在OPNsense防火墙上,英文简写代表特定的网络意义,收录了部分做个简要说明,供参考:
NR
在系统→快照页面, 活动项可能会出现NR标识。NR通常表示 “Not Reverted”(未回滚),具体来说,它表明该快照尚未被用于回滚系统配置。这意味着该快照仍然可用,并未影响当前系统的状态。如果系统进行了回滚,可能会显示其他状态,如R(Reverted),表示该快照已被回滚应用。
BPF
在接口 → 诊断→网络统计页面,会有BPF和NETISR两个选项卡,他们都是与网络流量处理相关的概念:
BPF(Berkeley Packet Filter)是一种高效的网络数据包过滤机制,主要用于流量监控、抓包和防火墙规则匹配。
它通常用于:
- tcpdump等工具进行数据包捕获和流量分析。
- IDS/IPS(如 Suricata) 进行流量过滤和检测。
- pf 防火墙 的部分规则匹配。
在接口诊断中,BPF可能会显示当前接口是否启用了BPF过滤功能,以及统计数据包的处理情况。
NETISR
NETISR (Network Interrupt Service Routine) 网络中断服务例程,它是FreeBSD(OPNsense的底层系统)中的一种异步网络包处理机制。
它的作用是:
- 提高网络性能:通过将网络处理任务从中断上下文转移到后台线程来减少延迟。
- 负载均衡:在多核CPU设备上,可以将网络处理分发到多个核,以提高吞吐量。
- 避免丢包:减少高流量负载时的瓶颈,提高数据包的处理能力。
在OPNsense的接口诊断页面,NETISR可能会显示网络队列的状态,例如:
- 是否启用了NETISR机制
- 处理队列的长度
- 丢弃的数据包数量
如果OPNsense需要高性能的网络处理(如高并发 NAT 或 VPN),NETISR可能会对系统性能产生影响,因此监测这些参数可以帮助优化网络性能。
HTTP_REFERER
在OPNsense中, 检查(HTTP Referer Check)是一种安全机制,用于防止跨站请求伪造(CSRF,Cross-Site Request Forgery)攻击。
具体作用:
- 验证请求来源:当用户在OPNsense Web界面(Web GUI)执行某些管理操作时,系统会检查HTTP头中的Referer字段,确保请求来自合法的OPNsense管理页面,而不是第三方网站或恶意脚本。
- 防止CSRF攻击:如果攻击者诱骗管理员访问恶意网站,而该网站尝试向OPNsense发送未经授权的管理请求(如修改防火墙规则、重启系统等),Referer 检查可以阻止这些请求,因为它们的来源OPNsense不匹配。
- 增强管理界面安全性:确保OPNsense的管理操作不会被外部站点劫持,减少安全漏洞。
可能遇到的问题:
- Referer被浏览器或插件阻挡:部分浏览器或插件可能会屏蔽Referer头,导致OPNsense误判请求来源,进而阻止用户操作。
- 代理或防火墙修改了Referer:如果OPNsense部署在代理服务器或特定网络环境中,可能会遇到Referer变化的问题,导致管理界面无法正常使用。
如果由于HTTP_REFERER检查导致OPNsense管理界面出现访问问题,首先检查浏览器未禁用Referer头,也可以在OPNsense中禁用HTTP_REFERER检查。转到系统→设置→ 管理,找HTTP_REFERER强制检查项,选中禁用即可。
注意:禁用该检查可能会降低Web管理界面的安全性,建议仅在必要时关闭,并确保其他安全措施(如 HTTPS、IP 限制、强密码)已启用。