SSH，也稱為安全shell提供了一種遠程訪問pfSense路由器的有效方法。 使用SSH而不是其他協議（如telnet）的主要優點是安全性。 SSH流量被完全加密，可以防止其他用戶通過嗅探器進行攻擊。 SSH還可以提供多個簡單的遠程shell，可以安全地傳輸文件，並將端口轉發到遠程網絡。

啟用SSH 服務

默認情況下，為了安全起見，SSH服務被禁用。啟用服務登錄到pfSense路由器的Web界面。

1. 進入系統-高級設置-管理員訪問選項卡

2. 選中‘啟用安全Shell‘檢查框

3. 通過在“SSH端口”框中輸入新的端口號來更改默認端口。

4. 單擊頁面底部的保存按鈕應用更改並啟動服務。

強烈建議更改服務的默認端口。 互聯網上有成千上萬的機器會搜索活動的SSH服務器，並試圖強制使用root密碼。 你可以通過選擇1024以上的隨機端口號來避免成為別人攻擊的目標。添加額外的安全措施以防暴力攻擊的另一種方法是設置Denyhosts服務。

測試本地安全SSH服務

測試安全SSH服務是否運行，可以使用Putty

Putty是一款非常受歡迎的（免費）SSH客戶端，易於使用。 該程序只包含一個Putty.exe文件。

運行Putty後，在頂部的主機框中輸入pfSense路由器的LAN IP地址或主機名。 如果將服務默認端口配置為其他端口，請將端口更改為在設置中輸入的端口值。

點擊程序底部的“打開”連接到服務器。

控制臺菜單

如果連接成功，系統將提示你輸入用戶名，用戶名為root，密碼與管理員密碼相同。要訪問shell請輸入數字8。

更改系統管理員密碼

要更改系統的root密碼，請在系統菜單中打開用戶管理。點擊管理員用戶旁邊的編輯按鈕更改密碼。也可以在這裏設置其他帳戶。

設置外網訪問

為了從外部訪問SSH服務，必須創建防火墻規則以允許外部訪問通過，否則無法訪問。要允許訪問，請點擊防火墻菜單中的“規則策略”。

創建防火墻規則

通過單擊防火墻規則頁面右下角的加號創建新的防火墻規則，打開防火墻規則編輯器頁面。

新規則的默認操作是“通過”，這將允許外部地址的訪問。

1. 設置接口為WAN。

2. 協議選擇TCP，這是SSH運行的協議。

3. 目的地選擇 “WAN address（WAN地址）”。

4. 目的地端口範圍選擇22，或在SSH框中配置的SSH運行的端口。“到”端口可以留空。

5. 在描述欄輸入備註 “開啟外網訪問SSH”

6. 單擊“保存”完成防火墻規則設置並應用更改。

經過上面的設置，現在已經可以在外網通過SSH遠程訪問pfsense防火墻了。

設置基於密鑰的認證

即使您更改了SSH的監聽端口，仍可以通過端口掃描發現該服務。 一旦發現機器人可以對服務器發起暴力攻擊，試圖找到密碼較弱的帳戶。

為了使服務更安全，可以啟用基於密鑰的身份驗證。 通過啟用密鑰認證，黑客可以嘗試各類懷疑密碼，但沒有私鑰，將永遠不會被授予訪問權限。

要關閉密碼身份驗證，並且需要安全的RSA密鑰，請啟用“禁用安全shell的密碼登錄”復選框，可以在系統-高級設置-管理員訪問選項卡上找到這個設置。

生成密鑰對

要利用基於密鑰的登錄，我們必須創建一對密鑰。 公鑰將被輸入到pfSense，私鑰將被存儲在客戶端上。

生成密鑰對的最簡單方法是使用Puttygen程序。單擊然後生成按鈕，然後移動鼠標創建一些隨機性的數值。

添加公鑰到服務器

生成密鑰對之後，需要在pfSense的用戶帳戶中添加公鑰。

1. 打開系統-用戶管理菜單。

2. 在要添加密鑰的用戶旁邊，單擊“編輯用戶”按鈕。Admin用戶即為SSH的root帳號。

3. 找到“認證SSH密鑰”，將Puttygen生成的公鑰粘貼到框中。

4. 單擊保存。

保存私鑰

最後一步是保存相應的私鑰並配置Putty客戶端來使用它。出於額外安全考慮，我建議為私鑰設置密碼。

沒有密碼短語，任何具有私鑰文件副本的人都可以連接到服務器。 通過添加密碼，密鑰不能使用，而不知道這個短語是什麽。

要將私鑰存儲在本地計算機上，請單擊Puttygen中的保存私鑰按鈕。

要將密鑰加載到Putty中，請轉到連接 \ SSH下找到的認證設置頁面。 單擊瀏覽按鈕，找到保存私鑰文件的位置。

測試密鑰

密鑰加載到客戶端後，您可以嘗試連接到SSH服務器，應該會看到如下面的屏幕截圖中的消息，指出公鑰正在用於身份驗證。

如果為私鑰分配了密碼短語，則會在此時提示您輸入密碼。

使用WinSCP通過SSH傳輸文件

SSH也可用於使用SCP（安全復制協議）將文件導入到pfSense或從pfSense導出文件。 使用SCP，可以使用現有的SSH認證系統，將文件安全地傳輸到遠程系統或從遠程系統導入。

對於Windows用戶，可以使用WinSCP程序。 WinSCP程序提供了一個易於使用的界面，用於通過SSH傳輸文件。

啟動WinSCP後，在主機名中輸入pfSense的外部ip地址，輸入你設置的SSH端口號。使用與SSH連接時使用的相同憑據登錄。

連接建立後，將直接在右側列出遠程系統的列表。 屏幕左側顯示本地文件系統。

WinSCP界面基本上與Windows資源管理器相同，可以在遠程和本地計算機之間拖放文件和目錄。

Winscp下載地址：https://winscp.net/eng/download.php

2017-7-3

本文出自 “pfsense交流” 博客，謝絕轉載！

遠程SSH訪問pfSense