ttyd 是一个轻量级的 Web Terminal 项目,它能够将本地终端通过 WebSocket 映射到浏览器中。与传统的 Web Shell 不同,ttyd 提供的是一个真正的 TTY(Pseudo Terminal)。
虽然 pfSense 自带 WebGUI 功能已经非常完善,但在某些场景下,直接获得一个完整的终端环境仍然更加方便。为了解决这一需求,我开发了一个pfSense 插件,将优秀的 Web Terminal 项目 ttyd 集成到 pfSense 中,让管理员能够直接通过浏览器访问防火墙终端,对于习惯命令行管理 pfSense 的管理员来说,这意味着浏览器中的终端体验几乎与本地 SSH 完全一致。
开发思路
为了确保系统稳定,不对pfSense防火墙造成安全隐患,本插件遵循以下开发思路:
- 不通过 PHP 执行系统命令
- 不绕过 pfSense 身份认证
- 不自行管理用户权限
- 不实现额外的 Shell 环境
浏览器连接后实际执行的是:
sh printf "login: "; read -r user; ssh -tt "[email protected]"
用户输入用户名和密码后,ttyd 会通过 SSH 登录本机:
127.0.0.1:22
因此:
- 身份认证由 pfSense SSH 服务负责
- 用户权限由系统账户决定
- 审计日志仍然记录在 SSH 服务中
- Shell 环境与普通 SSH 登录保持一致
这种方式最大程度复用了 pfSense 现有的安全机制。
适用平台
插件内置离线运行环境,支持pfSense CE(FreeBSD 15)、pfSense Plus(FreeBSD 16),安装时会自动检测系统版本,并选择对应的运行环境。为了避免影响 pfSense 自身的软件包系统,ttyd 运行时被安装到独立目录,即使未来 pfSense 升级,也不会轻易影响 ttyd 的运行。
安装方法
pkg add -f pfSense-pkg-ttyd.pkg
完成后刷新 pfSense WebGUI,转到Diagnostics > ttyd 即可使用。如下图所示:
卸载方法
pkg delete pfSense-pkg-ttyd
安全建议
由于ttyd拥有完全的shell权限,在使用时需要特别小心,避免造成不可预料的后果。