0x00 前言

---

前段時間公司防火牆所在物理機當機了，導致公司網路癱瘓。公司各網站無法訪問，所以才想到去研究這個Pfsense HA。正好公司在準備舉辦一個比賽，作為安全工作者，肯定有壓力啦！！各個方面都要去考慮是否存在安全隱患。這個防火牆必然也在考慮的範圍之內，如果這個防火牆被破壞者弄掛了怎麼搞了？？？那比賽是不是就沒法進行了。

這名字有點高大上的感覺啊！其實說白了，就是弄兩pfsense防火牆，一臺掛了，另外一臺馬上接管工作，不至於中斷業務。

0x01 Pfsense&&HA簡單介紹

---

pfSense是一個基於FressBSD，專為防火牆和路由器功能定製的開源版本。它被安裝在計算機上作為網路中的防火牆和路由器存在，並以可靠性著稱，且提供往往只存在於昂貴商業防火牆才具有的特性。

HA(High Available), 高可用性群集，是保證業務連續性的有效解決方案，一般有兩個或兩個以上的節點，且分為活動節點及備用節點。通常把正在執行業務的稱為活動節點，而作為活動節點的一個備份的則稱為備用節點。當活動節點出現問題，導致正在執行的業務（任務）不能正常執行時，備用節點此時就會偵測到，並立即接續活動節點來執行業務。

0x02 Pfsense HA深入

---

簡單繪了個拓撲圖：

拓撲圖確實有點不咋的啊！可以說是有點難看，有什麼好的軟體可以給我推薦下啊！

簡單的說下上面那個圖，這個實驗我是在我的虛擬機器上面弄的。

Pfsense1 + Pfsense2 = Pfsense HA

WAN:192.168.1.101 192.168.1.102 192.168.1.254

GW: 192.168.1.1 192.168.1.1 192.168.1.1

LAN:1.1.1.1 1.1.1.2 1.1.1.254

也就是在三層交換機上只要一條預設路由就好，這個條預設路由就指向1.1.1.254。 這個ip是由Pfsense1和Pfsense2虛擬出來的。

如果你仔細觀察的話，會發現我少了東西。呵呵！就是中間不是還有一根線麼？？？

怎麼你這裡沒體現出來了？？？？

中間這根線是心跳線，是 MASTER 和BACKUP 通訊用的，當BACKUP發現MASTER掛了，它就會自動切換狀態變成MASTER。這裡我用的LAN口這根線做為心跳線。（這樣有個缺點就是廣播包有點多，對交換機的負擔相對有點重）

注：在弄Pfsense HA過程中Pfsense1和Pfsense2有兩個狀態一個是MASTER，一個是BACKUP。

0x03 具體實現Pfsense HA

---

A 增加虛擬ip

增加wlan口的虛擬ip

增加lan口的虛擬ip

都弄完成了

B CARP設定

下面還有各種同步選項，請根據自己的實際情況去勾選。

弄好了後，你就可以登入到http://1.1.1.254/index.php 上去配置。

也就是MASTER防火牆上去配置。在MASTER防火牆上配置了資料會同步到BACKUP（有個前提啊！前提是你勾選了那個勾。），所以不用當心這個資料的問題。

0x04 簡單的看個埠轉發吧

---

這裡需要在MASTER防火牆做了個埠轉發

到BACKUP上面來看，資料已經同步過來了。

說明下：配置防火牆請一定要到MASTER防火牆上面去配置，在BACKUP上配了是沒用的。

我把MASTER防火牆關機，BACKUP防火牆馬上接管成為MASTER防火牆， 照樣不影響訪問254。

好吧！就介紹到這裡，有問題歡迎大家來和我交流。