替代pfSense，用于ESXi中托管的可生产的防火墙解决方案。

Question

我正在寻找pfSense (2)的替代方案，它可以在VMWare ESXi中虚拟化。到目前为止，我已经经历了几个pfSense的问题，我觉得它不是一个完全完成或抛光的产品。每当发生任何错误(IP地址冲突、squid错误配置等)，整个过程就会变得疯狂，需要重新启动或至少5-10分钟来修复自己。在许多情况下，即使重置状态表也无助于解决问题，而且只会使问题更加复杂。

我认为问题的一部分是我在pfSense方面可能真的很糟糕，我是新的，但我从来没有遇到过这么多的防火墙设备的问题，这是一个使用检查点和Linksys的背景，甚至是偶尔的coming。当然，我们现在所有的东西都是在思科的ASA上运行的(至少是物理主机)，我希望我能在VMWare上运行ASA，但遗憾的是，这是不可能的。

请为以下两种方法提供任何建议：( a)获得pfSense稳定的指导；或( b)其他可虚拟化的防火墙设备。

Answer 1

答案很可能是:不要那样做。无论你是做什么来打破pfSense，弄清楚是什么，不要再这样做了。

我已经处理了大量基于linux和BSD的路由器发行版，而pfSense是目前为止最稳定和最灵活的一种。

虽然服务器故障上有一些pfSense人员，但我建议向pfSense 邮寄名单提出具体的问题。项目创始人和许多核心开发人员都很活跃，还有比我们现在更多的活跃pfsense用户。

Answer 2

根据我的经验，为了使pfSense配置同步/pfsync运行，您需要在端口组上启用(Promis市式)模式，而vswitch和b)将标志设置为

Advanced Settings -> Net -> ReversePathFwdCheckPromisc => 1 

无论出于什么原因，否则通信量都无法同步。我的环境中有2个NIC处于活动/待机状态。

如果没有这样的设置，没有预见性模式，我看到了许多与您所描述的相似的奇怪行为。看看能不能帮上忙。