需要把家中的 LAN 一分為二, 新 LAN 給 un-trust 的裝置, 舊 LAN 給 trusted 裝置. 用 pfSense 實現. 正確做法是設定 vLAN, 但比較煩. 懶人做法就是在現有的 LAN 下再分 NAT.

因  server 只有一個 LAN port, 所以今天去買了 Intel PRO/1000 GT Desktop Adapter PCI card, 順便 upgrade ESXi 到 6.0. Install ESXi 時, 說 unsupported hardware detected pci info 8086:107c...... 無視警告繼續安裝...... 完成後, 用 vSphere Client 連上, 發現沒有問題, 兩張 network card 都能用.

基本 pfSense setup, 把現有的舊 LAN (192.168.1.0/24) 插入 pfSense 的 WAN, 寫入 static IP + gateway, 再在 LAN interface (192.168.2.0/24) 啟用 DHCP, 測試確認在 LAN 上可連到 internet. 第一步完成.

pfSense 的 webGUI by default 只有 LAN 才可進入, 但我這個情況剛好相反.
在 pfSense 裡 Firewall -> Rules -> WAN, 加入 rule, 允許由 WAN 進入 webGUI.

禁止 LAN 進入 webGUI, 先到 System -> Advanced, 選了  disable webConfigurator anti-lockout rule., 再在 Firewall -> Rules -> LAN, 加入下圖的 rule 去實現. 同時最重要是加 rule, 禁止 LAN 連去 WAN (即 trusted LAN) 的 network.