如果不想让防火墙后面的客户端使用自定义或其他公共DNS，可以通过设置规则，将所有对外部服务器的DNS请求重定向到本地DNS服务器。这不但有助于确保网络设备的正常功能，而且还可以应用DNS的阻止/过滤功能。 创建端口转发规则 进入“防火墙 > NAT > 端口转发”页面，然后单击“添加”按…

DNS over TLS(DoT) 是一种加密DNS请求的方式。DoT和DoH之间的主要区别是DoT使用 UDP协议，一般使用853端口；而DoH使用TCP协议，一般使用443端口。通过DoH发送的DNS请求将与其他HTTPS流量混合，而基于DoT的DNS请求则单独使用853端口。这两种方法具有近似…

WireGuard 是一种简单快速的VPN协议，采用现代加密技术，比 IPsec、OpenVPN更快、更简单。它还有一个更小的代码库，这使得审计和维护更容易。虽然最初是为 Linux 内核设计的，但现在已经可以跨平台使用。 本教程介绍在OPNsense上安装WireGuard 服务器，配置一个或多个…

FreeBSD是一个基于 Unix 的免费、强大、健壮、灵活和稳定的开源操作系统，它可以在多种CPU 架构上运行，并且可以为服务器、台式机和某些定制的嵌入式系统提供基本平台，例如常见的防火墙pfSense和OPNsense。FreeBSD 带有大量预编译软件包，这些软件包可以从存储库中简单地安装到系…

本文介绍了在接入点模式下为 OPNsense配置Protectli WiFi 套件。这包括接口分配、接口配置、DHCP 服务器和防火墙规则。 前提条件 安装了OPNsense支持的WiFi 套件 安装了 OPNsense。本文使用的是 20.7 版本 添加设备并分配接口 进入OPNsense Web…

OPNsense支持通过Suricata 进行入侵检测。启用后，可以为监控或阻止的网络流量类型选择一组入侵检测规则集。规则集可以设定自动更新，规则集有免费的，也有一些需要付费订阅。 入侵检测要占用一定的系统资源，在OPNsense上启用入侵检测，应确保内存不少于4GB。Suricata支持使用多线程…

OPNsense支持在虚拟化环境下运行，本文介绍在Proxmox中安装配置OPNsense防火墙的过程。 这是一个简单示例，如果想让虚拟机获得最大性能，还需要调整接口设置，以及为网卡设置多队列选项等操作。 上传文件 下载OPNsense的 DVD ISO版安装镜像，将其上传到Proxmox 服务器。…

OPNsense中的插件ICAPc-icap是 ICAP 服务器的实现，可以与Squid 3.x HTTP代理服务器等支持ICAP协议的HTTP代理一起使用，实现内容适配/过滤服务。ClamAV则提供针对恶意软件的有效保护，例如勒索软件，特洛伊木马和病毒。内置的入侵防御系统和基于类别的Web过滤可以…

OPNsense的接口提供了配置LAGG，必须在未使用的接口上进行添加。LAGG有以下四种运行模式： Failover：只通过主网口收发数据。 如果主网口不可用， 则使用下一个激活的网口。 加入的第一个网口便会被视为主网口； 此后加入的其他网口， 则会被视为故障转移的备用网口。 如果发生故障转移之后…

在防火墙上使用外部黑名单来阻止恶意 IP 是防火墙最常见的功能，这有助于保护内部网络的安全。当然你也可以使用DoH / DoT（基于 http 或 TLS 的 DNS）或 IPS来做这件事。但从配置的难度上来说，还是前者更方便。下面介绍一下配置方法。 创建外部黑名单别名 OPNsense 支持在别名…