Easy

公司最近已经陆续有两台运行在CF卡上的Pfsense罢工，最终CF卡都无法读写。 目前已经紧急将所有使用CF卡运行的PfSense的机器更新为硬盘，这些CF卡(基本都是Sandsk最高端的)在这种工作强度下2年基本就不能工作了。看来还是硬盘靠谱一些，价格还便宜，两年换一块就行了。

不知道是我安装的这个版本问题，还是pfSense 1.2版的Traffic Shaper确实没有做好。在进行Traffic Shaper设置的时候不只一次的报告配置文件错误，严重的是在配置文件已经被Traffic Shaper程序破坏的情况下修改NAT或防火墙规则时就会造成规则失效。如果这台防火墙位于IDC，而远程控制的规则失效，问题是非常可怕的。

最近我管理的一台pfSense就遇到这种情况，因为我对Traffic Shaper不太熟悉，委托香港同事帮忙设置，结果Traffic Shaper抽风，造成很多NAT规则与虚拟IP都无效了。头痛的是恢复到上一次的配置也无法解决，而且重启pfSense后竟然Web及SSH都无法连接。解决办法如下：

1、使用远程KVM访问控制台，将pfSense恢复到默认设置

2、重启后Lan被恢复到192.168.0.1，因此首先设置Lan的IP，另外Wlan的IP被设置为DHCP，这时先不要管它，从控制台进入Shell后手动修改IP：
1) ipconfig em1 WANIP netmask 255.255.255.x    ( WLANIP是IDC分配的IP地址。)
2) route add default GETWAYIP   (GETWAYIP 是IDC的网关地址)
3) 在/etc/resolv.conf 增加DNS服务器：nameserver x.x.x.x
3、将之前备份的配置文件放在一台可以访问的服务器上，名为config.xml，如果之前没有备份配置文件的话，可以先在Vmware里建立一个pfSense，主要配置一下WLAN的IP,并建立一条允许访问WLAN的WebGUIPort的规则。然后将配置文件导出即可。需要注意的是如果Vmware里的网卡型号与真机上的不一样，需要修改一下config.xml内 interfaces->lan->if里的网卡名称。
4、在pfSense主机上将配置文件下载下来：
1)fetch -o /conf/config.xml  http://url/config.xml
2)fetch -o /cf/conf/config.xml  http://url/config.xml
5、重启防火墙，使用Web登录调整即可。

总结：pfSense故障后，如果恢复到缺省设置的话，外网无法通过Web访问，如果将pfSense使用在企业内部的话是没问题的，但如果pfSense位于远程或IDC的话，就会造成一但重设后，管理员就会被自己的防火墙拒之门外，因此只能通过FreeBSD命令来配置WANIP及相关规则来打开管理员大门。