透明防火墙可用于过滤流量,而无需创建不同的子网。此应用程序称为过滤网桥,因为它充当两个接口的网桥连接,并在此之上应用过滤规则。透明过滤网桥与流量整形不兼容,使用过滤网桥时,请勿启用流量整形器。有关在 FreeBSD 上过滤桥接的更多信息,请参阅 过滤网桥
要求: 为了设置方便,将 OPNsense 恢复为出厂默认设置。必须具有 2 个物理网络接口。
注意: 使用的截图版本为 18.7.6。如果您使用其他版本,则某些选项可能会有所不同。
10 个简单步骤
- 禁用出站 NAT 规则生成
- 更改系统可调整项
- 创建桥
- 分配管理 IP / 接口
- 禁用阻止专用网络和 bogon
- 禁用 LAN 上的 DHCP 服务器
- 添加允许规则
- 禁用默认防锁定规则
- 调整 LAN 和 WAN 接口类型设置为 “none”
- 现在应用更改
警告:在配置期间,系统会要求您多次“应用”更改,但这可能会影响当前连接。所以在完成之前不要应用任何东西!您需要为每个步骤保存更改。
1、禁用出站 NAT 规则生成
要禁用出站 NAT,请转到 防火墙 → NAT → 出站:禁用出站 NAT 规则生成
2、更改系统可调节参数
导航到 系统 → 设置 → 参数,将 net.link.bridge.pfil_bridge 从默认值更改为 1 来启用桥过滤。
将 net.link.bridge.pfil_member 从默认值更改为 0 来禁用成员接口的过滤规则。
3、创建网桥
创建 LAN 和 WAN 的网桥,转到 接口 → 其他类型 → 网桥:添加选择 LAN 和 WAN。
4、分配管理 IP / 接口
为了能够在之后配置和管理过滤网桥(OPNsense),我们需要为网桥分配新接口并设置 IP 地址。
转到 接口 → 分配 → 添加接口,从列表中选择网桥,然后点击 “+”。
现在将 IP 地址添加到您要用于管理网桥的接口。转到 接口 → OPT1,启用接口并填写 IP 地址和掩码。
5、禁用阻止专用网络和 bogon
对于 WAN 接口,我们需要禁用阻止专用网络和 bogon 网络。
转到 接口 → WAN,取消选择 阻止专用网络 和 阻止 bogon 网络。
6、禁用 LAN 上的 DHCP 服务器
要在 LAN 上禁用 DHCP 服务器,请转到 服务 → DHCPv4 服务器 → LAN,然后取消选择“启用”。
7、添加允许规则
配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。为三个接口(WAN / LAN / OPT1)中的每个接口添加允许规则。这一步是为了确保我们拥有一个完整的透明网桥而不进行任何过滤。确认网桥正常工作后,您可以设置正确的规则。
转到 防火墙 → 规则 并为每个接口添加规则以允许任何类型的所有流量。
8、禁用默认防锁定规则
配置网桥后,将忽略成员接口(WAN / LAN)上的规则。所以你可以跳过这一步。
由于我们现在已经为每个接口设置了允许规则,因此我们可以安全地删除 LAN 上的防锁定规则。转到 防火墙 → 设置 → 高级:找到 禁用防锁定,然后选择此选项以禁用设置。
9、调整 LAN 和 WAN 接口类型设置
现在,通过将接口类型更改为 none,删除用于 LAN 和 WAN 的 IP 子网。转到 接口 → LAN 和 接口 → WAN,按照下图操作。
10、应用更改
如果您按照每个步骤进行了操作,则现在可以应用更改。防火墙现在将转换为过滤网桥。完成后,你可以设置自己的过滤规则,可以创建正确的防火墙/过滤规则并应用它们。要访问防火墙,您需要使用为 OPT1 接口配置的 IP 地址。
警告:只能在网桥上配置规则,成员接口的规则将被忽略!
不要忘记确保你的电脑的 IP 地址在 OPT1 子网的 IP 范围!
觉得内容不错?我要
