Certificate Expiration | Включает уведомления о приближающемся истечении сертификатов |
| Ignore Revoked Certificates | Исключает отозванные сертификаты из CRL-проверок |
| Expiration Threshold | Порог уведомления в днях (по умолчанию 27). Используется меньшее значение из указанного и 1/3 оставшегося срока действия |
SMTP (электронная почта)
Основные параметры для отправки уведомлений по электронной почте:
| Параметр | Описание |
|---|---|
| E-mail Server | Адрес SMTP-сервера |
| SMTP Port | Порт (25 или 587 для submission) |
| Connection Timeout | Таймаут подключения в секундах |
| Secure SMTP Connection | Прямое SSL/TLS-соединение (не STARTTLS) |
| Validate SSL/TLS | Проверка сертификата SMTP-сервера |
| From / To | Адреса отправителя и получателя (поддерживается несколько через запятую) |
| Auth Username / Password | Учётные данные для аутентифицированного SMTP |
| Auth Mechanism | PLAIN или LOGIN |
После настройки используйте кнопку Test для проверки доставки.
Telegram, Pushover, Slack
pfSense поддерживает отправку уведомлений через мессенджеры и push-сервисы:
| Сервис | Требуемые параметры |
|---|---|
| Telegram | API-ключ бота, Chat ID или username канала |
| Pushover | API-ключ, User Key, приоритет и звук уведомления |
| Slack | API-ключ, имя канала |
Все сервисы поддерживают тестовую отправку для проверки конфигурации.
Звуковые уведомления
- Console Bell - системный динамик подаёт звуковой сигнал при аварийных сообщениях
- Startup/Shutdown Sound - звуковое уведомление при запуске и остановке системы
Прочие параметры (Miscellaneous)
Вкладка Miscellaneous содержит параметры криптографического ускорения, управления питанием, мониторинга шлюзов и RAM-дисков.
Криптографическое ускорение
| Параметр | Описание |
|---|---|
| IPsec-MB | Программное ускорение AES-CBC, AES-GCM и ChaCha20-Poly1305 для VPN |
| Cryptographic Hardware | Аппаратное ускорение: Intel QAT, BSD Crypto Device, AES-NI или их комбинации |
Выбор метода ускорения зависит от аппаратной платформы. AES-NI доступен на большинстве современных процессоров Intel и AMD и обеспечивает значительное ускорение IPsec и OpenVPN.
Термодатчики
| Значение | Описание |
|---|---|
| None/ACPI | Чтение датчиков через стандартный интерфейс ACPI |
| Intel Core | Загружает модуль coretemp для процессоров Intel |
| AMD K8, K10, K11 | Загружает модуль amdtemp для процессоров AMD |
Управление питанием
Speed Shift - аппаратное управление частотой процессора. Процессор самостоятельно изменяет частоту без участия ОС. Параметр Power Preference (0-100) смещает баланс между энергоэффективностью и производительностью.
PowerD (SpeedStep) - программное управление частотой процессора:
| Параметр | Описание |
|---|---|
| Enable PowerD | Активирует демон управления частотой |
| AC Power Mode | Режим при питании от сети: Maximum, Minimum, Adaptive, Hiadaptive |
| Battery Power Mode | Режим при питании от батареи |
| Unknown Power Mode | Режим при неопределённом источнике питания |
Мониторинг шлюзов
Параметры управляют поведением таблицы состояний при сбоях и восстановлении шлюзов:
| Параметр | Описание |
|---|---|
| State Killing on Gateway Recovery | Управляет очисткой состояний при возвращении приоритетного шлюза |
| State Killing on Gateway Failure | Не очищать / очистить для упавших шлюзов / очистить все состояния |
| Skip Rules When Gateway is Down | Пропуск правил с привязкой к недоступному шлюзу |
Параметр Skip Rules When Gateway is Down удаляет правила целиком вместо маршрутизации через шлюз по умолчанию. Трафик будет обработан следующим совпадающим правилом.
RAM-диски
Использование RAM-дисков для /tmp и /var снижает износ SSD/CF-карт и ускоряет операции ввода-вывода:
| Параметр | Описание | По умолчанию |
|---|---|---|
| Use RAM Disks | Включает RAM-диски (требует перезагрузки) | Отключено |
| /tmp Size | Размер RAM-диска для /tmp | 40 МБ |
| /var Size | Размер RAM-диска для /var | 60 МБ |
Рекомендуемый размер /var для production-систем: 512-1024 МБ.
Периодические резервные копии - интервал (в часах) между сохранениями данных RAM-дисков на постоянное хранилище:
| Данные | Описание |
|---|---|
| RRD Data | Базы данных графиков |
| DHCP Leases | Таблицы аренды DHCP |
| Log Directory | Системные логи |
| Captive Portal Data | Данные портала авторизации |
Прочие параметры
| Параметр | Описание |
|---|---|
| Proxy Support | Настройки прокси-сервера для исходящих соединений (URL, порт, аутентификация) |
| Load Balancing | Sticky Connections и Source Tracking Timeout для сохранения привязки сессий |
| Watchdog | Аппаратный watchdog-таймер для автоматической перезагрузки при зависании |
| Kernel PTI / MDS Mitigation | Защита от уязвимостей Spectre/Meltdown (влияет на производительность) |
| PHP Memory Limit | Ограничение памяти для процессов GUI |
| Hard Disk Standby | Время простоя (минуты) до перевода диска в режим энергосбережения |
Порядок настройки
Рекомендуемая последовательность настройки расширенных параметров после завершения общей конфигурации :
- Настройте протокол и порт веб-интерфейса (Admin Access)
- Включите и сконфигурируйте SSH при необходимости
- Проверьте параметры аппаратной разгрузки (особенно в виртуальных средах)
- Настройте каналы уведомлений
- Оптимизируйте параметры межсетевого экрана под нагрузку
Для управления через физическую или последовательную консоль перейдите к разделу консольный доступ .