家裡原本用的Asus RT-AC66U B1好用是好用,不過在無線網路改用Linksys的mesh機種來負責之後,它的無線網路功能就被我關了,再加上之前在測試nextcloud的某些功能時發現,66u的nat loopback很吃cpu,而且會成為速度瓶頸,就開始想要換一台軟體防火牆來玩玩…
首先是硬體選擇。現在市面上買得到很多無風扇小主機,中國廠商在這方面顯得創意無限,尤其在淘寶上隨便搜尋[軟路由],就有一海票機種可以挑選。雖然說純做軟路由的硬體需求在家用範圍並不高,不過還是選了這台intel 10代家族的6405u搭8gb ddr4使用,保留之後可能想做別的用途的空間。我買的這台總共有6個網路孔,網路擴充空間相當充裕(是想拿來幹嘛…)
系統方面選擇了10多年前打工時期用過的pfSense。這個基於freebsd的open source防火牆方案目前到了2.5.2版,有活躍的社群當靠山。整個下載過程到裝完非常快,不過搞網路設備的都知道,設定才是大魔王。
wan的部分沒什麼好說的,家裡用cable系統的網路,dhcp就對了。lan的部分,原本想要省事用bridge的方式來使用主機上的網孔,後來發現這個做法設定超繁瑣(要設定bridge,把bridge設為lan介面,再把dhcp server設在bridge上面),而且社群幾乎一面倒地建議[把swich的工作交給swich],因此還是作罷。剩下的網孔等那天需要實體隔離的subnet的時候再說????。
pfSense既然定位為防火牆,就要好好利用它的各式過濾功能。設定好內部的nat和port forwarding功能讓服務都能通之後,再安裝了強大的pfBlockerNG,提供各種阻擋名單(擋廣告,擋惡意網站,擋惡意ip,想到的都能擋),裝完之後廣告都跳不出來了。不過全擋的壞處是,有些網站有ad blocker的偵測,發現你擋廣告就不給看,還是得花一點功夫把常用也相對安全的廣告商手動加到開放清單,給人家留點生路。
目前這台軟路由cpu load還沒超過10%過,感覺用這個硬體真是overkill了。無風扇的情況下溫度都維持在28度左右,不過最近天氣冷,溫度還有待夏天驗證????。這台小主機硬體本身才6000元左右的價格,拿來做高效能防火牆使用,比起市面上無線分享器的價格,真的非常超值,適合diy族群。