FreeBSD是一个基于 Unix 的免费、强大、健壮、灵活和稳定的开源操作系统，它可以在多种CPU 架构上运行，并且可以为服务器、台式机和某些定制的嵌入式系统提供基本平台，例如常见的防火墙pfSense和OPNsense。FreeBSD 带有大量预编译软件包，这些软件包可以从存储库中简单地安装到系…

本文介绍了在接入点模式下为 OPNsense配置Protectli WiFi 套件。这包括接口分配、接口配置、DHCP 服务器和防火墙规则。 前提条件 安装了OPNsense支持的WiFi 套件 安装了 OPNsense。本文使用的是 20.7 版本 添加设备并分配接口 进入OPNsense Web…

OPNsense支持通过Suricata 进行入侵检测。启用后，可以为监控或阻止的网络流量类型选择一组入侵检测规则集。规则集可以设定自动更新，规则集有免费的，也有一些需要付费订阅。 入侵检测要占用一定的系统资源，在OPNsense上启用入侵检测，应确保内存不少于4GB。Suricata支持使用多线程…

OPNsense支持在虚拟化环境下运行，本文介绍在Proxmox中安装配置OPNsense防火墙的过程。 这是一个简单示例，如果想让虚拟机获得最大性能，还需要调整接口设置，以及为网卡设置多队列选项等操作。 上传文件 下载OPNsense的 DVD ISO版安装镜像，将其上传到Proxmox 服务器。…

OPNsense中的插件ICAPc-icap是 ICAP 服务器的实现，可以与Squid 3.x HTTP代理服务器等支持ICAP协议的HTTP代理一起使用，实现内容适配/过滤服务。ClamAV则提供针对恶意软件的有效保护，例如勒索软件，特洛伊木马和病毒。内置的入侵防御系统和基于类别的Web过滤可以…

OPNsense的接口提供了配置LAGG，必须在未使用的接口上进行添加。LAGG有以下四种运行模式： Failover：只通过主网口收发数据。 如果主网口不可用， 则使用下一个激活的网口。 加入的第一个网口便会被视为主网口； 此后加入的其他网口， 则会被视为故障转移的备用网口。 如果发生故障转移之后…

在防火墙上使用外部黑名单来阻止恶意 IP 是防火墙最常见的功能，这有助于保护内部网络的安全。当然你也可以使用DoH / DoT（基于 http 或 TLS 的 DNS）或 IPS来做这件事。但从配置的难度上来说，还是前者更方便。下面介绍一下配置方法。 创建外部黑名单别名 OPNsense 支持在别名…

本文介绍在OPNsense中配置使用Nextcloud进行远程备份的方法。 配置Nextcloud 使用管理员帐户登录到 Nextcloud 实例，转到用户：   为 OPNsense 创建一个新用户 。 使用新用户登录并转到 profiele > settings > seurity，…

前面文章介绍了pfSense WireGuard VPN站点到站点配置及策略路由的应用，本文介绍在pfSense和OPNsense之间使用WireGuard VPN建立站点到站点连接和配置策略路由的方法。使用的防火墙版本为pfSense2.52(当前为RC版)和OPNsense 21.1.7_1。 …

在我们编写防火墙规则时，可能只是简单地使用了网络接口/端口和 IP 地址的预定义别名，例如“LAN net”、“LAN interface”、“HTTP”、“HTTPS”、等等，使用预定义的别名不仅方便，而且有助于理解规则。 当我们开始扩展或隔离我们的网络时，可能会发现维护规则变得有点困难，特别是如…