OpnSense 最初作为 pfSense 的分支出现,现已发展为完全独立的防火墙解决方案。本文将介绍 OpnSense 的安装和基本初始配置。
与 pfSense 一样,OpnSense 是基于 FreeBSD 的开源防火墙,可免费安装在自己的设备上。它对硬件要求不高,普通计算机即可运行。
最低硬件
- 500 MHz CPU
- 1 GB RAM
- 4 GB 存储空间
- 2 个网络接口卡
建议的硬件
- 1 GHz CPU
- 1 GB RAM
- 4 GB 存储空间
- 2 个或更多 PCI-e 网络接口卡
若使用高级功能(Suricata、ClamAV、VPN 服务器等),推荐:
- 至少 2.0 GHz 的近代多核 CPU
- 4 GB 以上 RAM
- 10 GB 以上存储空间
- 2 个或更多 Intel PCI-e 网络接口卡
OpnSense 防火墙的安装和配置
无论选择何种硬件,安装过程都相当简单,重点在于网络端口(LAN、WAN 等)的设置。建议在配置前先插入 WAN 接口,再插入 LAN 接口以完成安装。
1. 下载 OpnSense 防火墙
从 OpnSense 官方网站 下载软件,根据硬件和安装方式选择合适的镜像。本教程使用 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2(最新版本为 19.7)。解压后可将 ISO 刻录到光盘,或使用 PE 引导工具写入 U 盘启动;也可下载 img 格式并用 rufus 写入 U 盘。
2. 安装 OpnSense 防火墙
用光盘或 U 盘引导系统,启动后将看到引导菜单。
直接按回车键继续,系统会进入 Live Mode(在线模式),该模式下无法保存设置。若要安装到本地,需使用不同的用户名和密码。当出现登录提示时,输入用户名 installer 和密码 opnsense 登录,进入本地安装模式。
注意: 继续安装将删除硬盘上的所有数据!
按回车开始安装。第一步是选择键盘映射,安装程序一般会自动检测,确认后按需调整。
随后会出现安装选项。如需高级分区或导入配置可在此完成,本教程选择 “Guided Installation”(引导式安装)。
接下去显示可供安装的存储设备。
选择存储设备后,需确定分区方案:MBR 或 GPT/EFI。近几年的硬件普遍支持 GPT/EFI,老旧设备可能只支持 MBR。可通过 BIOS 设置确认系统是否支持 EFI/GPT。
选定分区方案后,安装程序将开始复制文件,过程中会提示设置 root 密码。
设置完 root 密码后,安装即完成。去除安装介质并重启系统。重启后控制台出现登录提示。
使用之前设置的 root 用户和密码登录,可以看到当前仅识别到一个网络接口卡。下图显示为 LAN(em0)。
OpnSense 默认将 LAN 接口设为 192.168.1.1/24,WAN 接口未显示。可按 ‘1’ 重新分配接口。下面可见两个可用接口:em0 和 em1。
配置向导支持 VLAN 等复杂设置,本教程使用最基础的双接口配置:WAN 和 LAN。输入 ‘N’ 跳过 VLAN 设置,然后指定 WAN 为 em0,LAN 为 em1。
输入 ‘Y’ 确认修改。完成后将计算机连接到 LAN 接口,在浏览器中访问 http://192.168.1.1,用用户名 root 和安装时设定的密码登录 Web 管理后台。
进入后台后会自动启动安装向导。第一步输入主机名、域名和 DNS 服务器,一般可勾选“覆盖 DNS”选项,让防火墙通过 WAN 接口从 ISP 获取 DNS 信息。
下一步配置 NTP 服务器,若无自有 NTP 服务器可使用默认值。
然后是 WAN 接口设置。如果 ISP 通过 DHCP 分配地址,类型保持 “DHCP”;若为拨号连接,选择 PPPoE 并填写用户名和密码。
滚动到 WAN 配置页底部,有两个默认规则用于阻止不应进入 WAN 接口的私有网络范围,建议保持选中状态。
接着配置 LAN 接口,可使用默认值,也可按需修改。
最后一步可更改 root 密码。若安装时未设强密码,可在此处更新。完成后点击“Reload”重新加载配置,稍候即可看到欢迎界面。点击左上角“Dashboard”返回主仪表板。
回到仪表板后,可继续安装所需插件或功能。建议先检查并升级系统,点击主仪表板上的“Click to Check for Updates”按钮。
使用“检查更新”查看可用更新,或点击“立即更新”一键应用所有更新。
至此,OpnSense 安装完成且系统已更新至最新状态。
觉得内容不错?我要
