OPNsense配置透明网桥

透明防火墙可以过滤流量，无需创建单独的子网。该防火墙被称为过滤桥，因为它充当两个接口之间的桥梁，并在此基础上实现过滤规则。

注意：透明过滤桥和流量整形之间不兼容。使用过滤桥时，请勿激活流量整形器。

为方便配置，本教程使用 3 个网络接口：

• WAN
• LAN
• LAN管理接口

我们将使用 LAN 管理接口访问OPNsense，并对其进行配置，WAN 和 LAN 接口将被配置为桥接接口的成员。

在 OPNsense 防火墙上配置透明网桥有以下几个步骤：

• 禁用出站 NAT 规则生成
• 更改系统可调参数
• 创建网桥
• 接口分配
• 取消阻止专用网络和Bogon网络
• 禁用DHCP 服务器
• 添加允许所有流量的防火墙规则
• 禁用默认防锁定规则
• LAN和WAN 接口类型设置为无
• 添加防火墙规则

禁用出站 NAT 规则生成

按照以下步骤操作：

1. 导航到防火墙 → NAT → 出站，选择“禁用出站 NAT 规则生成”。单击“保存”，单击“应用更改”激活配置。

更改系统可调参数

要启用过滤桥，必须将 net.link.bridge.pfil_bridge 的值更改为 1，将 net.link.bridge.pfil_member 的值更改为 0。

1. 导航到系统 → 设置 → 可调参数。在浏览器中按 CTRL F 查找：net.link.bridge.pfil_bridge

2. 单击编辑按钮设置 net.link.bridge.pfil_bridge 参数。输入 1 并单击保存，在桥接口上启用过滤。

3. 在浏览器中按 CTRL F 查找：net.link.bridge.pfil_member

4. 单击编辑按钮设置 net.link.bridge.pfil_member 参数，输入 0 并单击保存，禁用对桥接口成员的过滤。

创建网桥

按以下步骤操作：

1. 导航到接口 → 其他类型 → 桥接，单击添加按钮创建新的桥接口。

2. 在成员接口下拉菜单中选择 LAN 和 WAN。

3. 输入描述性名称，例如 Bridge。

4. 其他选项保留为默认值，然后单击“保存”添加桥接接口。

接口分配

为了之后能够配置和管理网桥，我们需要为桥分配一个新接口并设置一个 IP 地址。

1. 导航到接口 → 分配，在前面创建的桥接接口上输入描述性名称，然后单击添加按钮。

2. 启用 bridge 接口并设置 IP 配置。

3. 在基本配置栏，选中启用接口。

4. 在 IPv4 配置类型选项，选中静态 IPv4。

5. 设置 IPv4 地址和子网掩码。还可以通过选择默认网关选项并在 WAN 配置上的网关 IPv4 字段中键入 IP 地址来添加新网关。

6. 单击保存，保存桥接接口配置。单击应用更改，激活设置。

取消阻止专用网络和Bogon网络

在 WAN 接口上，需要取消对专用网络和 bogon 网络的阻止。

导航到接口 → WAN，取消选择“阻止专用网络”和“阻止 bogon 网络”选项。

禁用DHCP

导航到服务 → DHCPv4 → [LAN]，在 LAN 接口上取消选中启用 DHCP 服务器。

添加允许所有流量的防火墙规则

此步骤确保网桥完全透明，不会发生任何过滤。主要验证网桥的功能，然后再根据需要添加过滤规则。

1. 转到防火墙 → 规则，选择 Bridge 接口并单击添加按钮添加规则。

2. 动作选“通过”，方向选“进”，协议选“any”，源选择“any”。

3. 目标选择“any”，选中启用记录此规则处理的数据包选项，描述说明输入 Allow All。

4. 单击“保存”，然后单击“应用更改”来激活配置。
5. 在 LAN 接口上定义防火墙规则。

6. 在 WAN 接口上定义防火墙规则。

取消默认防锁定规则

配置网桥后，成员接口 (WAN/LAN) 规则将被忽略。因此，您可以跳过此步骤。由于每个接口现在都有允许规则，因此我们可以按照后续步骤安全地从 LAN 中删除防锁定规则。

导航到防火墙 → 设置 → 高级，取消选择禁用防锁定选项。

LAN和WAN接口IPv4配置为无

删除用于 LAN 和 WAN 的 IP 地址，执行以下步骤：

1. 转至接口 → [LAN]，将 IPv4 配置为 None 类型。单击“保存”。

2. 转至接口 → [WAN]，将 IPv4 配置为 None 类型，单击“保存”，单击“应用更改”激活配置。

添加防火墙过滤规则

现在，透明网桥已经配置完成，您可以根据需要在网桥上配置所需要的过滤规则。

原文地址。