嘿，这个场景我太熟悉了——全局关了防火墙但怕WAN暴露WebGUI确实挺闹心的，给你两个实用的方案，看你需求选：

方案一：只限制WAN口的WebGUI访问（保留Web界面用于内部管理） #

虽然全局禁用了数据包过滤，但我们可以从Web服务本身的监听范围或者访问控制入手：

1. 绑定WebGUI到指定接口

   • 登录pfSense后，进入System > Advanced > Admin Access页面
   • 找到「Interfaces」选项（在TCP Port设置下方），只勾选你允许访问WebGUI的接口（比如LAN口或者专门的管理内网接口），不要勾选WAN
   • 保存并应用设置后，WebGUI就只会在你选的接口上监听，WAN口上完全不会对外开放这个服务

2. 用IP白名单限制访问

   • 同样在System > Advanced > Admin Access里，找到「Allowed IPs」配置项
   • 只填入你用来管理pfSense的内部IP/网段（比如192.168.0.0/24），这样即使WebGUI不小心在WAN口有监听，外部IP也被拒绝访问
   • 注意：留空的话是允许所有IP访问，一定要填上你的管理IP段

方案二：完全禁用Web管理界面（仅用Console操作） #

如果你确实不需要WebGUI，完全依赖Console配置，那直接关掉就行：

• 进入System > Advanced > Admin Access
• 找到「WebGUI」区域，取消勾选「Enable WebGUI」
• 保存应用后，Web服务就彻底停了，不管哪个接口都访问不到，只能通过物理Console或者SSH（如果之前开启了且做了限制的话）来操作

备注：内容来源于stack exchange，提问作者cmshowers